Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

Peter Hagel

Offizieller Servicepartner
SPBanner
20. August 2019
11
4
Hallo,

wir arbeiten aktuell mit Hochdruck daran unsere Kunden "zu fixen". Haben entsprechen auch schon einige Kunden gefunden die diese angegriffen wurden.
Laut den Logs wurde über eine SQL Injection ein Admin Konto angelegt 5 Mal die admin/index.php via GET Request aufgerufen und danach das admin Konto wieder gelöscht.

@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?



Grüße
Peter
 

lumbert

Gut bekanntes Mitglied
2. April 2009
338
21
Berlin
Ganz wichtig: Nicht nur prüfen ob diese Tests im Log sind, sondern die Ip nehmen und dann das Log prüfen.

Es werden bei Ausnutzung auch PHP Schnipsel hochgeladen die Vollzugriff erlauben, als auch Zugriff aufs Backend geben (User werden via SQL Injection angelegt und wieder gelöscht).

Die Lücke wird ausgenutzt
 

LaLumex

Aktives Mitglied
27. Juni 2016
26
0
Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane

Hallo Diane,

nein, euer Newsletter vom Dienstag zur Wawi 1.6 Open Beta hat mich auch erreicht.
Scheint ja auch nicht nur bei mir zu sein, weiter oben hat sich noch jemand gemeldet, der den Newsletter nicht erhalten hat.
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
*** WICHTIG ***
Bitte postet KEINE Auszüge aus euren Acces-Logs öffentlich! Aktuell ist es sehr kontraproduktiv die Angriffsmuster auch noch einfach öffentlich zugänglich zu machen!
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?
Wir arbeiten hier wirklich mit Hochdruck daran euch entsprechende Informationen bereit zu stellen. Bitte posted deshalb KEINE Logauszüge öffentlicht, damit nicht noch dumme Leute auf dumme Ideen kommen!
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
Hallo zusammen,

kurz zum Thema "Wieso habe ich keinen Newsletter erhalten": Solltet ihr keine Newsletter erhalten haben, prüft bitte einmal in eurem KC-Account, ob ihr für Newsletter angemeldet seid.

Sind dort Haken bei Punkten wie "Kritische Infos" gesetzt, kann es immer noch sein, dass ihr einen seltenen Ausnahmefall erwischt habt: Entweder ist in eurem KC-Kontaktaccount eine andere Mail-Adresse hinterlegt oder habt diese gewechselt. Dann gibt es immer noch mal SPAM-Stolpersteine beim jeweiligen eigenen Mail-Account, die ebenfalls den Empfang über Verteiler wie den unseren blockieren.

Und wie hier schon an einigen Stellen gesagt: Der Newsletter und sein Inhalt sind aus gutem Grund nicht im Forum gepostet worden. Wenn bei euch das Schloss an der Haustür defekt ist, unterhaltet ihr euch vermutlich auch nicht lautstark auf dem Marktplatz darüber, sondern weist die Mitbewohner des Hauses im Einzelnen drauf hin. Also bitte Vorsicht mit den Informationen. Es ist super, dass ihr euch hier gegenseitig unterstützt, aber im Idealfall macht ihr das bei diesem sensiblen Thema via PN.
 
  • Gefällt mir
Reaktionen: sah

sah

Sehr aktives Mitglied
11. Juni 2021
332
32
Herten
Die IP im Log führt nach Moskau, ob die Hacker einen sieben Jahren alten Mac benutzen ist wohl fraglich, wahrscheinlicher ist Spoofing ...
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
Hallo zusammen,

wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.
 

niro

Sehr aktives Mitglied
15. August 2012
280
32
Habe gerade mal die Logs durchsucht, das war hier wohl der Intruder:

*** bearbeitet ***
*** Bitte posted KEINE Logauszüge öffentlich, damit nicht noch dumme Leute auf dumme Ideen kommen! ***
 
Zuletzt von einem Moderator bearbeitet:

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Solange nicht alle 4er Shops gepatched sind möchten wir nicht das die konkreten Angriffsmuster hier im Forum stehen und sie jeder D... rauskopieren und ausprobieren kann! Bitte habt dafür Verständnis!
 

LaLumex

Aktives Mitglied
27. Juni 2016
26
0
wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.
Auch diesmal ist leider wieder nichts bei mir eingetroffen.
Newsletter ist nicht abbestellt, Haken bei "Kritische Infos" ist gesetzt, E-Mailadresse ist schon immer dieselbe und auch erreichbar. Am Dienstag bekam ich euren Newsletter noch...
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu DotLiquid Formel für Lieferadresse mail und wenn nicht vorhanden dann Rechnungsadresse mail verwenden Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu [Error][Code:21920403] Die angegebene E-Mail-Adresse ist falsch formatiert. eBay-Anbindung - Fehler und Bugs 5
Neu Fehler beim Bearbeiten der E-Mail-Vorlage "Bestellbestätigung" JTL-Shop - Fehler und Bugs 0
Neu Multichannel-E-Mail-Kopie aktiviert, aber in Konto xxxxxxx keine gültige E-Mail-Adresse angegeben? eBay-Anbindung - Fehler und Bugs 1
Beantwortet E-Mail Vorlage Versandbestätigung per Workflow ausführen, wie? JTL-Workflows - Ideen, Lob und Kritik 7
In Diskussion Mail Bewertungserinnerung Sprungmarke JTL-Workflows - Fehler und Bugs 1
Neu Rechnung automatisch per Mail versenden User helfen Usern - Fragen zu JTL-Wawi 9
Korrektur Name des Absenders bei Anforderung der Bestätigung der E-Mail-Adresse Einrichtung JTL-Shop5 1
Neu Workflow: Mail bei Notiz in Auftrags-Historie User helfen Usern - Fragen zu JTL-Wawi 1
Neu E-Mail erhalten: Wichtige Sicherheitsinformation Allgemeine Fragen zu JTL-Shop 5
In Diskussion E-Mail an Lieferanten bei Verkauf einer seiner Artikel JTL-Workflows - Ideen, Lob und Kritik 4
Lieferantenbestellung mit GLS Versandetikett an den Hersteller/Lieferanten per Mail Senden. JTL-Wawi 1.8 0
Wichtig 👉 Wichtig: Neue EU-Produktsicherheitsverordnung GPSR ab 13.12.2024 Releaseforum 0

Ähnliche Themen