Neu Wir wurden gehackt!

[holzpuppe]

Für mich stellt sich jetzt die Frage: Wer ist potenziell ebenfalls gefährdet?
Server im Eigenbetrieb, Server im managed Betrieb, Webspace-user, SSH-User, FTP scheint ja eventuell vielleicht nicht betroffen zusein,
oder ist im schlimmstens Fall der JTL- Shop selbst? Wobei, root sagt noch nichts über die Komprimitierungsmöglichkeiten des Shops aus.
Am Ende ist es vielleicht "nur" eine fehlerhafte Einstellung.
Ich geb zu, ich hab nicht alles verstanden. In diese Materie bin ich nie richtig vorgedrungen.

Nachtrag:
Das Letzte was man in einem Shopforum lesen möchte ist, dass jemand gehackt wurde.

 

[testjo]

Ich möchte dazu auch meine Meinung los werden

Wenn ihr gehackt werdet, nehmt die Applikation/Server/Desktop nicht als erstes vom Netz, sondern lasst sich laufen und schaut euch eure Daten an (Logs). Ein Neustart kann evtl. wichtige Logs löschen und ein Hacker wird sich direkt zurück ziehen und ihr seht nicht mehr was lief. Ein Hack hinterlässt nicht immer Spuren auf dem Server, zu mindestens nicht zwangsweise, da jeder Hacker weiß wie Systeme in der Regel loggen und es, je nach Hack, unterbinden/umgehen und löschen können. Es ist also wichtig, das ihr erst einmal entspannt bleibt ...


Gruß

Doch wen man Weiss hacked muss man die von Netz nehmen, geht aber oft einfach mit ein par Firewall rule's, wobei dan alles weiter für eigene Zugang doch online bleibt, weil sensible Daten muss man direkt nach bekannt werden schutzen!
Dabei dan ganz genau beachten of dieser angepasste Firewall (ip table) settings auch wirksam sind und nicht doch einer durchkommt, wobei dass dan den "Hacker" sein könnte.
Weiter hat man für den LOGS naturlich ein Backup laufen.

Lassen wir hoffen Fabrice findet es?

Möchte man es ganz genau untersuchen ein snapshot von den gesammte Server / Image die dan offline restore irgendwo und untersuchen. ( dieser in kombi mit den extra aus zu Lagern und aufbewahren Backups wo man änderungen und LOGS also vergleichen kan.)

( selbe gelernt einmal fehler gemacht ein Kunde mehr dan 10 Jahre her ein BbBoard auf den Server zu lassen, die dan mehr Rechten und möglichkeiten brauchte aber dieser nie UPDATED HAT da den Festplatten raid gewechseld und basis komplett neu und ohne dieser Kunde restore backups weil wen einer in OS drin ist/war hmm die kam mit den einfachere gegenmasnahmen immer wider, ja jetzt lauft alles besser getrennt aber trotzdem 100% ist keiner IT/EDV am netz sicher, und von Netz tja jeder die zugang hat ... oder verschaffen kan dazu auch tapes , Festplatten, backups, sticks, memory cards, gedrücktes ....)

 

[holzpuppe]

Gibt es hier was neues?

 

[Fabrice]

JTL hat nichts gefunden. Ich habe die Software untersuchen lassen und ein paar Bugs fixen lassen. Keiner davon konnte jedoch dazu missbraucht werden sich das Filesystem anzeigen zu lassen. Der Shop läuft nun mit Debuglogs in einem neuen Setup und ein paar Modifikationen, sodass sensible Daten nicht ohne weiteres einsehbar sind.

 

[katran]

Kann es sein dass Sie Git benutzen? Hatte im letzten Jahr nämlich gleiche Email bekommen. Wenn die Repository nicht abgesichert ist, kann man die ganze Seite clonen.

 

[Fabrice]

Ich benutze git ja aber ausserhalb des Webroot oder auf den Entwicklershops. Ich bekam diese Email noch einmal und das nachdem ich ein paar Anpassungen gemacht habe. Gleicher Screenshot und nun passt er zu keinem meiner Shops.

 

[david]

Dem Hinweis zum Git-Repository würde ich dennoch nachgehen. Auf diese Art Sicherheitslücke scheint sich der Kontakt nämlich spezialisiert zu haben, siehe z.B. https://www.bidon.ca/fr/random/2016-11-22-email-security-scams-and-public-git-repositories

 

[Fabrice]

Vielen Dank Ich werde dem mal nachgehen. Scheint für mich im Moment zumindest plausibel.

 

[katran]

Wenn deine .git Ordner nicht geschützt ist, kann man die Seite einfach klonen. Versuche einfach mal: git clone www.dein-shop.de/.git

Google wie du diene .git Ordner einfach mit .htaccess schützen kannst.

Wenn in deine config Datei nich im gitignore war, dann hat der Mann deine Passwörter.