Oxuser, Oxremark und oxobject2group gehackt?

Hallo, ich bin ratlos. Seit ca. 2 Tagen tragen sich am Tag mehrere 1000 neue User als “Kunden” ein, als “Vorname” mit bekannten SPAM-Dingern wie “??? You have pending messages (3) from Diana! View Messages: https://example.com ???”. Ich habe gestern mit SQL-Befehlen meine Datenbank bereinigt, heute morgen wieder der gleiche Mist. Es hört nur auf, wenn ich meinen Shop offline nehme, aber das kann es ja auch nicht sein.

Laut “Systemgesundheit” hat der Shop keine Probleme, Version 6.4.1 ist installiert, Zugriffsrechte wurden überprüft, tmp-ordner etc. gelöscht. Muss ich mit meinem Shop erst umziehen, bevor das aufhört?

Da würde ich mir als erstes mal die Logfiles beim Provider anschauen

das ist wahrscheinlich nur spam, installiere
OXID Google reCaptcha V3 Modul | | OXID Shop oder ähnliches

Wenn es doch etwas anderes ist oder Du Dich vergewissern möchtest, solltest die Dateien prüfen: FOXIDO.DE | HackCheck | Oxid Module

Es ist aber nichts dergleichen bekannt. Sollte mit dem Captcha erledigt sein.

Besten Dank für Eure Antworten. Die Idee, das Registrierungsformular mit einem Captcha zu schützen, erscheint mir am aussichtsreichsten. Es ist ja offenbar so, dass Bots über diesen Weg meine Datenbank vollmüllen. Ich hatte “simple captcha” installiert, nur leider bietet das Modul keinen Schutz für das Registrierungsformular. Also habe ich das modul wieder deinstalliert (war nicht so einfach, es wieder loszuwerden). Dann hatte ich versucht, das OXID Google reCaptcha V3 Modul zu installieren, da dieses ja auch das Anmeldeformular schützen soll. Da php 8.0 noch nicht den ioncube loader unterstützt, musste ich php 7.4 installieren und startete einen erneuten Versuch, das captcha-Modul via Composer zu installieren. Leider kamen zahlreiche Fehlermeldungen:

Package topconcepts/OXID-klarna-6 is abandoned, you should avoid using it. Use fatchip-gmbh/OXID-klarna-6 instead.
Package webmozart/path-util is abandoned, you should avoid using it. Use symfony/filesystem instead.
Package phpunit/php-token-stream is abandoned, you should avoid using it. No replacement was suggested.
Generating autoload files
composer/package-versions-deprecated: Generating version class…
composer/package-versions-deprecated: …done generating version class
63 packages you are using are looking for funding.
Use the composer fund command to find out more!
Generating OXID eShop unified namespace classes … Done
Update operation will overwrite bestit/amazonpay4oxid files in the directory source/modules. Do you want to overwrite them? (y/N)
In QuestionHelper.php line 114:

[Error]
Call to undefined method Symfony\Component\Console\Question\Question::getAutocompleterCallback()

Und das wars. Das Modul konnte nicht installiert werden, jedenfalls konnte ich es im Backend unter Erweiterungen nicht finden, da es nicht angezeigt wurde. Ich verstehe allerdings auch nicht, warum die Captcha-Funktion nicht mehr in der Standardinstallation des OXID Shops enthalten ist. Für mich ist das ein Grund, nun doch ernsthaft über einen Wechsel zu einem anderen Shopsystem nachzudenken. Aber vielleicht bin ich auch einfach nur zu doof, das Modul zu installieren. Über weitere Hilfe wäre ich sehr dankbar.

Quick und Dirty: Das Modul nach modules kopieren und im composer registrieren als psr-4 autoload, dann ein composer dump-autoload.
Sauber: Die composer Hölle aufzulösen und alles auf aktuellen Stand bringen.

Gruss

Konnte nun formrecaptchav3-module installieren und siehe da - seit 13:08 Uhr kein einziger SPAM-Eintrag mehr. Die Probleme mit dem composer hatte ich aufgrund eingeschränkter Zugriffsrechte meines Providers. Wenn ich mit dem User, der den OXID-shop installiert hat, composer installiere, bekomme ich nichts außer einen Haufen Fehlermeldungen, die aber nicht sofort ein Rechteproblem vermuten lassen. Nach mehreren Stunden Kopfzerbrechen hatte ich dann den composer mit root-Rechten upgedatet (in dem Moment waren seltsamerweise auch alle Module sichtbar, die ich bereits gestern installiert hatte!), dann dem kompletten Verzeichnisbaum mit chmod wieder den ursprünglichen User zugewiesen - et voila. Die SQL-Datenbank von ca. 30.000 Einträgen befreit und nun sieht alles wieder recht ordentlich aus. Einziges Problem: Diese SPAM-Arie muss meinen phpmailer irgendwie gekillt haben (oder mein Provider hat ihn deaktiviert?). Jedenfalls bekomme ich nun immer die Standardmeldung “email problem in shop”! Aber da werde ich hoffentlich im Forum fündig werden.

Bitte entfernen.

Ich würde gerne zumindest den Link entfernen, kann hier aber nichts editieren. Vielleicht kann das einer der Admins machen? Sonst bitte löschen…danke!

1 Like

Nicht bei mir. Oben :wink:

1 Like

aso komisch das als Thread Autor man nicht editieren kann, dies wundert mich… Aber sollte jetzt entfernt bzw. getauscht sein.

1 Like