Neu Wir wurden gehackt!

Fabrice

Sehr aktives Mitglied
4. September 2012
169
42
Wir erhielten heute eine Email mit einem Screenshot unseres Webroot und dem Inhalt der Index.php. Der Angreifer fragte direkt ob wir ein Bug Bounty Programm haben, dann würde er uns bei der Fehlerbehebung helfen.
FTP ist deaktiviert also kommt nur ein Zugang über den JTL-SHOP4 (404) in Frage.
Hat jemand von euch ähnliches bekommen?
Wir haben den Shop panisch vom Netz genommen und direkt die Logfiles gecheckt aber nichts gefunden.

Beste Grüße

Code:
Hello,

My name is Charles Bourasseau, and I'm an independent IT security expert. I have found a security issue on your website.

I was able to access a lot of files that contain sensitive data.
I attached a screenshot of the files I found to this email.

I would be happy to give you the method I used to access these files in order to let you fix it.
Do you have a bug bounty program or offer financial rewards for security advice?

Please forward this email to the right person, if you are not responsible for the security of the website.

This email is personal and in no way related to any of my employers.

Best Regards,
Charles Bourasseau
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
232
Wir erhielten heute eine Email mit einem Screenshot unseres Webroot und dem Inhalt der Index.php.

Ab welcher Ebene wurde denn der "webroot" dargestellt?

Der grundsätzliche Aufbau der verzeichnisstruktur eines JTL- Shop und der Inhalt der index.php stehen völlig offen und für jedermann zugänglich im gitlab zur Verfügung.
 
  • Gefällt mir
Reaktionen: lotex24.systems

Xantiva

Sehr aktives Mitglied
28. August 2016
1.787
313
Düsseldorf
Na, das ist jetzt keine Hilfe für Euch, aber das klingt aber ja wenigstens "hilfreich". Jemand mit kriminellem Hintergrund hätte die Daten u. U. still und heimlich abgegriffen ...
Seid Ihr alleine auf dem Server / Webspace? Oder liegt da z. B. noch ein anderes CMS?

Wenn er einen Screenshot gezeigt hat - womit wurde die Ordnerstruktur denn angezeigt? Browserbasiert? Passen Dateien und Uhrzeiten von Ordnern? Wenn FTP deaktiviert ist - wie sicher ist das SSH Passwort? Abgesichert per Key?
 
  • Gefällt mir
Reaktionen: lotex24.systems

lotex24.systems

Sehr aktives Mitglied
3. Februar 2016
117
40
Wrocław
Das kommt mir bekannt vor, auch was die Screenshots betrifft... Eine Kontaktaufnahme ergab, zahle mir bitte Geld. Natürlich kann es eine Schwachstelle im Shop sein, doch gibt es viel mehr Angriffsmöglichkeiten als FTP oder Webapp und die Daten sind Quelloffen seit 4.x

Server oder Webspace bei einem Anbieter. Wenn Server, dann Managed oder Root

Meine Meinung... Panik und Shop vom Netz nehmen ist etwas übertrieben, da Ihr die Log-Dateien analysiert habt und keine Auffälligkeiten endecken konntet.

Jan
 

testjo

Sehr aktives Mitglied
Ein email Egal inhalt oder wofür:
Wen kein richtige / vollständige Kontaktdaten drin sind die man auch prüfen kan, soll man nie trauen beim wichtige sachen! (URL,Tel,Mail( nicht von einen ...mailprovider),Firma,Anschrift,Adresse und und.
Weiter alles wie header und logs von solche emails wen man ein verdacht auf ein "attack" wie was welche auch immer auch aufbewahren man kan nie wissen. ;)

Und bereits mit Header info's von mail wen es ähnliches gibt in Netz kan man WEBSUCHE benutzen.
Wobei man beachten soll das was man in Netz findet kan durchaus so gewollt sein! ;)
 
Zuletzt bearbeitet:

Fabrice

Sehr aktives Mitglied
4. September 2012
169
42
Vielen Dank für die Anregungen. Der Shop läuft in einem abgesicherten Container auf einem dedizierten Server und es läuft tatsächlich nur der Shop darin. Ich würde auf Grund der Gedanken in diesem Thread das Logging hochdrehen und diese überwachen.
 
