Heute email überflutung Preisalarmspam Hacker!

Pratoline · October 10, 2020, 1:49pm

Hallo,
brauche dringend Hilfe:
zur Zeit wird unser Shop mit Preisalarm Emails aus der Shop bombardiert von [email protected]

habe alle Artikel mit Preisalarmartikel deaktiviert aber der Spuk geht weiter.

Error sending eMail(Ihr Passwort im shop) to: [email protected] (aYlNlfdX aYlNlfdX) Error : Could not instantiate mail function.

Ich habe einen Beutzer gefunden und gelöscht …aber es geht weiter

rubbercut · October 10, 2020, 2:53pm

Das hat wohl nur sekundär mit dem Preisalarm zutun. Scheint ein Hacker-Angriff mit SQL-Injection zu sein. Hier könntest die IP sperren, sofern verfügbar.

Pratoline · October 10, 2020, 2:58pm

wie mach ich das am Besten ?

nochmal Zusammengefasst :
Es gab nur ein einziges Produkt im Shop bei dem der Preisalarm nicht deaktiviert war.
Es hat sich ein Benutzer aYlNlfdX aYlNlfdX angemeldet.
Der Preisalarm für das Produkt wurde in allen 4 Shopsprachen mit mehr als 1000 emails von :[email protected] gespamt.

rubbercut · October 10, 2020, 4:21pm

Jo. Schau mal in log/oxideshop.log, ob sich da Fehlermeldungen häufen.

Die IPs kannst z.B. zusammen mit der besuchten Seite catchen und in der Datenbanktabelle einsehen. Für 6.1 sollte das Modul reichen.

Danach den IP-Bereich in htaccess ausschliessen.
etwa so:
order allow,deny
deny from 80.123.1.
allow from all

Pratoline · October 10, 2020, 5:09pm

@rubbercut

es sind fast 10.000 Eintrage über 4 Stunden in der oxidshoplog !

rubbercut · October 10, 2020, 6:35pm

Dann ist’s ja schon fast klar. Wenn Du nun im Log unter faulty componentangehängte Abkürzungen wie z.B. ' oder and 1=1 o.ä. findest, versucht jemand reinzukommen, wobei jedesmal wohl ne Mail versendet wird.

rubbercut · October 10, 2020, 6:38pm

Installieren, Tabelle chekcken, IP kopieren und und sperren. Feddisch

Wenn der Angriff über Proxies kommt, wird’s schwieriger. Aber warten wir es ab.

Pratoline · October 10, 2020, 7:02pm

stimmt…es ist eine grosse Zahl genau dieser Codes

initializeViewObject(‘837’’, ‘changePassword’, NULL, NULL)\n#3 /homepage

ich habe den Foxit Ordner in Module kopiert …aktiviert…aber es tut sich nichts ?!

rubbercut · October 10, 2020, 7:22pm

Wenns korrekt installiiert ist, sollten zu jeder aufgerufenen Seite Werte in die Tabelle geschrieben werden. Die Tabelle musst über phpMyAdmin o.ä. anschauen. Eventuell musst den temporären Ordner leeren, weil das Modul über den Block base_js arbeitet.

Pratoline · October 10, 2020, 7:40pm

Das funktioniert aber nicht rückwirkend,oder ? seit 3 Stunden sind keine aktivitäten mehr keine emails … und keine Einträge in der log Datei

Pratoline · October 10, 2020, 8:50pm

so:

meine Recherche hat ergeben das wohl acunetix dahintersteckt.

rubbercut · October 10, 2020, 9:10pm

Ja dann hat das normalerweise jemand angestoßen.

Pratoline · October 10, 2020, 9:13pm

Aber wer macht sowas ? Ist das nicht strafbar?

rubbercut · October 10, 2020, 9:21pm

Keine Ahnung. Vielleicht jemand, der tatsächlich eine Lücke sucht.

Wir hatten etwas ähnliches bei einem großen Fanshop. Das ging über alle Instanzen, weil der Shop lahmgelegt war.

Pratoline · October 11, 2020, 10:38am

Hilfe!

Das Admin Passwort wurde geändert !!!
ich komme in den Shop Admin nicht mehr rein !!!
Nachtrag:
Hab es jetzt. zurücksetzen können.

Was ist da los ?

rubbercut · October 11, 2020, 11:53am

Dann hat wohl jemand Zugriff.
Ich würde den Shop erst einmal für die Aussenwelt abschalten (htaccess-Zugang) und dann zunächst schauen, ob sich jemand unbekanntes als Admin eingetragen hat. Dann alle Passwörter der Admins ändern und in den Shopordnern nach Unregelmäßgkeiten (Änderungen an Dateien oder abgelegte Skripte etc.) suchen.
Und natürlich das DB-Paswort ändern.

indianer3c · October 11, 2020, 12:01pm

Dies kommt mir bekannt vor. Um das zuspammen zu verhindern würde ich Captcha Modul GitHub - OXIDprojects/captcha-module: OXID eShop simple captcha module empfehlen, was hoffentlich schon das spamhafte Ausfüllen von Formularen verhindert.

Hintergrund die Captcha Funktionalität ist mit der 6er Serie als Modul ausgegliedert wurden Extracted features — OXID eShop developer documentation 6.0.0 documentation

Pratoline · October 12, 2020, 11:48am

Danke
@rubbercut
@indianer3c

alle PW geändert … alle verdächtigen Benutzer gelöscht… (kein verdächtiger Email Spam mehr zur Zeit)
gestern Nacht… heute mogen… jeweils nur einen neuen Eintrag in der Log.
Mit den mir zu Verfügung stehen Tools wurden bei den Attacken zu den in Frage kommenden Zeiten keine Seitenbesuche angezeigt… kein Land/kein IP Bereich den ich blocken könnte.
IONOS Site Lock scan zeigt SQL injektion alles sauber.
Hat aber eine woocommerce App in einer WP Unterseite als Gefahr eingestuft!
APP deinstalliert / gelöscht

rubbercut · October 12, 2020, 12:32pm

Danke für die Info. Die Catch-Demo würde ich ausschalten oder, wenn es zur Überwachung dienen soll, erweitern, damit die IP-Adressen anonymisiert werden (z.B. letzte beiden Stellen entfernen) . So kommst nicht mit der DSGVO in Konflikt.

Pratoline · October 13, 2020, 10:08am

Es gibt immer noch tägliche Einträge in der log Datei:

[2020-10-12 18:26:13] OXID Logger.ERROR: EXCEPTION_SYSTEMCOMPONENT_CLASSNOTFOUND account_noticelist’)) and ((‘mtay’ like 'mtay ["[object] (OxidEsales\Eshop…

mit den 039 code