wir haben gerade ein akutes problem. auf unserem community shop version 4.4.6_32697 scheint sich über nacht jemand zu schaffen gemacht zu haben.
gegen aussen läuft alles normal und sogar bestellungen kommen rein, aber sobald man in der admin fläche ein javascript link anklickt fällt man aus der admin fläche raus (also zurück zur login seite). die login seite ist dann im oberen bereich mit offensichtlichem spam / maleware links zu gepflastert.
hatte jemand schon mal ähnliche probleme und eine idee wie wir das asap beheben können?
bitte keine schlaumeiersprüche ala “wieso setzt ihr alte version ein”. wissen wir selbst und ärgern wir uns schon genug…
das dürfte weniger an der alten Version liegen, als an unzureichend sicheren Passwörtern oder so etwas in der Art - falls der Shop wirklich gehackt wurde
Du sagst, im Adminbereich? Habt Ihr das mal mit einem anderen Browser versucht? Nicht, dass sich da in dem Browser ein sogenanntes “Helper”-Tool eingenistet hat…
Falls es nicht daran liegt, zieh Dir das Installationspaket Eurer Version (http://wiki.oxidforge.org/Downloads/4.4.6) und lade die Dateien aus /out/admin neu hoch, überschreibe dabei die vorhandenen. Bitte vorher (trotz allem) eine Sicherung davon machen.
Ach so, hat vielleicht der Hoster ein Backup von gestern, das notfalls eingespielt werden könnte?
Und noch was - unbedingt alle Passwörter von Admin-Zugängen ändern, auch zur Datenbank! (das der DB muss man dann in der config.inc.php natürlich auch ändern)
wir sind selbst zwischenzeitlich schon weiter und konnte das problem vorerst lösen, trotzdem hab ich noch ungutes bauchgefühl.
ursache war, dass jemand im /core/-verzeichniss ein ordner “js” angelegt hat (wenn ich mich richtig errinnere hat die original installation gar kein solches verzeichnis). deshalb auch das problem nur dann, wenn man eine javascript-link anklickte.
ich hab das verzeichnis “js” nun umbenannt und nun läuft alles wieder normal.
was ich mich gerade frage:
wie kann jemand so ein verzeichnis anlegen? von uns war es ganz bestimmt niemand.
irgendwo muss das ganze ja dann wohl auch eingebunden worden sein, sonst würde oxid ja nicht drauf zugreiffen. jemand eine idee?
update: im admin verzeichnis befand sich eine php datei “version.php”.
damit konnte man wahrscheinlich irgendwie einloggen / hacken etc…
wie das alles da hin kam prüfen wir grad mit unserem hoster, aber checkt doch vielleicht mal ob ihr auch eine version.php im admin habt… und falls ja lieber weg damit.
Jetzt aber unbedingt den Admin-Ordner mit .htaccess und .htpasswd (starkes PW verschlüsselt) schützen - also Double-Login. Das wurde bereits an anderer Stelle empfohlen.
@earlybird: danke für den tipp, werden wir sicherheitshalber so machen. ich kann mir aber nicht vorstellen das jemand das über den admin eingespeisst hat. oder gibts da eine bekannte sicherheitslücke
@novalgin: filezilla… bin zwischenzeitlich auch schon drauf gestossen das der scheinbar ein paar bugs hat. bin mir aber nicht so sicher wie glaubwürdig diese berichte sind oder ob es nur die konkurrenz ist die uns eine anderer ftp andrehen will. weiss da jemand was genaueres? wäre natürlich haarsträubend…
Ich tippe bei deinem Problem ganz stark auf Filezilla. Es gab/gibt da ganz gravierende Sicherheitslöcher und Bugs, die unter anderem genau solche Dinge bewirkt haben.
Hau den Schrott runter, ändere Sicherheitshalber deine FTP Zugangsdaten und der Fall sollte erledigt sein.
@reezi
es besteht ja immer eine Gratwanderung zwischen Zugriffsrechten und Sicherheit.
Bereits bei der Shop-Installation wird man damit erstmals konfrontiert: Nachdem einige Ordner während der Installation auf 777 gesetzt werden müssen und dann wieder zurück auf die ursprünglichen 644 und 755, kann es sein dass der Shop dann trotzdem statt 644 -> 777 reklamiert.
Wenn ein Angreifer das ftp-Password bereits hat, dann steht ihm alles offen. Das hat aber mit Oxid nichts zu tun. Provider setzten die Anzahl der Loginversuche auf eine Anzahl von z.B. 5 um Hacker auszusperren.
ich hab so etwas schon ein paar mal gesehen. Ursache dafür war in allen Fällen ein Trojaner auf der Windows-Büchse, der die in Standardverzeichnissen abgelegten ini-Dateien von FTP-Programmen wie Filezilla oder Total Commander ausgelesen und die dort unverschlüsselt abgelegten Zugangsdaten für eigenen FTP-Zugriff benutzt hat.
Behebung:
wie oben schon erwähnt, Änderung aller Passwörter, incl. FTP
Konfiguration der ini-Files so, dass sie nicht in Standardverzeichnissen liegen und anders heissen.
danke für die vielen guten tipps. ftp haben wir geändert und filezilla abgeschossen.
was mich trotzdem noch wunder nimmt und ich mir nicht erklären kann:
der “hacker” hat das verzeichniss “/core/js” angelegt. als ich das löschte / umbenannte war der fehler sofort weg und alles wieder normal. wie schon bei der einleitung gesagt, ist das problem nur aufgetreten wenn man innerhalb des admins auf einen javas-script link geklickt hat.
wieso greifft oxid auf dieses verzeichnis zu? das kann ja nicht nur daran liegen das es existiert. irgendwo muss der hacker das ja auch einlesen / einbinden. oder fehlt mir da eine grundlegende info zur architektur / handling von oxid und js?
Wenn Filezilla die Ursache war, wird sich auf deinem Rechner vermutlich ein Trojaner oder Maleware befinden. Denke daran, dass ALLE gespeicherten FTP´s davon betroffen sind.
Ferner solltest Du ALLE Dateien runterladen und von einem VW prüfen lassen.
Denn richtig Sinn macht so ein Hack nur, wenn auch alle bereits auf dem Server liegenden Dateien infiziert werden. Oft sieht man das daran, das am Anfang oder Ende des Quellcodes ein I-Frame oder Javascript Code eingebunden wird.
Wenn Du deine Email Zugangsdaten hinterlegt hast, vergiss nicht diese auch zu ändern, falls sie als Spamschleuder verwendet wird.
