Anruf wegen angeblicher Sicherheitslücke

Thema wurde von Anonymous, 12. März 2014 erstellt.

Seite 2 von 10
  1. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.203
    Danke erhalten:
    6.208
    Danke vergeben:
    1.107
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    #21 Dennis (MotivMonster.de), 12. März 2014
    naja, wenn es einer wissen will sieht er den ordner im quellcode vom shop :)
    ich hab aber immer die neuste piwik und der hat eigene db und der db user hat keine rechte zu anderen DB

    die frage ist vielmehr, wenn es so eine LÜCKE wirklich gibt, warum kennt dann nur so ein unbedeutender Hans-Wurst die Lücke?
    ich vermute da auch eher eine nicht shopseitige lücke oder sicherheitsproblem (PW knacker usw.)
     
  2. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #22 Anonymous, 12. März 2014
    habe auch Piwik 2.1 aber keine eigene DB............:(
     
  3. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.203
    Danke erhalten:
    6.208
    Danke vergeben:
    1.107
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    #23 Dennis (MotivMonster.de), 12. März 2014
    DB's hat man doch normal genug zur verfügung.....
     
  4. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #24 Anonymous, 12. März 2014
    hatte das ehrlich gesagt nicht auf dem Schirm, dass man PIWIK in einer eigenen DB installieren kann............
     
  5. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.609
    Danke erhalten:
    11.335
    Danke vergeben:
    1.614
    #25 barbara, 12. März 2014
    @Dennis
    finden kann man alles, aber man muss es denen ja nicht so einfach machen :)

    @Achim
    Wo ist das Problem eine extra DB anzulegen?
     
  6. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #26 Anonymous, 12. März 2014
    Hallo Barbara

    ne, ist kein Problem; habe ich auch schon erledigt. War nur der Meinung, dass Piwik Zugriff auf die Shop-DB benötigt und deshalb bin ich gar nicht auf die Idee gekommen...... :)
     
  7. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #27 Avenger, 13. März 2014
    Nein, die Annahme war leider falsch...

    Das ist keine alphabetisch sortierte Tabellenliste wie in PHPMyAdmin, sondern sieht aus wie mit dem "Mini-SQL" von Gambio erstellt...

    Auch der Inhalt der Kunden-DB scheint authentisch zu sein...

    Da gibt es wohl tatsächlich eine Möglichkeit, die Admin-Kontrolle zu übernehmen....
     
  8. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    #28 Manni_HB, 13. März 2014
    Konstruktionsbedingt oder "nur" in diesem Achim-Fall?
     
  9. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #29 Anonymous, 13. März 2014
    würde mich auch interessieren! :)
     
  10. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    993
    Danke erhalten:
    208
    Danke vergeben:
    100
    #30 Anonymous, 13. März 2014
    Das wird sicherlich nicht öffentlich im Forum gepostet werden ... wer weis wer hier alles mit liest
     
  11. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #31 Avenger, 13. März 2014
    Das wenn man wüsste....
     
  12. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #32 Avenger, 13. März 2014
    Hast Du Deinen Desktop mal auf Viren & Co. untersucht?
     
  13. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #33 Avenger, 13. März 2014
    Ich habe die Shops meiner Frau weiter abgesichert:

    da wird ein Admin-Login nur akzeptiert, wenn der Shop mit einem bestimmten Parameter gestartet wurde.....
     
  14. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #34 Avenger, 13. März 2014
    Ich habe mal die Log-Dateien untersucht...

    Da gab es viele Versuche per "SQL Injection" einzubrechen...

    Ausgehend von diesem Tool:

    http://sqlmap.org/
     
  15. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #35 Anonymous, 13. März 2014
    laut Kaspersky und 2 Online-Scannern ist mein PC sicher..........
     
  16. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.203
    Danke erhalten:
    6.208
    Danke vergeben:
    1.107
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    #36 Dennis (MotivMonster.de), 13. März 2014
    dachte solche fehlerhaften injections fängt der g-protector ab - war der nicht für sowas gedacht?
     
  17. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #37 Anonymous, 13. März 2014
    die Überschrift sagt ja wohl alles:

     
  18. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.971
    Danke erhalten:
    1.576
    Danke vergeben:
    1.162
    #38 Anonymous, 13. März 2014
    dann kann ja auch der Titel geändert werden indem man das "angeblicher" raus nimmt...........:(
     
  19. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    #39 Avenger, 13. März 2014
    Ja, eigentlich schon....

    So sieht z.B. ein Aufruf aus:

    PHP:
    index.php?manufacturers_id=999999.9%20union%20all%20select%200x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536%2C0x31303235343830303536--
    Habe das mal debugged, dieser $_GET-Parameter "manufacturers_id" überlebt den GProtector, die "Input-Filter"-Klasse, "xtc_db_prepare_input" und "mysql_escape_string" als

    PHP:
    999999.9 union all select 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--
    Ob damit dann letztendlich der Einbruch gelang weiss ich nicht.
     
  20. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    993
    Danke erhalten:
    208
    Danke vergeben:
    100
    #40 Anonymous, 13. März 2014
    auf jeden Fall sollte Achim mal eine Stranzeige gegen den Herren machen ... die hat er sich redlich verdiend
     
Seite 2 von 10