Zuletzt bearbeitet:

Fabrice

Sehr aktives Mitglied
4. September 2012
169
42
Ich habe mir den Screenshot genauer angeschaut und zwei Dateien gefunden, welche nicht zur Standardinstallation eines JTL Shops gehören. Zeitstempel sind leider nicht zu erkennen und auch nicht die Zugriffsmethode. Per Ssh kommt man nur auf den Host und das nur ohne Passwort mit rsa key.
 

css-umsetzung

Offizieller Servicepartner
SPBanner
6. Juli 2011
6.635
1.581
Berlin
Nun hätte ich Panik.

Dann müsstet ihr ja normalerweise auch irgendwo, mindestens eine hochgeladene Datei finden, beispielsweise ne c99 shell oder ähnliches.
Da Ihr ja sogar euren root mit einem key gesichert habt, seid ihr ja nicht wirklich unprofessionell vorgegangen.
Es müsste ja irgendwas hochgeladen worden sein mit dem er die Verzeichnisse anschauen kann.

Ich würde direkt über die Shell mal nach neuen Daten suchen.
je nachdem was Ihr für ein Admininterface habt, habt Ihr ja auch sicherlich Transferlogs, auch wenn du sagst, ihr habt keine offenen ftp Zugänge, ich würde zumindest mal rein schauen.
 
Zuletzt bearbeitet:

Fabrice

Sehr aktives Mitglied
4. September 2012
169
42
Der Server hat kein Adminpanel. Wird per Ssh verwaltet. Die Suche nach der Remote Shell läuft. Was mich eher beunruhigt ist
Die Tatsache, dass ich das Einfallstor nicht kenne.
Logfile vom Ftp zeigt nichts seit ich den Zugang deaktiviert habe.
 

fibergirl

Sehr aktives Mitglied
14. April 2016
828
253
Ich habe mir den Screenshot genauer angeschaut und zwei Dateien gefunden, welche nicht zur Standardinstallation eines JTL Shops gehören. Zeitstempel sind leider nicht zu erkennen und auch nicht die Zugriffsmethode. Per Ssh kommt man nur auf den Host und das nur ohne Passwort mit rsa key.
Und diese beiden Dateien, gibts die wirklich auf Eurem Server? Oder "behauptet" das nur der Screenshot?

Zitat von Xantiva:
Jemand mit kriminellem Hintergrund hätte die Daten u. U. still und heimlich abgegriffen ...
Also mir würde sich noch ein ganz anderer Gedanke aufdrängen.

Der virtuelle Herr Bourasseau ohne echte Kontaktdaten könnte auch ein Phisher sein, der sich JTL-Shops raussucht und diesen Spam sendet, der die Inhaber dazu bewegen soll, ihm Zugriff auf den Server zu geben. Social Hacking nennt sich sowas.

Natürlich gilt das nur, wenn die beiden abgebildeten Dateien ncht wirklich existieren.
Wenn es sie doch gibt, wäre interessant, was drinsteht, vielleicht gibt das einen Hinweis auf die Art des Schadcodes und wie er auf den Server gelangt ist.
 

testjo

Sehr aktives Mitglied
Wen "anscheindend" hack, den Datei nicht von ein oft genutzte plugin/adon ist oder auch im frontend zu erkennen/sehen beispiel google tracking und co oder ein anderer tool/hilfsprogramm die öfter auf so ein Konfig/Server benutzt werdet. ( flash?)

Dan:
Wen sind allen server und /oder admin/shopadmin.?
Auch denen die es vorher mal gab mit einer zugang in oder extern.

Wen richtige/wirkliche Hack / daten-Diebstall ist auch oft einer die "Legal" mall zugang bekommen hat ein täter oder mittäter.!

