Das hat wohl nur sekundär mit dem Preisalarm zutun. Scheint ein Hacker-Angriff mit SQL-Injection zu sein. Hier könntest die IP sperren, sofern verfügbar.
nochmal Zusammengefasst :
Es gab nur ein einziges Produkt im Shop bei dem der Preisalarm nicht deaktiviert war.
Es hat sich ein Benutzer aYlNlfdX aYlNlfdX angemeldet.
Der Preisalarm für das Produkt wurde in allen 4 Shopsprachen mit mehr als 1000 emails von :[email protected] gespamt.
Dann ist’s ja schon fast klar. Wenn Du nun im Log unter faulty componentangehängte Abkürzungen wie z.B. ' oder and 1=1 o.ä. findest, versucht jemand reinzukommen, wobei jedesmal wohl ne Mail versendet wird.
Wenns korrekt installiiert ist, sollten zu jeder aufgerufenen Seite Werte in die Tabelle geschrieben werden. Die Tabelle musst über phpMyAdmin o.ä. anschauen. Eventuell musst den temporären Ordner leeren, weil das Modul über den Block base_js arbeitet.
Dann hat wohl jemand Zugriff.
Ich würde den Shop erst einmal für die Aussenwelt abschalten (htaccess-Zugang) und dann zunächst schauen, ob sich jemand unbekanntes als Admin eingetragen hat. Dann alle Passwörter der Admins ändern und in den Shopordnern nach Unregelmäßgkeiten (Änderungen an Dateien oder abgelegte Skripte etc.) suchen.
Und natürlich das DB-Paswort ändern.
alle PW geändert … alle verdächtigen Benutzer gelöscht… (kein verdächtiger Email Spam mehr zur Zeit)
gestern Nacht… heute mogen… jeweils nur einen neuen Eintrag in der Log.
Mit den mir zu Verfügung stehen Tools wurden bei den Attacken zu den in Frage kommenden Zeiten keine Seitenbesuche angezeigt… kein Land/kein IP Bereich den ich blocken könnte.
IONOS Site Lock scan zeigt SQL injektion alles sauber.
Hat aber eine woocommerce App in einer WP Unterseite als Gefahr eingestuft!
APP deinstalliert / gelöscht
Danke für die Info. Die Catch-Demo würde ich ausschalten oder, wenn es zur Überwachung dienen soll, erweitern, damit die IP-Adressen anonymisiert werden (z.B. letzte beiden Stellen entfernen) . So kommst nicht mit der DSGVO in Konflikt.