Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

jaquesbubu

Aktives Mitglied
21. Februar 2012
39
0
Hallo,
wir haben die Datei .gitkeep im Verzeichnis banner (auch in anderen Verzeichnissen).
Ich gehe mal davon aus, dass diese Datei was mit github und JTL zu tun hat?
 
Zuletzt bearbeitet:

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Hallo,
wir haben die Datei .gitkeep im Verzeichnis banner (auch in anderen Verzeichnissen).
Ich gehe mal davon aus, dass diese Datei was mit github und JTL zu tun hat?
Die .gitkeep ist unkritisch und gibt es eigentlich nur, wenn der Shop mal direkt aus dem Repo installiert wurde. In den Installationspaketen sollten diese Dateien eigentlich nicht drin sein.
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle

Roadrider

Gut bekanntes Mitglied
3. März 2012
224
2
Ich bin leider wirklich nicht fit in Sachen Datenbanken etc. pp. und daher um Hilfe dankbar.

Wir haben wegen den Access Logs bei unserem Webhosting nachgefragt. Hier wurde uns der logs Ordner auf dem FTP Server gezeigt. Hier werden für jeden Tag und für jede Domain Archive angelegt mit den entsprechenden Log-Dateien. Sind das diese Dateien in denen man nach Auffälligkeiten schauen soll? Oder sind wir hier falsch?
Denn hier kann ich nirgendswo "tadminlogin" finden? Ist der Schnipsel "tadminlogin" nur aufgeführt, wenn versucht wird ein neues Admin Konto zu erstellen? Wie werden denn normale Admin-Logins, bspw. durch mich, geloggt?

In unserem Banner Ordner war(en) auch keine .php Datei(en). Wenn ich dann richtig gesucht habe und kein "tadminlogin" Schnipsel gefunden habe ist davon auszugehen das alles in Ordnung ist? In welcher Zeitraum sollen denn die Log Dateien untersucht werden?
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Wir haben wegen den Access Logs bei unserem Webhosting nachgefragt. Hier wurde uns der logs Ordner auf dem FTP Server gezeigt. Hier werden für jeden Tag und für jede Domain Archive angelegt mit den entsprechenden Log-Dateien. Sind das diese Dateien in denen man nach Auffälligkeiten schauen soll? Oder sind wir hier falsch?
Ja, um diese Log-Files geht es. Ein typischer Eintrag sieht dort in etwa so aus:
xxx.xxx.xxx.xxx - - [04/Nov/2021:09:54:48 +0100] "GET /admin/index.php HTTP/1.1" 200 2152 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) ...."
Denn hier kann ich nirgendswo "tadminlogin" finden? Ist der Schnipsel "tadminlogin" nur aufgeführt, wenn versucht wird ein neues Admin Konto zu erstellen? Wie werden denn normale Admin-Logins, bspw. durch mich, geloggt?
Wenn im gesamten Access-Log kein einziger Treffer für tadminlogin gefunden wurde, ist es sehr unwahrscheinlich, dass der zugehörige Shop betroffen ist.
In welcher Zeitraum sollen denn die Log Dateien untersucht werden?
Sicherheitshalber solange zurück wie möglich.
 

Roadrider

Gut bekanntes Mitglied
3. März 2012
224
2
Ja, um diese Log-Files geht es. Ein typischer Eintrag sieht dort in etwa so aus:
xxx.xxx.xxx.xxx - - [04/Nov/2021:09:54:48 +0100] "GET /admin/index.php HTTP/1.1" 200 2152 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) ...."

Wenn im gesamten Access-Log kein einziger Treffer für tadminlogin gefunden wurde, ist es sehr unwahrscheinlich, dass der zugehörige Shop betroffen ist.

Sicherheitshalber solange zurück wie möglich.

Danke für die schneller Antwort.

Und zum Verständnis: Der Log "tadminlogin" wird nur gespeichert wenn ein neuer Admin Zugang erstellt wird?

Solche Einträge wie genannt "xxx.xxx.xxx.xxx - - [04/Nov/2021:09:54:48 +0100] "GET /admin/index.php HTTP/1.1" 200 2152 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) ....""
finde ich viele. Aber das sind dann normale Einträge in Zusammenhang mit meinen Arbeit im Backend etc.?
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Ja, genau. tadminlogin ist keine gültige Resource für einen Web-Zugriff und taucht nicht in diesen Logs auf. Für dieses Angriffszenario ist das Vorhandensein von tadminlogin in einem Logfile deshalb ein sicheres Zeichen für einen Angriffsversuch.
 

