Made in Dortmund 2
Aktives Mitglied
Wir registrieren derzeit eine Flut an Spamkundenkonten die via registrierung.php im JTL- Shop angelegt werden, obwohl sämtliche Spamschutzmethoden eingeschaltet sind und z.B. der Name auch auf "auf Zahlen prüfen" aktiviert wurde, werden Kundenkonten mit Zahlen im Namen in die DB geschrieben.
Wir konnten die IP und den User Agent via Trackingabfrage in der registrieren.php abfangen:
IP: 130.105.26.105 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36 - February 3, 2020, 6:23 pm
Die IP ist auch bereits bekannt als Bruteforce / SPAM-Attacker und auf vielen Blacklists gelistet. Leider können wir die IPs nicht via fail2ban sperren auf dem Server, da es sich um einen all-inkl Webspace handelt ohne IP-Sperrmöglichkeiten via ip2ban, wir haben die IP nun vorläufig via .htaccess deny gesperrt, was aber nur temporären Schutz bietet, bis andere Angreifer die Lücke gefunden haben oder der Angreifer seine IP wechselt.
Wir würden nun gerne wissen, welche Sicherheitslücke im Shop insb. in der registrieren.php derlei Hackingattacken erlaubt und wie wir diese schnellstmöglich schließen können.
Shopversion ist
Die Attacken kommen über die registrieren.php im root, da wir hier auch die Angriffe via php-skript abfangen und tracken können:
Ich denke diese Lücke sollte schnellstmöglich geschlossen werden, da weder Spamschutzeinstellungen noch Abfragen die Registrierungen verhindern können!
In der DB sieht das wie folgt aus:
Wir konnten die IP und den User Agent via Trackingabfrage in der registrieren.php abfangen:
IP: 130.105.26.105 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36 - February 3, 2020, 6:23 pm
Die IP ist auch bereits bekannt als Bruteforce / SPAM-Attacker und auf vielen Blacklists gelistet. Leider können wir die IPs nicht via fail2ban sperren auf dem Server, da es sich um einen all-inkl Webspace handelt ohne IP-Sperrmöglichkeiten via ip2ban, wir haben die IP nun vorläufig via .htaccess deny gesperrt, was aber nur temporären Schutz bietet, bis andere Angreifer die Lücke gefunden haben oder der Angreifer seine IP wechselt.
Wir würden nun gerne wissen, welche Sicherheitslücke im Shop insb. in der registrieren.php derlei Hackingattacken erlaubt und wie wir diese schnellstmöglich schließen können.
Shopversion ist
Shopversion | 4.06 (Build: 14) |
Ich denke diese Lücke sollte schnellstmöglich geschlossen werden, da weder Spamschutzeinstellungen noch Abfragen die Registrierungen verhindern können!
In der DB sieht das wie folgt aus:
Zuletzt bearbeitet: