Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

bypit

Aktives Mitglied
20. August 2019
10
4
Hallo,

wir arbeiten aktuell mit Hochdruck daran unsere Kunden "zu fixen". Haben entsprechen auch schon einige Kunden gefunden die diese angegriffen wurden.
Laut den Logs wurde über eine SQL Injection ein Admin Konto angelegt 5 Mal die admin/index.php via GET Request aufgerufen und danach das admin Konto wieder gelöscht.

@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?



Grüße
Peter
 

lumbert

Gut bekanntes Mitglied
2. April 2009
338
21
Berlin
Ganz wichtig: Nicht nur prüfen ob diese Tests im Log sind, sondern die Ip nehmen und dann das Log prüfen.

Es werden bei Ausnutzung auch PHP Schnipsel hochgeladen die Vollzugriff erlauben, als auch Zugriff aufs Backend geben (User werden via SQL Injection angelegt und wieder gelöscht).

Die Lücke wird ausgenutzt
 

LaLumex

Aktives Mitglied
27. Juni 2016
23
0
Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane

Hallo Diane,

nein, euer Newsletter vom Dienstag zur Wawi 1.6 Open Beta hat mich auch erreicht.
Scheint ja auch nicht nur bei mir zu sein, weiter oben hat sich noch jemand gemeldet, der den Newsletter nicht erhalten hat.
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.750
460
Halle
*** WICHTIG ***
Bitte postet KEINE Auszüge aus euren Acces-Logs öffentlich! Aktuell ist es sehr kontraproduktiv die Angriffsmuster auch noch einfach öffentlich zugänglich zu machen!
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.750
460
Halle
@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?
Wir arbeiten hier wirklich mit Hochdruck daran euch entsprechende Informationen bereit zu stellen. Bitte posted deshalb KEINE Logauszüge öffentlicht, damit nicht noch dumme Leute auf dumme Ideen kommen!
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
Hallo zusammen,

kurz zum Thema "Wieso habe ich keinen Newsletter erhalten": Solltet ihr keine Newsletter erhalten haben, prüft bitte einmal in eurem KC-Account, ob ihr für Newsletter angemeldet seid.

Sind dort Haken bei Punkten wie "Kritische Infos" gesetzt, kann es immer noch sein, dass ihr einen seltenen Ausnahmefall erwischt habt: Entweder ist in eurem KC-Kontaktaccount eine andere Mail-Adresse hinterlegt oder habt diese gewechselt. Dann gibt es immer noch mal SPAM-Stolpersteine beim jeweiligen eigenen Mail-Account, die ebenfalls den Empfang über Verteiler wie den unseren blockieren.

Und wie hier schon an einigen Stellen gesagt: Der Newsletter und sein Inhalt sind aus gutem Grund nicht im Forum gepostet worden. Wenn bei euch das Schloss an der Haustür defekt ist, unterhaltet ihr euch vermutlich auch nicht lautstark auf dem Marktplatz darüber, sondern weist die Mitbewohner des Hauses im Einzelnen drauf hin. Also bitte Vorsicht mit den Informationen. Es ist super, dass ihr euch hier gegenseitig unterstützt, aber im Idealfall macht ihr das bei diesem sensiblen Thema via PN.
 
  • Gefällt mir
Reaktionen: sah

sah

Aktives Mitglied
11. Juni 2021
102
10
Herten
Die IP im Log führt nach Moskau, ob die Hacker einen sieben Jahren alten Mac benutzen ist wohl fraglich, wahrscheinlicher ist Spoofing ...
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
Hallo zusammen,

wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.
 

niro

Gut bekanntes Mitglied
15. August 2012
269
3
Habe gerade mal die Logs durchsucht, das war hier wohl der Intruder:

*** bearbeitet ***
*** Bitte posted KEINE Logauszüge öffentlich, damit nicht noch dumme Leute auf dumme Ideen kommen! ***
 
Zuletzt von einem Moderator bearbeitet:

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.750
460
Halle
Solange nicht alle 4er Shops gepatched sind möchten wir nicht das die konkreten Angriffsmuster hier im Forum stehen und sie jeder D... rauskopieren und ausprobieren kann! Bitte habt dafür Verständnis!
 

LaLumex

Aktives Mitglied
27. Juni 2016
23
0
wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.
Auch diesmal ist leider wieder nichts bei mir eingetroffen.
Newsletter ist nicht abbestellt, Haken bei "Kritische Infos" ist gesetzt, E-Mailadresse ist schon immer dieselbe und auch erreichbar. Am Dienstag bekam ich euren Newsletter noch...
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Workflow einrichten - nicht versendbare Artikel per E-Mail versenden User helfen Usern - Fragen zu JTL-Wawi 0
Neu E-Mail Adressen von Kunden werden nicht in die WAWI importiert eBay-Anbindung - Fehler und Bugs 0
Neu Standard Header & Footer in Wawi E-Mail Vorlagen hinterlegen Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 2
Neu Ratepay (Paypal Rechnungskauf) Bankdaten in Bestell-Mail? Allgemeine Fragen zu JTL-Shop 0
Neu E-mail Konto vorübergehend gesperrt. Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 0
Neu Feste Rechnungs E-Mail Adresse hinterlegen. JTL-Wawi - Ideen, Lob und Kritik 0
E-Mail Vorlagen Shop-5 Einrichtung JTL-Shop5 0
Neu E-Mail Absendername fehlt Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu PDF Formatierungsfehler bei automatischer E-Mail JTL-Wawi - Fehler und Bugs 2
Zahlungsbestätigungen via E-Mail an Kunden versenden? JTL-Wawi 1.6 0
In Diskussion Automatische Mail an den KD. bei erfolgreichen PayPal und AmazonPay Zahlungen? JTL-Workflows - Ideen, Lob und Kritik 5
Neu [Email / DKIM] Wo setzt man "Content-Transfer-Encoding" für die Mail-Vorlagen im Shop 4? Einrichtung von JTL-Shop4 3
Neu E-Mail "Bestellung über ... und einem weiteren produkt" User helfen Usern - Fragen zu JTL-Wawi 3
Shop 5 Mail Vorlagen zum Kaufen Einrichtung JTL-Shop5 0
Neu Problem beim Ändern der Rohdaten einer E-Mail Vorlage. Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 15
Neu USt-ID Variable in E-Mail-Vorlagen wird nicht angezeigt JTL-Shop - Fehler und Bugs 0
Neu Eigenes Feld in Auftrag E-Mail ausgeben (dotliquid/sql) Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu Rechnung und Trackingcode in einer E-Mail User helfen Usern - Fragen zu JTL-Wawi 1
Neu WICHTIG: Behebung einer kritischen Sicherheitslücke in JTL-Shop 4 & 5 Allgemeine Fragen zu JTL-Shop 8
Neu Umfrage: Welche Daten sind euch für eine Auswertung in Form einer Statistik wichtig? JTL-Plan&Produce - Ideen, Lob und Kritik 1
Neu WICHTIG: Ausfall des FCC-Connectors durch Deutsche Fiskal JTL-POS - Fehler und Bugs 2
Neu Shop SQL-Injection Sicherheitslücke - Patch drauf und gut ist? Sonst keine Maßnahmen? Betrieb / Pflege von JTL-Shop 11
Neu 1.6.40.0 Kritische Sicherheitslücke Fehlerhafte Rechtevergabe Zugriff auf sensible Daten ohne Berechtigung möglich JTL-Wawi - Fehler und Bugs 11
Behebung einer kritischen Sicherheitslücke in JTL-Shop 5 Einrichtung JTL-Shop5 1

Ähnliche Themen