Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

niro

Sehr aktives Mitglied
15. August 2012
280
32
Ich hatte wohl auch das Glück das sich die Datenbank aufgehängt hat und der Shop dann nicht mehr erreichbar war. Wurde ja erst vom Hoster wieder in Gang gebracht.
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Beispiel, clean:
xxx.xxx.xxx.xxx - - [31/Oct/2021:hh:mm:ss +0100] "GET /pfad HTTP/1.1" 200 Dateigröße "-" "System"

Statt "GET" sollte da dann eure beiden Befehle stehen? Sofern nur Zeilen mit "GET" drin sind, alles OK? Nicht mal ein Versuch?
Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.
 
  • Gefällt mir
Reaktionen: maestro

maestro

Aktives Mitglied
28. August 2014
21
7
Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.
Es macht durchaus Sinn, das ganze hier nicht detailliert zu schreiben. Allerdings hätte ich hier zumindest ein Posting mit dem schlichten Hinweis auf das Problem als SEHR hilfreich empfunden. Ohne Details. Und sicherheitshalber könnte doch das Unterforum hier nicht offen sein, sondern zur Zugriff mittels Login. So entgeht ihr auch ein wenig der Öffentlichkeit, ein kleinwenig. Dann wären wohl auch User hier direkt auf das Problem aufmerksam geworden, da die E-Mail ja anscheinend leider nicht bei allen ankam.

Die Links waren zudem wirklich übelst, anders kann man das nicht sagen. Bei Klick wurde direkt das zip-File angeboten... Klasse.

Ein weiterer Punkt bei der ersten Mail war die Ansprache mit "Liebe Kunden". Bei der zweiten Mail stand dann der Name drin, das macht gleich einen besseren Eindruck. Rein von der Aufmachung ging ich bei der ersten E-Mail schon davon aus, dass diese von JTL kommt. Die Details, Beschreibung, Sprache, Absender, Header, alles passte. Andererseits - man wird eben paranoid, ob nicht ein gewiefter irgendwo Mailadressen von Shopbetreibern abgegriffen hat. Dann ist die erste Möglichkeit, das ganze zu überprüfen schnell ins Forum zu schauen - da wird sowas ja sicher direkt stehen - Pustekuchen. Und genau das hatte mich eben verunsichert.

Daher Vorschlag: Macht doch einfach einen Thread auf, der nur nach Registrierung sichtbar ist. Den kann man sich ins Abo legen und bekommt dann parallel auch eine Benachrichtigung bei "wichtigen Informationen".

Nur als Verbesserungsvorschlag für die Zukunft.
 

Harald Weingaertner

Sehr aktives Mitglied
2. Oktober 2006
403
109
Ich habe in einem unserer Shops auch eine Zeile mit "tadminlogin" gefunden und es lag auch eine PHP Datei im Verzeichnis /bilder/banner

Wenn ich die aber aufrufe, dann passiert nichts. Ich hab auch den Patch mal rückgängig gemacht und die Datei aufgerufen... Guckt sich das heute noch jemand bei JTL im Ticketsystem an? Ich würde schon gerne wissen, ob ich noch mehr tun muss oder ob das Einspielen des Patches und das ändern der Passwörter ausreicht. Das Ticket ist eröffnet.
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.
 

lumbert

Gut bekanntes Mitglied
2. April 2009
338
21
Berlin
Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.

Aber auch hier gab es weitere Stufen: Der Test an sich, der Zugriff aufs Backend über den angelegten Account und dem Browsen von ein paar Seiten und dem Installieren einen Backdoor mit umfangreichen Möglickeiten Daten abzuziehen. Letzteres lese ich hier nicht, daher ganz wichtig: Prüft auf den Check, nehmt dann die Ip und prüft damit das ganze Log. Schaut Euch dann auf die zugegriffenen Dateien im Access-Log an, diese zwingend prüfen.

Wird der letzte Schritt nicht getan, nur der Patch eingespielt und das installierte PHP Skript nicht erkannt, dann ist auch nach der Installation vom Patch der Shop komplett "offen" und es können bspw. beliebig Dateien gelöscht werden oder jederzeit ein aktueller Dump der Kunden gezogen werden.
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
@LaLumex Hm, danke für die Info. Das ist schon seltsam, insbesondere, wenn Dienstag noch was ankam. Ich geh dem mal bei uns nach (kann jetzt übers WE natürlich schwierig werden), aber da ist auch meine Neugier angetriggert. ;) Kann natürlich auch sein, dass es an deinem Mailanbieter liegt, aber dazu möchte ich erst mal ein Problem bei uns ausschließen. Magst du mir mal per PN deinen Kundenaccount-Namen und hinterlegte Email-Adresse schicken?
 
