Hackerangriff

avenger · June 9, 2011, 10:12am

Keine Panik, betrifft nicht OXID, sondern xtCommerce…

Aber bei dem hier versammelten Know-How wollte ich doch mal fragen, ob jemand weiß, wo das “Loch” in xtc für diesen Angriff ist.

Folgende eMail erhielt einer unserer Kunden (xtCommerce), seine Datenbanken sind tatsächlich alle verschwunden….

Habt Ihr Informationen darüber, über welches „Loch“ diese Mistkerle da eindringen können?

===========================================

Hallo lieber Administrator von ……… , wie Sie villeicht bemerkt haben wurden Ihre gesamten Daten gelöscht.

Falls Sie interesse haben Ihre Daten wieder zu erlangen senden Sie mir bis Freitag den 10. Juni 2011 um 12 Uhr 300€ in Form von Ukash (www.ukash.com , erhältlich an jeder Tankstelle)

Sie haben 3 Optionen :

Option 1 :

Sie bezahlen innerhalb der Frist den genannten Betrag, erhalten Ihre Daten und Ich sage Ihnen, wie Sie Ihren Shop sichern können.

Option 2 :

Sie bezahlen bis zu 3 Tage nach Ablauf der Frist, jedoch 50% mehr, erhalten Ihre Daten und Ich sage Ihnen, wie Sie Ihren Shop sichern können.

Option 3 :

Sie bezahlen nicht, Ihre Daten landen im Netz bei verschiedenen Portalen, was sicherlich eine gute Werbung für Sie ist, Ihr Kunden werden natürlich per Mail informiert.

Ich schicke Ihnen Ihre kompletten Datenbanken, diese können Sie einfach importieren und alles funktioniert sofort wie vorher.

Sie haben die Entscheidung in der Hand, zahlen und beruhigt und sicher in die Zukunft Ihres Shops zu blicken oder eben anders.

Bei Fragen stehe ich Ihnen gerne zur Verfügung,

Lg

===========================================

Hebsacker · June 9, 2011, 10:40am

schon irgendwie frech… sich so quasi als Retter darzustellen…
Strafanzeige ist hoffenlich raus? Und Backup hoffentlich vorhanden? Oder hat der Provider ein tägliches Backup?

Normalerweise kann man sowas nur über zwei Wege erreichen, über einen phpMyAdmin-Zugang (o.ä. - auch via MySQL-Dumper) oder über einen Zugang zur Administrationsöberfläche des Web-Pakets.
Durch ein “Loch” im Shop denke ich eher nicht, wie sollte man da Zugruiff auf die Datenbank erhalten? Es sei denn die Config kann ausgelesen werden, wo die DB-Daten drin sind.

Gibts bei diesen Zugängen ggf. noch irgendwelche Standard-Accounts?

chris · June 9, 2011, 10:44am

/offtopic: Die Phrase “Bei Fragen stehe ich Ihnen gerne zu Verfügung” ist Wahnsinn, als ob hier ein Dialog angestrebt werden würde. An Dreistigkeit kaum zu überbieten.

Aber da ich über diesen oder einen ähnlichen Text schon irgendwann irgendwo im Netz gestolpert bin, ggfs. nach den Phrasen suchen, vielleicht finden sich weitere Opfer und Threads in anderen Foren, die konkrete Hinweise über den möglichen Exploit geben?

/ontopic:
In meinen jungen Jahren haben wir das System ‘COPS’ desöfteren sehr erfolgreich eingesetzt, um auf Linux/Unix-basierenden Servern, ähm, Sicherheitslücken zu finden, die uns Zugang zum gesamten Server gestattet hatten. Ich erinnere mich vage, dass es dieses Tool war, es gibt ähnliche und vergleichbare Systeme, die ihr vielleicht in erster Instanz mal auf dem Server laufen lassen solltet, ganz unabhängig von einem potentiellen xt:c-Exploit:

http://aplawrence.com/Security/cops.html

Ferner würde ich auch direkt im xt:c-Forum oder ggfs. auch im Sellerforum fragen, da u.U. die Oxid-Nutzer möglicherweise nicht die höchste Expertenkraft bei xt:c haben

Und wenn auf der gleichen Maschine 'ne 2.x-Version von Wordpress installiert gewesen war, dann würde mich gar nichts mehr wundern, denn aufgrund dessen hatte es mich selbst mit 'nem privaten Projekt vor einigen Wochen ziemlich böse erwischt, der Server und die Datenbank standen sperrangelweit offen und wurde auf’s extremste zweckentfremdet.

Auf jeden Fall viel Erfolg bei der Suche und viel Glück!
Chris

chris · June 9, 2011, 10:49am

/addendum:
http://www.xtc-supportforum.de/viewtopic.php?f=32&t=4066
Hilft das u.U. weiter?

rubbercut · June 9, 2011, 11:41am

Da gab`s vor einiger Zeit mal nen Fix für

password_double_opt.php und inc/xtc_validate_email.inc.php

ThomasR · June 9, 2011, 3:42pm

[QUOTE=rubbercut;59485]Da gab`s vor einiger Zeit mal nen Fix für

password_double_opt.php und inc/xtc_validate_email.inc.php

[/QUOTE]

Richtig ebenso bei Gambio basiert auf XTCommerce - dort wurde die beiden Dateien getauscht.

Älterer Patch 2009?! -> attributes_weight_calculator.php da war in den Ajaxscripten die Möglichkeit…

@Hebsacker:
Stichwort SQL Injection bzw. XSS Attacke und du kannst theoretisch auf die Datenbank zugreifen - Programmierfehler vorausgesetzt!