Weiter einfach ein externe anderer Security Expert fragen die doch bekannt ist und wirkliche Kontaktdaten hat, tel, anschrift und und

frage den hier ob es ... ist https://charlesbourasseau.com/ wen wirklich "betrug" hat man auch so ein art fake Seite schnelle gemacht wen dieser fake ist?
https://whois.de/charlesbourasseau.com dazu den twitter - linkedin account braucht nicht den gleiche person zu sein. https://twitter.com/cboura https://de.linkedin.com/in/charles-bourasseau-73b7a827

Weil davon:
Reseller: NAMECHEAP.COM
Registry Tech ID:
Tech Name: WHOISGUARD PROTECTED
Tech Organization: WHOISGUARD, INC.
Tech Street: P.O. BOX 0823-03411
Tech City: PANAMA

Weil auch:
https://www.google.nl/search?q=Charles+Bourasseau+security&sa=G&gbv=1&sei=jpI1WKuCIIWzUdPIjqgF
 
Zuletzt bearbeitet:

fibergirl

Sehr aktives Mitglied
14. April 2016
828
253
Also eine Domain/Seite, auf der ein Freiberufler sich selbst und seine Dienste präsentiert, dann mit whoisguard zu anonymisieren, ist ... irgendwie unplausibel.

Daher halte ich diese Seite entweder für einen fake.

Oder dieser Typ fährt einfach diese Angstmacher-Masche, um Kunden zu gewinnen und Geld zu verdienen.
Sowas findet sich reihenweise auf facebook: https://www.facebook.com/Honda/posts/10154019837409275
(dieser Charles Bourasseau ist übrigens kein Freiberufler, sondern im "Management Team" von Pidoco. Aber das muss sich ja nicht gegenseitig ausschließen.)

Dies scheint eine seiner Kreationen zu sein: https://github.com/cbou/fs2http
"This module creates Express routes to make filesystem manipulation possible."
Möglicherweise lässt sich beides im Laufe seiner Arbeiten auf den Servern seiner Kunden unter Nutzung von Synergie-Effekten kombinieren ...
 

chris42

Gut bekanntes Mitglied
23. Dezember 2006
269
19
Erkrath
Ich würde ein Image von dem Docker Container machen und das dann in Kopie in Ruhe mal ansehen.
rkhunter und checkrootkit ggf. mal drüber schauen lassen.

Prüfe auch den Rechner von dem aus Ihr euch mit ssh key auf dem Server einloggt, wird gerne vergessen....

mfg chris
 

Fabrice

Sehr aktives Mitglied
4. September 2012
169
42
Es ist definitiv mein webroot. Bin dabei den Container zu prüfen und der Host ist gecheckt. Wer er ist, ist mir grundsätzlich egal. Er hat potentiell sensible Daten auslesen können und das darf nicht. Ich lasse JTL das Logfile zukommen und bis dahin bleibt der Shop offline. Vielleicht find ich den Bug ja auch.
 

testjo

Sehr aktives Mitglied
Also wen der Melder einer serious > Bug Bounty Programm. und so weiter ( gibt es auch ethical Hacker)

Ist es noch nicht wirklich "hacked", nur : Server space und/oder benutzte Apllicationen können und in dieser fall anscheindend einer schwachstelle haben, weis nicht ob es dan überhaupt bereits in LOGS zu sehen ist wen und wie die da war, weil Du sagte den LOGs sind erst später scharfer gesetzt worden oder?

Und da sollte man naturlich doch besser wissen mit wen man es am HUT hat, weil wen man dieser safe Kontaktieren kan werdet man vielleicht auch schlauer
 

exe

Administrator
Mitarbeiter
4. Juni 2016
515
208
Ich möchte dazu auch meine Meinung los werden :)

Wenn ihr gehackt werdet, nehmt die Applikation/Server/Desktop nicht als erstes vom Netz, sondern lasst sich laufen und schaut euch eure Daten an (Logs). Ein Neustart kann evtl. wichtige Logs löschen und ein Hacker wird sich direkt zurück ziehen und ihr seht nicht mehr was lief. Ein Hack hinterlässt nicht immer Spuren auf dem Server, zu mindestens nicht zwangsweise, da jeder Hacker weiß wie Systeme in der Regel loggen und es, je nach Hack, unterbinden/umgehen und löschen können. Es ist also wichtig, das ihr erst einmal entspannt bleibt ...

