Offen Webspace mehrmals gehackt!!!

[mastertango]

Hallo,

um eins vorwech zu nehmen. Ich glaube nicht das es direkt am JTL3 Shop liegt als eher an anderen Dingen.

Fakt ist: Unser Shop wurde in den letzten 2 Wochen 3mal gehackt.

Dabei sind sämtliche php Dateien auf dem Server überspielt worden. Nicht nur die wendland-moebel.de nein auch die von blog-moebel.de

Die Dateien waren zwar alle vorhanden und auch sichtbar und nach dem Download lesbar, jedoch anscheinend für den Server unlesbar.

Ich habe nun sämtliche Passwörter geändert sowie Googleanalytics Code rausgenommen da dieses anscheinend auch für Probleme sorgen kann.

Ich halte euch hier auf dem laufenden.

Hat jemand sowas schonmal gehabt? Ich habe dieses hier im Forum schonmal in ähnlicher Form gelesen.

 

[andy j]

AW: Achtung JTL3 Shop mehrmals gehackt!!!

Netter Titel -.-

 

[MBesancon]

AW: Achtung JTL3 Shop mehrmals gehackt!!!

um eins vorwech zu nehmen. Ich glaube nicht das es direkt am JTL3 Shop liegt als eher an anderen Dingen.

Aber wenn es der Shop nicht verursacht hat frage ich mich warum du das hier in das Forum postest und dann auch noch den Titel "Achtung JTL3 Shop mehrmals gehackt!!!" wählst?

Was ist denn genau passiert? Wie wurden deine Dateien geändert? Was genau wurde gemacht?

 

[Shopworker.de]

AW: Achtung JTL3 Shop mehrmals gehackt!!!

Theoretisch kann das schon die "veraltete" Wordpress-Version 3.2.1 sein ... aktuell ist meines Wissens 3.3.1 ...

Ich habe vor 3 Jahren mal einen Server gehackt bekommen; dort war Joomla Schuld ...

Die "Hacker" kommen nicht zwingend über den Shop auf den Server

 

[MBesancon]

AW: Achtung JTL3 Shop mehrmals gehackt!!!

Theoretisch kann das schon die "veraltete" Wordpress-Version 3.2.1 sein ... aktuell ist meines Wissens 3.3.1 ...

Das kann ich bestätigen. In der Wordpress-Version 3.2.1 gibt es scheinbar einen XSS-Bug...

 

[mastertango]

AW: Shop mehrmals gehackt!!!

genau aus diesem Grund habe ich das hier gepostet. Um weitere Hinweise zu bekommen. Der Titel soll genau "euch" hier herlocken!? Deswegen auch direkt mein erster Satz. Dieser Satz ist aber auch nur aus der Kenntniss heraus "Stand Heute" so geschrieben. Es kann ja sein das es sich doch um eine Lücke im JTL3 handelt ( was ich nicht glaube )

Was ist passiert: Man kann es recht kurz fassen. Bei dem Angriff der nun 3 mal erfolgt ist werden alle php, Html und Skriptdateien so verändert das Sie nicht mehr oder kaum noch lesbar sind für den Server. Sprich der Shop wird nicht mehr richtig angezeigt. Ebenso wie der Blog etc.

 

[MBesancon]

AW: Shop mehrmals gehackt!!!

Ok, aber hast du dir vielleicht auch überlegt das der "reisserische" Titel ein wenig über das Ziel hinausschießen könnte und andere JTL-Shop3-Nutzer unnötig aufschreckt?! Fakt ist das es derzeit keine bekannten Sicherheitslücken im Shop gibt. Und nur um uns hierher zu locken hast du das so geschrieben? Ich bitte dich. Wir sind doch eh immer hier .

Aber zurück zum Thema. Ich an deiner Stelle würde meinen Rechner genauestens untersuchen und womöglich bereinigen. Sollte sich nämlich ein "Schädling" auf deinem Rechner eingenistet haben kannst du deine Passwörter bis zum St. Nimmerleinstag ändern. Es würde gar nichts bringen.

 

[Thomas Lisson]

AW: Shop mehrmals gehackt!!!

hi,

Bei dem Angriff der nun 3 mal erfolgt ist werden alle php, Html und Skriptdateien so verändert

Schau auf den fileowner. Der Webserver darf normalerweise die PHP Files nicht beschreiben, sondern nur der FTP User. Daher kann der Shop dir keine PHP Dateien verändern. Damit das möglich ist, musst du der Datei extra Schreibrechte für den Webserver geben - genau das passiert auch bei der Shopinstallation, da müssen der Configdatei Schreibrechte gegeben werden und nach der Installation wieder entfernt werden. Den Grund kannst du dir jetzt hoffentlich denken.

Wie es ausschaut, hast du LOKAL einen Wurm, der dir FTP Passwörter ausspäht. Das ist etwas, was garnicht so selten vorkommt. Erklärt auch, warum dein Blog betroffen ist.
Überlege künftig, welche Forenthreads du wählst. Treffend ist hier: Webspace gehackt

 

[mastertango]

AW: Shop mehrmals gehackt!!!

ja hast ja recht. Danke für die Hilfe und die Änderung des Titels...werde mich dann mal auf die Suche nach dem Wurm machen

 

[pandoku]

AW: Shop mehrmals gehackt!!!