  • Gefällt mir
Reaktionen: LaLumex

Harald Weingaertner

Sehr aktives Mitglied
2. Oktober 2006
403
109
Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.

Danke, in /bilder/banner liegt keine .htaccess. Wie müsste denn eine aussehen, wenn man da eine reinlegen will? Dann mache ich das mal sicherheitshalber.

Was die PHP Datei auslösen sollte, würde mich dann auch noch interessieren. Kann man nicht doch irgendwo einen Bereich öffnen, wo ich die mal reinkopieren kann?
 

Andre N.

Administrator
Mitarbeiter
1. März 2016
16
18
Ich habe in einem unserer Shops auch eine Zeile mit "tadminlogin" gefunden und es lag auch eine PHP Datei im Verzeichnis /bilder/banner

Wenn ich die aber aufrufe, dann passiert nichts. Ich hab auch den Patch mal rückgängig gemacht und die Datei aufgerufen... Guckt sich das heute noch jemand bei JTL im Ticketsystem an? Ich würde schon gerne wissen, ob ich noch mehr tun muss oder ob das Einspielen des Patches und das ändern der Passwörter ausreicht. Das Ticket ist eröffnet.
Hallo Herr Weingaertner,

der Shop-Support arbeitet natürlich aufgrund der aktuellen Entwicklung heute und morgen durch. Wir versuchen nach und nach alle Anfragen so schnell es geht zu bearbeiten.

Das Support Team
 

KlausB

Aktives Mitglied
9. Januar 2013
25
0
Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.
Leider ist in der Mail von heute aus meiner Sicht nicht alles eindeutig beschrieben. Ich habe den Patch gestern Abend eingespielt und habe heute ein Angriffsmuster in der access. log
Unter 2. steht ".. insert UND delete in der gleichen Zeile ..." -> Bei mir ist insert UND delete nicht in einer Zeile.
3. "dort ... Statuscode "200" ..." -> Tja, wo dort? In der Zeile Insert UND delete? Die wurden mit "404" quitiert.
Es gibt Zeilen, die mit dem Code "200" und mit über 2000 Byte quittiert wurden. Wurden nun doch Daten abgegriffen, obwohl das System gepatcht war?
 

Mark Schuepstuhl

Moderator
Mitarbeiter
27. April 2016
43
45
@maestro Tatsächlich beginnen all unsere offiziellen Mails mit "Liebe Kunden".

Zugegebenermaßen ist ein solcher Fall wir der diese ja nicht die Regel und dass der eine oder andere dann einen Schlag Extra-Paranoia dazugibt, nachvollziehbar. Daher ist der Verbesserungsvorschlag gut und vermerkt. Danke!
 
  • Gefällt mir
Reaktionen: maestro

sah

Sehr aktives Mitglied
11. Juni 2021
332
32
Herten
Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 4 08:23 TvpLrQKj.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:25 VvqoOG.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:46 vbRAuSwmy.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 07:54 vmPkr.php

Wir hatten in Banner vier Hintertüren ...
 

lumbert

Gut bekanntes Mitglied
2. April 2009
338
21
Berlin
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 4 08:23 TvpLrQKj.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:25 VvqoOG.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:46 vbRAuSwmy.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 07:54 vmPkr.php

Wir hatten in Banner vier Hintertüren ...

Prüfe zwingend Dein Access- Log dagegen, siehst Du Zugriffe auf diese Dateien, dann ist die Wahrscheinlichkeit groß´das der Angreifer Deine kompletten Daten aus tkunde hat.
Teile davon sind verschlüsselt, aber er hat damit auch das (verschlüsselte) Passwort zum Kundenzugang, die eMail des Kunden usw.

In dem Fall musst Du handeln, ich zitiere:

Sollten Sie weitere Angriffsmuster in Ihrem Access-Log identifizieren, ist der Vorfall unter Umständen als sicherheitskritisch und datenschutzrelevant einzustufen.
Bitte informieren Sie in einem solchen Fall umgehend Ihren Datenschutzbeauftragten und ziehen weitere Experten, wie z.B. Ihren Hosting-Dienstleister, zur Analyse der Logs zur Hilfe

Meiner Auffassung nach müsstest Du dann bspw. auch alle Kundenpasswörter zurücksetzen als auch alle Passwörter aus den Backend-Zugängen.
 
