Gelöst Heimlichen Link entdeckt - Sicherheitsproblem?

[Hildegunst]

Hallo Ihr Verrückten da draußen,

ich wollte informieren und fragen ob irgendwer ein ähnliches Problem hat bzw. hatte.

Wir haben heute auf unserer Versandinformationsseite (eigene Seite) einen Link entdeckt, den wir definitiv nicht gesetzt haben. Er scheint zu einer Seite zu führen die irgendwelche Steroide verkauft.
Wir sind gerade dabei zu versuchen zu ermitteln wann und wie diese Änderung geschehen ist. Da wir noch keinen Änderungsverlauf im Shop haben, geht dies wahrscheinlich nur über die Datenbank.
Im Zuge der Sicherheitslücke von Dropper (Kreativkonzentrat) haben wir schon am 24.03. geprüft ob wir einen Angriff zu verzeichnen hatten, in diesem Zusammenhang gab es aber keine Spuren.
Also dazu meine Frage:
Hatte jemand schon mal ein solches Problem und wenn ja, habt Ihr die Ursache ermitteln können?

auf dann

HvM

 

[JulianG]

Hallo @Hildegunst

ich habe von so etwas in Verbindung mit der Dropper Sicherheitslücke noch nicht gehört, aber vor Jahren kann ich mich mal an so etwas ähnliches erinnern. In dem Fall war aber auch schon damals eine uralte Shop-Version im Einsatz und es waren sehr viel zusätzliche Programme installiert, die auch Datenbankzugriff hatten. Vorsicht z.B. bei "adminer", der sollte auf keinen Fall ohne .htaccess Schutz erreichbar sein.

Über die Datenbank wird es vermutlich schwierig genaueres über die Ursache heraus zu finden, es sei denn, ihr habt regelmäßige und länger zurück reichende Sicherungen. Eine Möglichkeit auch mit der aktuellen Datenbank wäre, falls ihr die Versandseite regelmäßig editiert, die Tabelle trevisions. Hier werden einzelne Versionen auch der eigenen Seiten gespeichert (seht ihr auch ganz unten wenn man die eigene Seite editiert). Hier ließe sich zumindest das Datum eingrenzen (wann ist der Link das erste mal aufgetaucht). Aber wenn ihr die Seite nicht regelmäßig editiert, könnte man nur via DB-Sicherungen in tlinksprache prüfen: In welcher Sicherung war der Link noch nicht drin, ab welcher schon.

 

[croehl]

hmm, entweder ist Hildegunst unser Kunde oder wir haben einen weitern Fall, der ein identisches Verhalten hat. Bei unserem Kunden gab es auch einen versteckten link, der auf Steroide zeigte.

 

[FPrüfer]

Hallo,
grundsätzlich sollte man das nicht auf die leichte Schulter nehmen und ein paar Dinge abklären.
- Gibt es Einträge in Logfiles oder den Revisionen, die darauf hindeuten das die Manipulation direkt über die Shopsoftware erfolgt ist?
- Welche aktiven Backendzugänge mit Zugriff auf den manipulierten Bereich gibt es? Kann komplett ausgeschlossen werden, dass diese kompromittiert sind? (Vorsorglich sollte man hier alle Passwörter ändern!)
- Gibt es weitere Software auf dem Server (Adminer, phpMyAdmin, CMS, Wordpress, etc.), die Zugriff auf dieselbe Datenbank hat? (Auch hier sollten vorsorglich die Passwörter geändert werden!)
- Ist die Datenbank von außen oder nur vom Webserver aus zugänglich? Gibt es ggfs. Quellen, über die anderweitig das DB-Passwort abgeschöpft worden sein könnte? (Phishing)
- Gibt es weitere manipulierte Stellen? Sind nur Datenbankeinträge betroffen oder auch Dateien auf dem Server verändert? Gibt es Dateien auf dem Server die da nicht hingehören?

Diese Liste dient als Anhaltspunkt und erhebt keinen Anspruch auf Vollständigkeit! Ausgehend von der Beantwortung dieser Fragen kann man ggfs. die Quelle der Manipulation weiter Einschränken und im Best Case lokalisieren und schließen. Hilfreich ist auf jeden Fall, wenn man - wie bereits angesprochen - den Zeitraum der Manipulation relativ genau bestimmen kann.

 

[Hildegunst]

@croehl ... euer Kunde!

 

[hula1499]

Auch wenns uns nicht betrifft, wäre hier eine Auflösung recht hilfreich.

Habt ihr die Lücke gefunden?

 

[Hildegunst]

Hallo Ihr Wissenden,

also nach vielen hin und her und einigen nächtlichen Gedankenblitzen, habe ich den Grund gefunden warum der Link in unserem JTL Shop steckt. Dazu senke ich in Demut meine Haupt!
Als erstes Entwarnung, es hat nichts mit dem JTL Shop, den dazugehörigen Server o.ä. zu tun.
Wir haben von einem alten XT Commerce Shop auf einen JTL Shop umgestellt, in dem Zuge habe ich Textbausteine vom alten Shop in den neuen kopiert und den Link tatsächlich mit in das neue System verfrachtet.
Aufgefallen ist mir dies, weil ich den Zeitpunkt ermitteln wollte, an dem der Link das erste mal auftaucht, hier ist mit dann aufgefallen, daß der Link schon in den aller ersten Sicherungen des "JTL-Testshop" steckt, also seit Anfang an mit dabei ist. Dies lies dann den Gedanken kommen, noch weiter zurück zu gehen und den alten XT Shop zu checken, naja und dann war die Lösung da.
Das ist mir zwar mehr als unangenehm aber allemal lieber als einen undefinierte Lücke im neuen System. Der alte Shop hatte seinerzeit auch immer mal wieder ein Sicherheitsproblem und auch wenn ich nicht mehr nachvollziehen kann, wie der Link in diesen alten Shop gekommen ist bin ich froh, dass es eine Erklärung im Bezug zum neuen Shop gibt.

Also entschuldige ich mich, dafür dass ich alle verrückt gemacht habe, senke mein Haupt noch tiefer und gelobe sorgsamer zu arbeiten.

Lieben Gruß

Hilde