Kommentare zu: Schwere Sicherheitslücke im Onlineshop XT-Commerce 3.0.4 SP 2.1

Von: Stephan Hertz

Stephan Hertz — Fri, 13 May 2011 20:06:20 +0000

@Nicole: In der Tat gehört eine Tabelle “stuff” in der DB nicht zu XTC. Um eine Aussage machen zu können, wo das Problem mit dem Zugang ist, müsste man die beiden PHP-Scripte näher untersuchen und versuchen, zu rekonstruieren, was die Hacker genau gemacht haben.

Möglicherweise gibt es weitere Manipulationen an den Dateien? Spielen Sie mal ein File-Backup (kein Datenbank-Backup, dann verlieren Sie Kunden- / Bestell-Daten!!!) ein, eventuell lösen sich Ihre Probleme damit bereits.

Von: Nicole

Nicole — Sun, 08 May 2011 14:02:47 +0000

Ganz so einfach war es nun leider doch nicht. Ich habe in der Datenbank eine Tabelle stuff gefunden und war mir sicher dass diese dort nichts zu suchen hat. Nach dem Löschen dieser Tabelle hatte ich jedoch keinen Zugang mehr zum Admin Bereich ?

Von: Nicole

Nicole — Sat, 07 May 2011 13:43:05 +0000

Vielen Dank für die Veröffentlichung dieses Beitrages. Wir wurden heute Nacht gehackt. Ich habe alle Upload Verzeichnisse kontrolliert und dort im Ordner Banner und Categories die Dateien 1337.php und 100.php gefunden, die ich dann sofort gelöscht habe.

Die Schritte 1-3 habe ich selbstverständlich auch ausgeführt. Allerdings muss ich mir jemanden suchen der Schritt 4 ausführt.

Nocheinmal DANKE !

Von: Torsten

Torsten — Tue, 15 Mar 2011 11:56:47 +0000

Bei einem von mir betreuten Shop tritt das Problem auf, das andauernd die Zahlungsmethoden geändert werden, kann das auch hiermit zu tun haben?
Zuerst wurde ständig die Kreditkarte Aktiviert, nachdem ich diese ganz aus dem System gelöscht habe, wurde jetzt eine der 2 verbliebenen Zahlungsoptionen gelöscht.
3.0.4 SP 2.1 ist installiert, auch der Patch ist drauf, trotzdem scheint jemand Zugriff zu bekommen um die Änderungen zu machen.

Vielen Dank für einen Ratschlag
Torsten

Von: Stephan Hertz

Stephan Hertz — Wed, 24 Nov 2010 23:02:59 +0000

@Silke: Wenn Du nur in Deutschland verkaufen willst, dann geht das natürlich – wir haben aber auch Kunden aus China, Indien, Russland, usw. …

Von: Silke O.

Silke O. — Fri, 05 Nov 2010 23:28:55 +0000

Wieso kann man hier nicht einfach ganze IP-Ranges aus dem Ausland sperren die für solche Hackerangriffe bekannt sind?
Ich hatte noch nie einen Kunden aus der Türkei, Russland oder Bulgarien.

LG
Silke

Von: Istoselida

Istoselida — Wed, 13 Oct 2010 18:05:14 +0000

Herzlichen Dank für die Doku dieses xt:Commerce Exploits und die Tipps zur Problemlösung.

Von: Stephan Hertz

Stephan Hertz — Sun, 10 Oct 2010 22:59:48 +0000

Zu der 2. Frage: Dort gibt es nur Schadcode, wenn an andere Stelle etwas schief läuft…

Zur ersten Frage – beide Teile gebe ich im Laufe der nächsten Tage eine Antwort, bin gerade erst nach Hause gekommen und eigentlich noch im Urlaub…

Von: buddi

buddi — Wed, 15 Sep 2010 13:46:59 +0000

Noch eine 2. Frage:
Wie können wir verhindern, dass in den Ordner templates_c schafhafte *.php-Dateien geschrieben werden? So was hatten wir neulich.

Mit
Order deny,allow
Deny from All

klappt das ja nicht , bzw. da werden dann auch die “guten” geblockt

Von: buddi

buddi — Wed, 15 Sep 2010 13:11:33 +0000

Hallo,
auch ich danke schon mal für die vielen nützlichen Tips an dieser Stelle.

ich möchte auch noch einmal nachfragen, was der User KALLE wissen wollte:
Was echt super wäre, wenn du noch einmal alle Upload Ordner auflisten könntest, in die die
htaccess Datei rein muss (die php Dateien verbietet).

Oder reicht es den Schnippsel:

Order deny,allow
Deny from All

nur in die .htaccess im root-Verzeichnis zu kopieren???

… und wie realisiert man Punkt3)
3. Bei Zugang mit einer statischen IP biete sich die Möglichkeit, das ganze admin-Verzeichnis für alle IPs bis auf die eigene zu sperren …..

Würde mich über eine zeitnahe Antwort sehr freuen, danke schon mal