Oxid Shop gehackt

Esopia · November 21, 2015, 10:04pm

Hallo Zusammen,
mein Oxid Shop wurde vor einigen Tagen gehackt. Mein Provider ist profihost.

Nach dem Hacking wurden dann bestimmte php-Dateien verwendet um SPAMs zu versenden.
Ich wollte einmal fragen ob noch jemand davon betroffen ist?
Naja, ist halt nicht so schön
Grüsse Pia
www.esopia.de

vanilla_thunder · November 21, 2015, 10:52pm

Woher kommt die Info, dass ausgerechnet der Shop gehackt wurde und nicht dein webspace oder dein ftp Client?

marco.steinhaeuser · November 23, 2015, 10:48am

Hoi,

die esopia.de ist jetzt offline. Falls sich mit Hilfe von PH herausfinden lässt, wie der Angreifer reingekommen ist, wären nähere Informationen auf die security@ ganz wichtig (wenn tatsächlich der Shop betroffen ist):
http://wiki.oxidforge.org/Security

Danke und Gruß

Esopia · November 23, 2015, 10:34pm

Ja, ich weiß, dass esopia noch offline ist.

Der Speicherplatz wurde gehackt. Es liefen diverse verbotene Skripte bzw. es wurde massiv Spam verschickt.
Mein Admin hat sich darum gekümmert, 4 Tage später wurde schon wieder Spam über eine php-Datei verschickt.
Also wurde der Shop ja nicht gehackt.
Naja, wird schon irgendwie wieder
LG

marco.steinhaeuser · November 23, 2015, 10:47pm

Ich habe heute mit PH telefoniert, jedoch aus Datenschutzgründen nicht alles herausfinden können. Kannst Du mir die E-Mail von PH als PM weiterleiten bitte?

Danke und Gruß

tabsl · November 27, 2015, 7:02am

wäre schön hier letztendlich mal zu wissen was sachlage war. so wie sich das liest warja oxid doch nicht schuld …

marco.steinhaeuser · November 27, 2015, 8:07am

Nein, war’s nicht. Ich vermute aufgrund der Sachlage mal wieder das übliche Spielchen: FTP-Zugänge mit Hilfe eines PC-Virus geknackt, Malware auf den Server eingeschleust und los geht’s.
Danke @Esopia für die Infos!

Gruß

Esopia · December 3, 2015, 4:38pm

Sachlage ist im Moment die, dass 2 PHP-Dateien zum Spam-Versand bentutzt wurden. Dies wurde wieder behoben. 1 Tag später ist eine neue PHP-Datei befallen. Es sieht so aus, als ob das Problem so einfach nicht in den Griff zu bekommen ist. Morgen wird wahrscheinlich eine weitere befallen sein. Mein Admin schlägt Serverumzug und Neuaufsetzung des Shops vor. Jedenfalls weiß ich im Moment gar nicht mehr weiter und muss das alles erstmal sacken lassen.

Firefax · December 3, 2015, 4:49pm

Die Vermtung, dass es nicht der Shop war liegt jetzt wohl näher. Hattest du deinen Rechner gecheckt, FTP-Programm, was läuft da sonst noch (Wordpress?), alle Passwörter geändert, Zugänge reduziert und beschränkt, …

vanilla_thunder · December 3, 2015, 5:21pm

ich würde mal FTP sperren und gucken ob es nochmal passiert

Esopia · December 3, 2015, 5:36pm

Ich hab noch nen uralt ftp von 1995 oder so. Wäre sinnvoll diesen zu ersetzen. Welchen schlagt Ihr vor ?
FTP Zugänge + MySQML wurden geändert.
Mein PC ist sauber. Neuinstallation vor ca. 4 Wochen. Dann hab ich mit Mailwarebytes geprüft. Spybot ebenalls und Antivira hab ich als Virensoftware.
Ansonsten hab ich Microsoft Office drauf.

Stimmt. Nicht der Shop wurde gehackt, sondern der Arbeitsspeicher (?), bzw. jetzt wird über php spam versendet

vanilla_thunder · December 3, 2015, 5:59pm

ich benutze seit Jahren WinSCP (aber immer die aktuelle Version )
https://winscp.net/eng/docs/lang:de