Heute email überflutung Preisalarmspam Hacker!

Hallo,
brauche dringend Hilfe:
zur Zeit wird unser Shop mit Preisalarm Emails aus der Shop bombardiert von [email protected]

habe alle Artikel mit Preisalarmartikel deaktiviert aber der Spuk geht weiter.

Error sending eMail(Ihr Passwort im shop) to: [email protected] (aYlNlfdX aYlNlfdX) Error : Could not instantiate mail function.

Ich habe einen Beutzer gefunden und gelöscht …aber es geht weiter

Das hat wohl nur sekundär mit dem Preisalarm zutun. Scheint ein Hacker-Angriff mit SQL-Injection zu sein. Hier könntest die IP sperren, sofern verfügbar.

wie mach ich das am Besten ?

nochmal Zusammengefasst :
Es gab nur ein einziges Produkt im Shop bei dem der Preisalarm nicht deaktiviert war.
Es hat sich ein Benutzer aYlNlfdX aYlNlfdX angemeldet.
Der Preisalarm für das Produkt wurde in allen 4 Shopsprachen mit mehr als 1000 emails von :[email protected] gespamt.

Jo. Schau mal in log/oxideshop.log, ob sich da Fehlermeldungen häufen.

Die IPs kannst z.B. zusammen mit der besuchten Seite catchen und in der Datenbanktabelle einsehen. Für 6.1 sollte das Modul reichen.

Danach den IP-Bereich in htaccess ausschliessen.
etwa so:
order allow,deny
deny from 80.123.1.
allow from all

@rubbercut

es sind fast 10.000 Eintrage über 4 Stunden in der oxidshoplog !

Dann ist’s ja schon fast klar. Wenn Du nun im Log unter faulty componentangehängte Abkürzungen wie z.B. ' oder and 1=1 o.ä. findest, versucht jemand reinzukommen, wobei jedesmal wohl ne Mail versendet wird.

Installieren, Tabelle chekcken, IP kopieren und und sperren. Feddisch :wink:

Wenn der Angriff über Proxies kommt, wird’s schwieriger. Aber warten wir es ab.

stimmt…es ist eine grosse Zahl genau dieser Codes

initializeViewObject(‘837’’, ‘changePassword’, NULL, NULL)\n#3 /homepage

ich habe den Foxit Ordner in Module kopiert …aktiviert…aber es tut sich nichts ?!

Wenns korrekt installiiert ist, sollten zu jeder aufgerufenen Seite Werte in die Tabelle geschrieben werden. Die Tabelle musst über phpMyAdmin o.ä. anschauen. Eventuell musst den temporären Ordner leeren, weil das Modul über den Block base_js arbeitet.

Das funktioniert aber nicht rückwirkend,oder ? seit 3 Stunden sind keine aktivitäten mehr keine emails … und keine Einträge in der log Datei

so:

meine Recherche hat ergeben das wohl acunetix dahintersteckt.

Ja dann hat das normalerweise jemand angestoßen.

Aber wer macht sowas ? Ist das nicht strafbar?

Keine Ahnung. Vielleicht jemand, der tatsächlich eine Lücke sucht.

Wir hatten etwas ähnliches bei einem großen Fanshop. Das ging über alle Instanzen, weil der Shop lahmgelegt war.

Hilfe!

Das Admin Passwort wurde geändert !!!
ich komme in den Shop Admin nicht mehr rein !!!
Nachtrag:
Hab es jetzt. zurücksetzen können.

Was ist da los ?

Dann hat wohl jemand Zugriff.
Ich würde den Shop erst einmal für die Aussenwelt abschalten (htaccess-Zugang) und dann zunächst schauen, ob sich jemand unbekanntes als Admin eingetragen hat. Dann alle Passwörter der Admins ändern und in den Shopordnern nach Unregelmäßgkeiten (Änderungen an Dateien oder abgelegte Skripte etc.) suchen.
Und natürlich das DB-Paswort ändern.

Dies kommt mir bekannt vor. Um das zuspammen zu verhindern würde ich Captcha Modul https://github.com/OXIDprojects/captcha-module empfehlen, was hoffentlich schon das spamhafte Ausfüllen von Formularen verhindert.

Hintergrund die Captcha Funktionalität ist mit der 6er Serie als Modul ausgegliedert wurden https://docs.oxid-esales.com/developer/en/6.0/update/eshop_from_53_to_6/features/contribution_modules.html#captcha

Danke
@rubbercut
@indianer3c

alle PW geändert … alle verdächtigen Benutzer gelöscht… (kein verdächtiger Email Spam mehr zur Zeit)
gestern Nacht… heute mogen… jeweils nur einen neuen Eintrag in der Log.
Mit den mir zu Verfügung stehen Tools wurden bei den Attacken zu den in Frage kommenden Zeiten keine Seitenbesuche angezeigt… kein Land/kein IP Bereich den ich blocken könnte.
IONOS Site Lock scan zeigt SQL injektion alles sauber.
Hat aber eine woocommerce App in einer WP Unterseite als Gefahr eingestuft!
APP deinstalliert / gelöscht

Danke für die Info. Die Catch-Demo würde ich ausschalten oder, wenn es zur Überwachung dienen soll, erweitern, damit die IP-Adressen anonymisiert werden (z.B. letzte beiden Stellen entfernen) . So kommst nicht mit der DSGVO in Konflikt.

Es gibt immer noch tägliche Einträge in der log Datei:

[2020-10-12 18:26:13] OXID Logger.ERROR: EXCEPTION_SYSTEMCOMPONENT_CLASSNOTFOUND account_noticelist’)) and ((‘mtay’ like 'mtay ["[object] (OxidEsales\Eshop…

mit den 039 code