Danke @Walter Lenk für die Übermittlung eurer Erkennitsse. Dadurch habe ich das Skript nochmal erweitern können, sodass es noch genauer prüft und einen weiteren Indikator für die SQL-Injection hat.
"Es gibt Hinweise, dass in betroffenen Shops die Datenbank ausgelesen wurde, d.h. Kundendaten, Daten über Bestellungen sowie Nutzernamen und Passwörter sind entwendet" => Welche Hinweise sind das? Ich möchte hier wirklich nicht klugscheißerisch rüberkommen – mir geht es darum, das Thema besser zu verstehen. Zum Hintergrund: Wir haben bereits mit der Datenschutzbehörde gesprochen. Dort wurde uns erklärt, dass allein die theoretische Möglichkeit, dass Kundendaten abgegriffen worden sein könnten, noch keine automatische Meldepflicht auslöst. In solchen Fällen reicht zunächst eine saubere interne Dokumentation. Ich habe in den bisherigen Analysen keinen konkreten Hinweis gesehen, der eindeutig belegt, dass tatsächlich Kundendaten abgeflossen sind. Genau deshalb stelle ich so viele Fragen. Mich würde interessieren, auf welcher Grundlage hier davon ausgegangen wird, dass Daten abgezogen wurden. Dieses Verständnis könnte vermutlich auch vielen anderen Shopbetreibern helfen, die Situation besser einzuordnen. Dass ein kompromittierter Shop potenziell ein Risiko für Kundendaten darstellt, ist für mich absolut nachvollziehbar.
Man kann es jedoch aktuell nicht runterladen, es hat keinen funktionierenden Link. (Link nur für registrierte Nutzer sichtbar.) zum Download Hier klicken: or-0326-test.zip (Version 4)
Frage noch zum Exploit: braucht Gambio an irgendeiner Stelle aus MySQL heraus FILE Berechtigungen, also das Recht MySQL Abfragen in eine Datei zu schreiben? Oder kann ich das dem DB Nutzer entziehen? Damit würde man doch mit einem Schlag das ablegen jeglicher Hacker-Dateien am Server unterbinden.
Eine 100%ige Sicherheit gibt es nie, aber in paar grundlegende Sicherheitsmaßnahmen helfen dass die typischen scans schon mal nicht erfolgreich sind. Was ich z.B. habe 1. blocke ich alle IPs über fail2ban (geht natürlich auch direkt in der Firewall) die innerhalb von 10 Minuten 5x einen 404 erzeugen 2. blocke ich generell bekannte "schlechte" IPs mit crowdsec listen (cloudflare geht natürlich auch) 3. mod_security an mit dem ruleset von comodo 4. Es müssen nicht alle Verzeichnisse vom Webserver-User schreibbar sein, themes z.B. nicht. Gambio Admins mit 2-Faktor Authentifizierung und SQL Server nur von localhost, ist denke ich selbstverständlich. Hätte hier aber nicht geholfen.
Moin, gibt es den eine ToDo die man machen sollte zb wie geoblocking in der htacess, um den Shop zukünftig besser zu schützen? Wir sind wohl mit einem blauen Auge davon gekommen. Angriff wurde wohl gem Serverlog auf unserem Shop am 29.03 gefahren, aber da hatten wir glücklicherweise schon den Patch seit zwei Tagen drin.
In dem Fall hätte Geoblocking gar nix genützt, außer du sperrst die Niederlande aus. Shop aktuell halten, Module aktuell halten, PHP Version aktuell halten, ordentlichen Hoster wählen (Hetzner hat z.B. sehr gute Virenscanner). Aber 100 % Sicherheit gibt es nicht. Bei der Sicherheitslücke jetzt, hätte nix von den genannten Dingen etwas genutzt.
Wenn die ne gemietet Cloud Infrastrucktur genutzt haben ändern die eh einfach das Gebiet und lassen es nochmal laufen. Das heute auch nicht mehr so schwer. Brauchst ja heute keine eigenen Server mehr überall mieten.
Habt ihr schon mal getestet, ob nach dem Security Update 2026-03 v1.1 (Gambio v4.9) euer Warenkorb noch aufrufbar ist? Meiner wurde komplett zerschossen und ist nicht mehr aufrufbar Der Gambio-Support ist auch mal wieder nicht in der Lage, zu antworten bzw. zu helfen. Danke für nichts! Aber für solche ''Meisterleistungen'' mehr Kohle haben wollen