Neu SPAM / Hacking Kundenkonten im Sekundentakt trotz Spamschutz!

[Made in Dortmund 2]

Wir registrieren derzeit eine Flut an Spamkundenkonten die via registrierung.php im JTL- Shop angelegt werden, obwohl sämtliche Spamschutzmethoden eingeschaltet sind und z.B. der Name auch auf "auf Zahlen prüfen" aktiviert wurde, werden Kundenkonten mit Zahlen im Namen in die DB geschrieben.

Wir konnten die IP und den User Agent via Trackingabfrage in der registrieren.php abfangen:

IP: 130.105.26.105 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36 - February 3, 2020, 6:23 pm

Die IP ist auch bereits bekannt als Bruteforce / SPAM-Attacker und auf vielen Blacklists gelistet. Leider können wir die IPs nicht via fail2ban sperren auf dem Server, da es sich um einen all-inkl Webspace handelt ohne IP-Sperrmöglichkeiten via ip2ban, wir haben die IP nun vorläufig via .htaccess deny gesperrt, was aber nur temporären Schutz bietet, bis andere Angreifer die Lücke gefunden haben oder der Angreifer seine IP wechselt.

Wir würden nun gerne wissen, welche Sicherheitslücke im Shop insb. in der registrieren.php derlei Hackingattacken erlaubt und wie wir diese schnellstmöglich schließen können.
Shopversion ist

Shopversion

4.06 (Build: 14)

Die Attacken kommen über die registrieren.php im root, da wir hier auch die Angriffe via php-skript abfangen und tracken können:




Ich denke diese Lücke sollte schnellstmöglich geschlossen werden, da weder Spamschutzeinstellungen noch Abfragen die Registrierungen verhindern können!

In der DB sieht das wie folgt aus:

 

[dercoderkm]

Moin,

wie es aussieht umgehen diese definitiv den Google reCaptcha Schutz denn bei den Requests wird der "g-recaptcha-response" PostKey gar nicht mit übergeben.
Request Erfolgreiche Registrierung Bot:

Spoiler: Request

IP: 130.105.26.105 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36 - February 3, 2020, 9:31 pm
array (
'jtl_token' => '47d0f9ea26f15256d98ea966cd837eac',
'anrede' => 'w',
'vorname' => '钱存得进，款出得来，投注发大财，和记娱乐【 Https://www.h11128.com 】【特邀电子，体育首存送100%，最高赠送888，15倍水，提款无上限，请联系在线客服申请】AG，旗舰百家乐洗码无上限，每日提款无上限，晋级礼金3888等您来拿，欢迎来博，祝您路路亨通金满屋',
'nachname' => 'as',
'firma' => 'sdasd',
'strasse' => '4293 Alexandria Pl, California',
'hausnummer' => '213123',
'adresszusatz' => '1212',
'land' => 'GB',
'plz' => '90004',
'ort' => 'los angeles',
'email' => '18645472@qq.com',
'tel' => '+44412345678',
'pass' => 'Pass@word12',
'pass2' => 'Pass@word12',
'checkout' => '',
'form' => '1',
'editRechnungsadresse' => '0',
)array (
'PATH' => '/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin',
'USER' => 'user',
'HOME' => '/www/htdocs/pfad',
'ORIG_SCRIPT_NAME' => '/cgi-fpm/php70-fpm',
'ORIG_PATH_TRANSLATED' => '/www/htdocs/pfad/domain/registrieren.php',
'ORIG_PATH_INFO' => '/registrieren.php',
'ORIG_SCRIPT_FILENAME' => '/usr/share/cgi-fpm/pfad/php70-fpm',
'SCRIPT_NAME' => '/registrieren.php',
'REQUEST_URI' => '/registrieren.php',
'QUERY_STRING' => '',
'REQUEST_METHOD' => 'POST',
'SERVER_PROTOCOL' => 'HTTP/1.1',
'GATEWAY_INTERFACE' => 'CGI/1.1',
'REDIRECT_URL' => '/registrieren.php',
'REMOTE_PORT' => '53827',
'SCRIPT_FILENAME' => '/pfad/registrieren.php',
'SERVER_ADMIN' => 'webmaster@domain.com',
'CONTEXT_DOCUMENT_ROOT' => '/usr/share/cgi-fpm/blka/',
'CONTEXT_PREFIX' => '/cgi-fpm/',
'REQUEST_SCHEME' => 'https',
'DOCUMENT_ROOT' => '/pfad',
'REMOTE_ADDR' => '130.105.26.105',
'SERVER_PORT' => '443',
'SERVER_ADDR' => '85.13.132.36',
'SERVER_NAME' => 'domain.com',
'SERVER_SOFTWARE' => 'Apache',
'SERVER_SIGNATURE' => '',
'HTTP_HOST' => 'domain.com',
'CONTENT_LENGTH' => '1271',
'HTTP_UPGRADE_INSECURE_REQUESTS' => '1',
'HTTP_ORIGIN' => 'https://domain.com',
'HTTP_USER_AGENT' => 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36',
'HTTP_REFERER' => 'https://domain.com/registrieren.php',
'HTTP_COOKIE' => 'JTLSHOP=76b6b7425ce17502ffb796c1e1240268; JTLCRON=51559d6a02070b9d7b5ae4d284064137; JTLSHOP=76b6b7425ce17502ffb796c1e1240268; JTLCRON=51559d6a02070b9d7b5ae4d284064137]',
'HTTP_ACCEPT_LANGUAGE' => 'en-US,en;q=0.9',
'HTTP_ACCEPT' => 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
'CONTENT_TYPE' => 'application/x-www-form-urlencoded; Charset=UTF-8',
'HTTP_CONNECTION' => 'Keep-Alive',
'HTTP_CACHE_CONTROL' => 'max-age=0',
'SSL_CLIENT_CERT' => '',
'SSL_SERVER_CERT' => '-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
',
'SSL_TLS_SNI' => 'blabla',
'HTTPS' => 'on',
'QS_ConnectionId' => '15807618811839071713535',
'QS_AllConn' => '34',
'QS_IPConn' => '1',
'QS_SrvConn' => '34',
'GEOIP_POSTAL_CODE' => '1633',
'GEOIP_LONGITUDE' => '121.050697',
'GEOIP_LATITUDE' => '14.499500',
'GEOIP_AREA_CODE' => '0',
'GEOIP_METRO_CODE' => '0',
'GEOIP_DMA_CODE' => '0',
'GEOIP_CITY' => 'Taguig',
'GEOIP_REGION' => '00',
'GEOIP_COUNTRY_NAME' => 'Philippines',
'GEOIP_COUNTRY_CODE' => 'PH',
'GEOIP_CONTINENT_CODE' => 'AS',
'GEOIP_ADDR' => '130.105.26.105',
'UNIQUE_ID' => 'XjiDGan545@9v@L5mlujrQAAABE',
'REDIRECT_STATUS' => '200',
'REDIRECT_HANDLER' => 'php70-cgi',
'REDIRECT_SSL_CLIENT_CERT' => '',
'REDIRECT_SSL_SERVER_CERT' => '-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
',
'REDIRECT_SSL_TLS_SNI' => 'domain.com',
'REDIRECT_HTTPS' => 'on',
'REDIRECT_QS_ConnectionId' => '15807618811839071713535',
'REDIRECT_QS_AllConn' => '34',
'REDIRECT_QS_IPConn' => '1',
'REDIRECT_QS_SrvConn' => '34',
'REDIRECT_GEOIP_POSTAL_CODE' => '1633',
'REDIRECT_GEOIP_LONGITUDE' => '121.050697',
'REDIRECT_GEOIP_LATITUDE' => '14.499500',
'REDIRECT_GEOIP_AREA_CODE' => '0',
'REDIRECT_GEOIP_METRO_CODE' => '0',
'REDIRECT_GEOIP_DMA_CODE' => '0',
'REDIRECT_GEOIP_CITY' => 'Taguig',
'REDIRECT_GEOIP_REGION' => '00',
'REDIRECT_GEOIP_COUNTRY_NAME' => 'Philippines',
'REDIRECT_GEOIP_COUNTRY_CODE' => 'PH',
'REDIRECT_GEOIP_CONTINENT_CODE' => 'AS',
'REDIRECT_GEOIP_ADDR' => '130.105.26.105',
'REDIRECT_UNIQUE_ID' => 'XjiDGan545@9v@L5mlujrQAAABE',
'FCGI_ROLE' => 'RESPONDER',
'PHP_SELF' => '/registrieren.php',
'REQUEST_TIME_FLOAT' => 1580761881.194449901580810546875,
'REQUEST_TIME' => 1580761881,
'argv' =>
array (
),
'argc' => 0,

Wie man sieht ist der Request sehr merkwürdig. Da nirgends eine Silbe von recaptcha erwähnt wird und auch so genau der gleiche Request per Postman von meiner Seite aus dazu führt das man halt die Meldung kommt recaptcha ist ungültig.

Definitiv sollte das seitens JTL überprüft werden warum da wie @Made in Dortmund 2 schon sagt überhaupt das recaptcha übergangen werden kann.

 

[css-umsetzung]

Gibt es in den Registrierungen Felder oder mindestens ein Feld das immer den gleichen Inhalt hat?
Dafür habe ich eine Lösung erstellt und hier im Forum veröffentlicht.

Aber lese den Beitrag bis zum Ende:
https://forum.jtl-software.de/threads/shop-4-captcha-spamschutz.104860/page-4#post-643138

 

[forumjtlolshopag]

@Made in Dortmund 2 Ich hoffe du hast auch gleich ein Ticket bei JTL gestellt. Denn genau für sowas ist das Ticketsystem auch da. Dann können sich die JTL Shop Entwickler sich das auch anschauen und baldmöglichst ein Patch für realisieren. Übrigens ist Build 15 derzetzig aktuell, welches eine XSS Lücke im Backend geschlossen hat.

 

[FPrüfer]

Hallo @Made in Dortmund 2 , bitte melde dich mit dem Problem übers Kundencenter bei den Kollegen vom Support. Wenn das nicht gehen sollte, dann schreib mir bitte eine PN.