Das Ergebnis der Suche nach dem "Wurm" würde mich auch brennend interessieren - bei mir nämlich die gleiche Geschichte - veränderter Code in den *.php Dateien im Root bzw. im Admin-Verzeichnis. Google warnt seit gestern schon vor unserem Shop - super !!

Habe erstmal alle Passwörter gewechselt, Datenbank gesichert etc....

Was mich nervt ist die Tatsache, daß kein Virenscanner diesen Trojaner oder Wurm findet, so daß ich jetzt 3 PCs neu aufsetzen muss, von denen aus wir per FTP am Shop gearbeitet haben.

Werde mir jetzt nen PC einrichten, der ausschließlich für die Bearbeitung von Shop-Dateien verantwortlich ist, und so hoffentlich eine neue Infizierung vermeiden...

 

[mastertango]

AW: Shop mehrmals gehackt!!!

naja das mit dem einen PC kannst du schonmal vergessen weil es völlig egal ist welcher PC infiziert ist im Netzwerk. Das muss dann schon autark sein. Wichtiger Hinweis noch. Keine Daten im Filezilla ablegen und auch sonst die Daten nicht aufn PC haben. Habe nun die Passwörter neu vergeben und dreimal ausgdruckt und ab in den Safe. Wenn die wech sind ... naja dann war ich das Sichheitsrisiko


Mal schauen wie lange wir nun vom Unheil befreit sind. Habe aber auch gleich meinen Rootserver in Managed umgewandelt um mir nach dem Schaden wenigstens die Arbeit zu sparen. DIe können auch die Herkunft besser und schneller bestimmen. Sind zwar mehrkosten von 600 € im Jahr ... aber ehrlich gesagt. Scheiß drauf. In den drei Tagen sind mir 12000 durch die Lappen gegangen.

Zu Google .... jaaa da waren wir auch gesperrt. Gott sei Dank schnell rin in die Webmastertools und erneute Überprüfung beantragt. Um 17 Uhr kam der Amibot und seit 18:30 sind wir wieder frei! Es ist super Ärgerlich vor allem weil die Lücke nicht klar erkennbar ist.

Habe 3 Möglichkeiten ausgemacht.

1. Virus aufn lokalen Rechner welches die FTP Daten klaut
2. Lücke über Googleanalyticscode
3. Lücke in Wordpress

alles und nichts macht Sinn. Am wahrscheinlichsten ist wirklich das die Daten über Filezilla ausgelesen worden sind.

 

[Thomas Lisson]

AW: Webspace mehrmals gehackt!!!

hi,

Am wahrscheinlichsten ist wirklich das die Daten über Filezilla ausgelesen worden sind.

Das siehst du im Transferlog des FTP Servers. Du wirst Datum + Uhrzeit + IP sehen und die Dateien, die verändert wurden.

3. Lücke in Wordpress

Das würdest du im Apache Log sehen.

Schau dir die Logs zum Änderungszeitpunkt der Dateien an.

 

[pandoku]

AW: Shop mehrmals gehackt!!!

Die PCs sind nicht im Netzwerk verbunden - 1x PC im Geschäft, 1x Notebook und 1x PC daheim im Arbeitszimmer.

Komisch das heute abend ausgerechnet das kostenlose "Malwarebytes" nen Viren-Treffer auf dem heimischen PC verbuchen konnte, was die kostenpflichtigen Programme nicht geschafft haben

Der Gedanke mit Filezilla kam mir auch schon - werde auf keinen Fall mehr die Passwörter dort speichern, war mir eine Lehre - habs jetzt mit maximaler Kennwort-Sicherheit geschrieben und auf DIN A4 gedruckt...

Über Google Webmastertools sind wir auch wieder "sauber" - wenn ich über die Google Suche gehe, erscheint aber noch ein Hinweis unter unserer Webadresse - hoffe das wird bald aktualisiert .

 

[mastertango]

AW: Webspace mehrmals gehackt!!!

hi,


Das siehst du im Transferlog des FTP Servers. Du wirst Datum + Uhrzeit + IP sehen und die Dateien, die verändert wurden.


Das würdest du im Apache Log sehen.

Schau dir die Logs zum Änderungszeitpunkt der Dateien an.

danke werde ich mir morgen mal ansehen

 

[Freaky]

AW: Webspace mehrmals gehackt!!!

Nur mal so nebenbei. Es gibt auch Programme die Tastatureingaben mitloggen. Also es muss nicht immer das Filezilla Passwort-Archiv ausgelesen werden.
Das ist im übrigen eine der häufigsten Ursachen wenn ein Webspace gehackt wird.

 

[maggot]

AW: Webspace mehrmals gehackt!!!

Es gibt auch Programme die Tastatureingaben mitloggen.

Und auch welche, die versuchen genau das zu verhindern:

KeePass Password Safe