  • Gefällt mir
Reaktionen: maestro

maestro

Aktives Mitglied
28. August 2014
21
7
-rw-r--r-- 1 webxxx webxxx 866 Nov 4 08:23 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 08:25 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 08:46 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 07:54 x.php

Wir hatten in Banner vier Hintertüren ...
Heißt dass dann, dass hier die Lücke dann aktiv ausgenutzt wurde? Interessant auch dass hier schon gestern vormittag der erste Angriff erfolgte und heute dann nochmalig.

Welche Daten können denn generell abgegriffen werden? Alle getätigten Bestellungen seit Existenz des Shops?

Gibt es auch eine Möglichkeit z.B. Bestellungen älter als 1 Jahr rauszulöschen - klar - nicht schön für den Kunden - andererseits wenn diese nur noch "lokal" im heimischen System und nicht offen im www liegen - an sich ja auch kein Nachteil, wenn man als Betreiber diese Wahl hätte.
 
Zuletzt bearbeitet:

lumbert

Gut bekanntes Mitglied
2. April 2009
338
21
Berlin
Heit dass dann, dass hier die Lücke dann aktiv ausgenutzt wurde? Interessant auch dass hier schon gestern vormittag der erste Angriff erfolgte und heute dann nochmalig.

Prüfe im AccessLog ob es auf diese Dateien POST Requests gegeben hat, dazu dann schauen wieviel Daten zurückgeliefert wurden (Spalte nach dem http code, in der Regel 200). Wenn Du diese siehst, dann ist das problematisch.
 
  • Gefällt mir
Reaktionen: sah und maestro

301Moved

Sehr aktives Mitglied
19. Juli 2013
930
188
Nicht in eigener Sache, aber eben als Frage gehört (nicht hier im Forum aktiv):

Ticket anlegen ohne aktuelle Shop Subscription, falls man den Verdacht hegt?

WICHTIG: Es ist weiterhin möglich, dass auch jetzt noch Backdoors installiert sind, die auch nach Einspielen des Patches nutzbar bleiben. Wenden Sie sich daher bitte schnellstmöglich per Ticket an uns, damit wir Ihnen weiterhelfen können.
 

bebob

Gut bekanntes Mitglied
2. November 2015
140
17
Hi Zusammen,

ich kann in der access log diesen Beitrag "tadminlogin" nicht finden. Ist dann für uns entwarnung angesagt oder muss ich weiteres prüfen. Patch ist nach anleitung aufgespielt.

Gruß BeBoB
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu DotLiquid Formel für Lieferadresse mail und wenn nicht vorhanden dann Rechnungsadresse mail verwenden Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu [Error][Code:21920403] Die angegebene E-Mail-Adresse ist falsch formatiert. eBay-Anbindung - Fehler und Bugs 5
Neu Fehler beim Bearbeiten der E-Mail-Vorlage "Bestellbestätigung" JTL-Shop - Fehler und Bugs 0
Neu Multichannel-E-Mail-Kopie aktiviert, aber in Konto xxxxxxx keine gültige E-Mail-Adresse angegeben? eBay-Anbindung - Fehler und Bugs 1
Beantwortet E-Mail Vorlage Versandbestätigung per Workflow ausführen, wie? JTL-Workflows - Ideen, Lob und Kritik 7
In Diskussion Mail Bewertungserinnerung Sprungmarke JTL-Workflows - Fehler und Bugs 1
Neu Rechnung automatisch per Mail versenden User helfen Usern - Fragen zu JTL-Wawi 9
Korrektur Name des Absenders bei Anforderung der Bestätigung der E-Mail-Adresse Einrichtung JTL-Shop5 1
Neu Workflow: Mail bei Notiz in Auftrags-Historie User helfen Usern - Fragen zu JTL-Wawi 1
Neu E-Mail erhalten: Wichtige Sicherheitsinformation Allgemeine Fragen zu JTL-Shop 5
In Diskussion E-Mail an Lieferanten bei Verkauf einer seiner Artikel JTL-Workflows - Ideen, Lob und Kritik 4
Lieferantenbestellung mit GLS Versandetikett an den Hersteller/Lieferanten per Mail Senden. JTL-Wawi 1.8 0
Wichtig 👉 Wichtig: Neue EU-Produktsicherheitsverordnung GPSR ab 13.12.2024 Releaseforum 0

Ähnliche Themen