Hallo zusammen,
hatte gestern das Problem, daß ich nicht mehr in den Admin-Bereich kam-Login und passwort nicht bekannt.
Shop war normal online. Da es noch einen 2. Admin gibt, der glücklicherweise noch Zugriff hatte, konnten wir das relativ schnell reparieren. Ich hab mir dann die Serverlogs geholt und festgestellt, daß von über einen türkischen Provider der shop systematisch mit post-Befehlen attackiert wurde - speziell im Adminbereich, so wurde auch dann meine login-mailadresse geändert! Weiterhin wurde eine php-Datei im root-Verzeichnis abgelegt - so wie es aussieht verschlüsselt. Die wurde dann wohl auch aufgerufen! (Fehlermeldung im Serverlog).
Datei und logs hab ich mal gesichert, leider fehlen mir die Kenntnisse, das alles genau zu analysieren.
Gibt es eine Möglichkeit, solche GET-POST-Attacken zu verhindern??
Bin für jeden Hinweis dankbar!
Rolf
Erstmal würde ich den Admin-Ordner durch ein zusätzliches htaccess und password sichern.
Alles andere klingt vor allem stark nach Server-Lücke (insbesondere ein File auf dem root-Folder abzulegen), da wäre der Hoster/Serverbetreiber der erste Ansprechpartner
Über welche Shop-Version reden wir denn?
Absbach-uralt oder was aktuelles?
Ich würde mich auch mal an Oxid wenden, die können sicher sagen, ob es einen Fix gibt, oder ob es eine neue Lücke ist.
Hi,
ja unbedingt. Bitte möglichst detaillierte Info mit Versionsnummer an die security@, am besten gleich in Englisch, wenn möglich.
Danke und Gruß
Hallo zusammen,
habe die aktuelle CE 4.6.0 - und mittlerweile in den Serverlogs auch die wohl entscheidenden Hinweise gefunden. Zur Struktur :
Im rootverzeichnis liegen alle Dateien einer homepage , in einem unterverzeichnis der oxidshop.
Hab alle Details an security@ geschickt.
Rolf