Roadrider

Gut bekanntes Mitglied
3. März 2012
224
2
Wir haben jetzt die access.logs vom 01.10-05.11. mit Notepad ++ kontrolliert. Wir konnten kein einziges Mal "tadminlogin" finden. Im Ordner bilder/banner waren auch keine php's. Bedeutet das jetzt, dass wir sicher sind und kein Zugriff von außen stattgefunden hat? Wie ist hier eure Handlungsempfehlung, nachdem wir gestern bereits die Lücke geschlossen haben?
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Wir haben jetzt die access.logs vom 01.10-05.11. mit Notepad ++ kontrolliert. Wir konnten kein einziges Mal "tadminlogin" finden. Im Ordner bilder/banner waren auch keine php's. Bedeutet das jetzt, dass wir sicher sind und kein Zugriff von außen stattgefunden hat? Wie ist hier eure Handlungsempfehlung, nachdem wir gestern bereits die Lücke geschlossen haben?
In diesem Fall würde ich mit sehr hoher Wahrscheinlichkeit davon ausgehen, dass es keinen Zugriff durch unbefugte Dritte gegeben hat. Auf alle Fälle sicherstellen das es die bereits gen. .htaccess im Ordner /bilder gibt und zur Sicherheit auch die Access-Logs in den nächsten Tagen im Auge behalten.
 

Roadrider

Gut bekanntes Mitglied
3. März 2012
224
2
In diesem Fall würde ich mit sehr hoher Wahrscheinlichkeit davon ausgehen, dass es keinen Zugriff durch unbefugte Dritte gegeben hat. Auf alle Fälle sicherstellen das es die bereits gen. .htaccess im Ordner /bilder gibt und zur Sicherheit auch die Access-Logs in den nächsten Tagen im Auge behalten.
Ok. Danke.

Ja, eine .htaccess gab es, war aber nur die erste Zeile drin. Da habe ich noch den von dir angegebenen Code eingefügt.
 
  • Gefällt mir
Reaktionen: FPrüfer

Harald Weingaertner

Sehr aktives Mitglied
2. Oktober 2006
403
109
Mir ist nicht ganz klar, was aus der Datenbanktabelle tkunde ersichtlich ist. Wenn ich mir die mit phpmyadmin angucke, dann sehe ich da den Vornamen, Hausnummer, PLZ, Ort, E-Mail, Land und Registrierdatum. Alles andere (Nachnahme, PW, etc.) sieht für mich verschlüsselt aus. Scheinbar wurde in einem Shop zumindest mal eine PHP Datei hochgeladen. Falls wir herausfinden, dass auch Daten aus tkunde abgerufen wurden, dann würden wir natürlich auch gerne genau wissen, ob das oben die "einzigen" Daten im Klartext waren. Die Passwörter scheinen für mich jedenfalls dann nicht im Klartext angesehen worden sein, oder?
 
  • Gefällt mir
Reaktionen: sah

Derdiedas

Aktives Mitglied
9. Oktober 2019
39
20
Wir haben gerade ein Ticket geöffnet und wären sehr dankbar wenn das schnellstmöglich beantwortet würde. Wir haben keine .php Files in /banner/bilder und hatten auch die htaccess darin.
Lediglich in den Firewall Logs waren 4 Einträge 2 mit insert und 2 mit delete die, so vermuten wir, ein Adminkonto einrichten und dann löschen sollten. Das ganze geschah innerhalb von 8 Sekunden. Der String entspricht aber nicht den kommunizierten, oder den hier beschriebenen!
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
524
Halle
Mir ist nicht ganz klar, was aus der Datenbanktabelle tkunde ersichtlich ist. Wenn ich mir die mit phpmyadmin angucke, dann sehe ich da den Vornamen, Hausnummer, PLZ, Ort, E-Mail, Land und Registrierdatum. Alles andere (Nachnahme, PW, etc.) sieht für mich verschlüsselt aus. Scheinbar wurde in einem Shop zumindest mal eine PHP Datei hochgeladen. Falls wir herausfinden, dass auch Daten aus tkunde abgerufen wurden, dann würden wir natürlich auch gerne genau wissen, ob das oben die "einzigen" Daten im Klartext waren. Die Passwörter scheinen für mich jedenfalls dann nicht im Klartext angesehen worden sein, oder?
Da der Angreifer über das Backdoor-Script u.U auch die config.JTL- Shop.ini.php ausgelesen hat, ist er im Besitz des BlowfishKey und kann die Kundendaten entschlüsseln.
Leider lässt sich das nicht genau ermitteln. Beim Zugriff miitels POST auf die Backdoor kann man nur Rückschlüsse auf die abgegriffenen Daten ziehen anhand der zurückgegeben Größe im Access- Log. Das ist die Zahl hinter dem Status-Code 200.
Passwörter werden grundsätzlich nur als Hash gespeichert, diese können also nicht "entschlüsselt" werden.
 
  • Gefällt mir
Reaktionen: Harald Weingaertner

Diane B.

Guest
Wir haben gerade ein Ticket geöffnet und wären sehr dankbar wenn das schnellstmöglich beantwortet würde. Wir haben keine .php Files in /banner/bilder und hatten auch die htaccess darin.
Lediglich in den Firewall Logs waren 4 Einträge 2 mit insert und 2 mit delete die, so vermuten wir, ein Adminkonto einrichten und dann löschen sollten. Das ganze geschah innerhalb von 8 Sekunden. Der String entspricht aber nicht den kommunizierten, oder den hier beschriebenen!
Hallo Derdiedas,

bitte einmal noch die Ticketnummer durchgeben, danke! :)
 

maestro

Aktives Mitglied
28. August 2014
21
7
Liebe Kunden,

wir entschuldigen uns für die Verwirrung, den der gestrige Newsletter bzw. die darin enthaltenen Links bei einigen von Ihnen ausgelöst haben. Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.

Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Wir wünschen Ihnen viel Erfolg und ein schönes Wochenende!
Nur am Rande:
https://forum.jtl-software.de/threads/kritischer-hotfix-fuer-jtl-shop-3-4.105310/

Déjà-vu? Ich dachte doch, dass ich noch was im Kopf hatte... Und da war es... Auch hier war es anfangs nicht klar, ob die E-Mail real ist. Das ist schade, gerade weil dadurch auch wertvolle Zeit vergeht, bis z.B. technische Umsetzung des Shopbetreibers erfolgen kann - aufgrund der Verifzierung. Ihr solltet das wirklich generell besser lösen.

An der Stelle jedoch auch ein Danke an die direkte Hilfe und schnellen Antworten auf (unsere) Fragen, ohne Ticket, etc. Pragmatische Löusung :thumbsup:
 

Matze_G

Sehr aktives Mitglied
1. Dezember 2017
185
60
Hallo zusammen,

wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.
Auch bei uns ist diese zweite Mail nicht angekommen (der erste Sicherheitshinweis am Freitag schon. Im KC ist der Haken bei "Kritische Info" gesetzt, die Daten sind aktuell und auch nicht geändert. Dennoch die zweite Mail nicht angekommen.
 

gboehm

Sehr aktives Mitglied
30. Januar 2011
1.065
91
Ich bin etwas verwirrt.
Mein Shop war noch auf 4.06.16. Daher habe ich mir erstmal den Patch v4.06.16 auf v4.06.17 gezogen und dann die class.JTL-Shop.Redirect.php aus patch-sqlinject-v4.06.17.zip und 4.06.17 verglichen. Bei mir waren sie identisch.
Wie kann denn der Security Patch im Patch von v4.06.16 auf v4.06.17 schon enthalten sein, wenn dieser schon im Februar 2020 released wurde? Oder habe ich da etwas übersehen?
 

david

Administrator
Mitarbeiter
16. Juli 2010
2.310
170
Wie kann denn der Security Patch im Patch von v4.06.16 auf v4.06.17 schon enthalten sein, wenn dieser schon im Februar 2020 released wurde? Oder habe ich da etwas übersehen?
Guten Morgen, wir hatten das Release-Zip 4.06.17 am Freitag Abend noch gepatched, da offenbar einige Shops vorab noch diesen Update-Schritt auf 4.06.17 vollziehen müssen.
Das erklärt, warum der Vergleich jetzt keinen Unterschied mehr zeigte.
Wir möchten damit auf Nummer Sicher gehen, dass es danach auch wirklich wirklich bei allen behoben ist.
 
  • Gefällt mir
Reaktionen: NewBuy
Ähnliche Themen
Titel Forum Antworten Datum
Neu DotLiquid Formel für Lieferadresse mail und wenn nicht vorhanden dann Rechnungsadresse mail verwenden Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu [Error][Code:21920403] Die angegebene E-Mail-Adresse ist falsch formatiert. eBay-Anbindung - Fehler und Bugs 5
Neu Fehler beim Bearbeiten der E-Mail-Vorlage "Bestellbestätigung" JTL-Shop - Fehler und Bugs 0
Neu Multichannel-E-Mail-Kopie aktiviert, aber in Konto xxxxxxx keine gültige E-Mail-Adresse angegeben? eBay-Anbindung - Fehler und Bugs 1
Beantwortet E-Mail Vorlage Versandbestätigung per Workflow ausführen, wie? JTL-Workflows - Ideen, Lob und Kritik 7
In Diskussion Mail Bewertungserinnerung Sprungmarke JTL-Workflows - Fehler und Bugs 1
Neu Rechnung automatisch per Mail versenden User helfen Usern - Fragen zu JTL-Wawi 9
Korrektur Name des Absenders bei Anforderung der Bestätigung der E-Mail-Adresse Einrichtung JTL-Shop5 1
Neu Workflow: Mail bei Notiz in Auftrags-Historie User helfen Usern - Fragen zu JTL-Wawi 1
Neu E-Mail erhalten: Wichtige Sicherheitsinformation Allgemeine Fragen zu JTL-Shop 5
In Diskussion E-Mail an Lieferanten bei Verkauf einer seiner Artikel JTL-Workflows - Ideen, Lob und Kritik 4
Lieferantenbestellung mit GLS Versandetikett an den Hersteller/Lieferanten per Mail Senden. JTL-Wawi 1.8 0
Wichtig 👉 Wichtig: Neue EU-Produktsicherheitsverordnung GPSR ab 13.12.2024 Releaseforum 0

Ähnliche Themen