Wenn sich jemand bei euch mit einer Sicherheitslücke meldet, was ja schon fast perfekt ist, dann sucht den Kontakt und lasst euch die Lücke zeigen. Hat der Hacker zugriff auf die Datenbank ? Kann er Dateien der Applikation oder sogar des Servers lese oder schreiben ? Wenn dem so ist, bittet ihn einen Testkäufer, samt Datensatz aus eurer Datenbank zu dumpen und euch zu schicken. Wenn er Dateizugriff hat, soll er euch ein extra von euch angelegte Datei zu schicken oder eine neue Datei auf dem Server anlegen.

Wenn das passiert ist, solltet ihr mehr als dankbar sein, das es sich um ein White/Grey Hacker handelt, der euch bzw. die Kunden nicht ernsthaft schädigen, wohl aber für seine Arbeit bezahlt werden möchte. Jetzt kann man sich darüber aufregen, dass das ja wie Erpressung sei oder das man diese Dienstleistung ja nicht bestellt hat, aber mal ehrlich ... er hat sich unter Umständen echt mühe gegeben die Lücke zu finden und hätte die Lücke an Dritte verkaufen können - hat er aber nicht.

Nun hat der Hacker ein Problem: Er möchte natürlich für seine Arbeit belohnt werden bzw. möchte Finderlohn haben. Das finden von Sicherheitslücken, auf Fremdsystemen, ist aber in Deutschland grundsätzlich Strafbar (Ein schwachsinniges Gesetz).

Wenn der Hacker einen Beweis für eine Lücke vorweisen kann, dann sprecht mit ihm und schließt einen Vertrag, wo ihr jede Schadensersatzansprüche ablegt und einigt euch auf einen vertretbaren Betrag die Ihr ihm mit der Beschreibung der Lücke bezahlt. Sollte das nicht möglich sein, dann solltet ihr _sofort_ den Server samt Applikation vom Netz nehmen und _sofort_ Anzeige erstatten und euch rechtlich Absichern.

Gruß
 
Zuletzt bearbeitet:

testjo

Sehr aktives Mitglied
Zu White/Grey/Ethical Hacker.:

Meine denen die nur ein par default Scans und oder "Web"suche benutzen um dan eher bereits länger bekannte Lücken zu entlarven/entdecken und dafür Geld verlangen soll man mit aufpassen weil dort finde ich ist ein GRAU Bereich wo auch ziemlich viele Abzocker unterwegs sind!

Fast ähnlich wie den Deutsche Abmahn wansinn. ;)
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Kunde bekommt Zahlungsart angezeigt die wir nicht anbieten User helfen Usern 5
Neu MS SQL 14 Express wird langsam voll. Welche Lienzen benötigen wir? Bitte um Hilfe Eigene Übersichten in der JTL-Wawi 27
Neu OPC - productstream als Liste wir keine Warenkorb Button angezeigt Betrieb / Pflege von JTL-Shop 2
Neu Wir brauchen realistische Bildgrößen und keine Monsterbilder Templates für JTL-Shop 32
Neu Mandantenabgleich (2 Firmen) 1.5xx zu 1.8 wir haben Probleme. Visitmedia ( Victor Mandantenabgleich ) User helfen Usern - Fragen zu JTL-Wawi 5
In Diskussion Waag Wert wir angezeigt aber nicht übernommen Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 13
Neu wir brauchen dringend Hilfe bei WMS-Mobile, Benutzeranmeldung User helfen Usern - Fragen zu JTL-Wawi 3
Neu Wir suchen Verstärkung im Raum Reutlingen Dienstleistung, Jobs und Ähnliches 0
Neu Wir verschicken eine EMail zur Bestätigung für Produktinformation ? Allgemeine Fragen zu JTL-Shop 2
Neu Exportvorlage Hermes wir über Packtisch nicht mehr ausgegeben JTL-ShippingLabels - Fehler und Bugs 0
Wie kann ich eine Benachrichtigung bei einem Wareneingang auslösen mit einer Mail über die Artikel die eingebucht wurden JTL-Wawi 1.8 2
Artikel wurden über Weclapp über FFN-Connect an JTL FFN übermittelt jedoch leider nicht an Wawi & WMS JTL-Wawi 1.8 0

Ähnliche Themen