Hallo und vielen Dank fürs Weiterlesen. Wir haben seit heute einen Benutzer im Shop, der die Kundennummer eines bisherigen Admin hat, der dann auch Admin-Rechte hatte und der frühere Admin existierte nicht mehr. Dieser neue Benutzer hat allerdings nicht nur die Admin-Rechte und die Kundennummer aus der Tabelle oxuser, sondern auch die oxid übernommen, und auch das Datum in oxcreate und in oxregister. Alle anderen Daten wie Name, Tel-Nr usw. sind relativ plausibel, bis auf eine etwas eigenwillige Mail-Adresse.Den Benutzer habe ich dann zum Kunden gemacht (was er interessanterweise über einen anderen Shop, der unserer Artikel führt, auch geworden ist).
Ich habe keine richtige Erklärung dafür , wie das zustande gekommen sein könnte. Das loggen in oxadmin.log war nicht scharf geschaltet und bis auf die Spuren in oxuser ist mir nichts falsches aufgefallen. Was noch sollte ich unbedingt prüfen bzw. ändern?
Man eh… Das ist eine 6.1 oder welche Shopversion?
das ist Community Edition 6.2.2 mit Wave und Wave-Child.
Okay, also offenbar nichts, was bereits hier aufgefallen wäre:
Seit ein paar Tagen gehen ein paar üble Brute-Force-Attacken bis hin zu DDoS um. Insbesondere Admin-Bereiche (aller möglichen CMS-Systeme/Shops) mit schwachen bzw. unzureichenden Passwörtern sowie Admin-Bereiche, die nicht über .htaccess extra noch abgesichert wurden, könnten betroffen sein. So etwas könnte ich mir ggf. vorstellen.
Sprich doch bitte mal mit dem Support beim Hosting-Provider, eventuell gab es dort Auffälligkeiten. Vielleicht hast Du auch die Möglichkeit, eine WAF (z.B. Cloudflare) vorzuschalten. Wenn Du etwas Genaueres hast, wie in OXID eingebrochen wurde, schick gern eine Info an die security@.
Danke.
Sprich doch bitte mal mit dem Support beim Hosting-Provider
werde ich morgen machen.
Prima. Und häng eine .htaccess vor den Admin!
d.h. das Verzeichnis …\source\admin\ per htaccess absichern?
natürlich!
Danke, auch wenn für mich leider noch nichts
ist. Hab das Zeug nicht mit der Muttermilch aufgezogen und auch nicht mit Honig;-) Aber ich hab’s gemacht und es funktioniert.
Wobei ja die Ursache damit noch nicht geklärt ist…
Du - ich auch nicht 
Ursache war ein mismatch bei den benutzten IDs beim Datenaustausch zwischen Oxid und unserer Warenwirtschaft. Die letzte Ursache hierfür war nicht mehr feststellbar, aber hat vermutlich mit Testkäufen, Löschen von Benutzern mal auf der einen Seite mal der anderen Seite und der Verwendung von Admin Profilen für Käufe zu tun.
Positiver Nebeneffekt: Verzeichnis Admin mit Htaccess abgesichert. Und die Log-Files von Oxid und Webserver besser kennengelernt. Danke an @marco.steinhaeuser.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed.