Danke @Walter Lenk für die Übermittlung eurer Erkennitsse. Dadurch habe ich das Skript nochmal erweitern können, sodass es noch genauer prüft und einen weiteren Indikator für die SQL-Injection hat.
"Es gibt Hinweise, dass in betroffenen Shops die Datenbank ausgelesen wurde, d.h. Kundendaten, Daten über Bestellungen sowie Nutzernamen und Passwörter sind entwendet" => Welche Hinweise sind das? Ich möchte hier wirklich nicht klugscheißerisch rüberkommen – mir geht es darum, das Thema besser zu verstehen. Zum Hintergrund: Wir haben bereits mit der Datenschutzbehörde gesprochen. Dort wurde uns erklärt, dass allein die theoretische Möglichkeit, dass Kundendaten abgegriffen worden sein könnten, noch keine automatische Meldepflicht auslöst. In solchen Fällen reicht zunächst eine saubere interne Dokumentation. Ich habe in den bisherigen Analysen keinen konkreten Hinweis gesehen, der eindeutig belegt, dass tatsächlich Kundendaten abgeflossen sind. Genau deshalb stelle ich so viele Fragen. Mich würde interessieren, auf welcher Grundlage hier davon ausgegangen wird, dass Daten abgezogen wurden. Dieses Verständnis könnte vermutlich auch vielen anderen Shopbetreibern helfen, die Situation besser einzuordnen. Dass ein kompromittierter Shop potenziell ein Risiko für Kundendaten darstellt, ist für mich absolut nachvollziehbar.
Man kann es jedoch aktuell nicht runterladen, es hat keinen funktionierenden Link. (Link nur für registrierte Nutzer sichtbar.) zum Download Hier klicken: or-0326-test.zip (Version 4)
Frage noch zum Exploit: braucht Gambio an irgendeiner Stelle aus MySQL heraus FILE Berechtigungen, also das Recht MySQL Abfragen in eine Datei zu schreiben? Oder kann ich das dem DB Nutzer entziehen? Damit würde man doch mit einem Schlag das ablegen jeglicher Hacker-Dateien am Server unterbinden.
Eine 100%ige Sicherheit gibt es nie, aber in paar grundlegende Sicherheitsmaßnahmen helfen dass die typischen scans schon mal nicht erfolgreich sind. Was ich z.B. habe 1. blocke ich alle IPs über fail2ban (geht natürlich auch direkt in der Firewall) die innerhalb von 10 Minuten 5x einen 404 erzeugen 2. blocke ich generell bekannte "schlechte" IPs mit crowdsec listen (cloudflare geht natürlich auch) 3. mod_security an mit dem ruleset von comodo 4. Es müssen nicht alle Verzeichnisse vom Webserver-User schreibbar sein, themes z.B. nicht. Gambio Admins mit 2-Faktor Authentifizierung und SQL Server nur von localhost, ist denke ich selbstverständlich. Hätte hier aber nicht geholfen.
Moin, gibt es den eine ToDo die man machen sollte zb wie geoblocking in der htacess, um den Shop zukünftig besser zu schützen? Wir sind wohl mit einem blauen Auge davon gekommen. Angriff wurde wohl gem Serverlog auf unserem Shop am 29.03 gefahren, aber da hatten wir glücklicherweise schon den Patch seit zwei Tagen drin.
In dem Fall hätte Geoblocking gar nix genützt, außer du sperrst die Niederlande aus. Shop aktuell halten, Module aktuell halten, PHP Version aktuell halten, ordentlichen Hoster wählen (Hetzner hat z.B. sehr gute Virenscanner). Aber 100 % Sicherheit gibt es nicht. Bei der Sicherheitslücke jetzt, hätte nix von den genannten Dingen etwas genutzt.
Wenn die ne gemietet Cloud Infrastrucktur genutzt haben ändern die eh einfach das Gebiet und lassen es nochmal laufen. Das heute auch nicht mehr so schwer. Brauchst ja heute keine eigenen Server mehr überall mieten.
Ist dir noch nie aufgefallen, dass die Security-Patches schon immer an alle gingen, freundlicherweise auch an die, die keinen aktuellen Vertrag haben? Wenn ich mal eine Zeitlang mangels Supportbedarf den Vertrag nicht erneuere, kann ich mich nicht ins Kundenportal einloggen! "An alle" geht aber nur per Email. Oder wie sonst? LG Marieluise
Auf der folgenden Gambio Seite steht erklärt, das nur diejenigen eine Mail bekommen haben die auch infiziert sind. Siehe hier: https://www.gambio.de/sicherheit
Das halte ich für etwas Irreführend. Liest man weiter steht unter https://www.gambio.de/sicherheit/faq-self-hosted nämlich:
Bin mir ziemlich sicher die Aussagen bezieht nicht nur auf Cloud Shops und ist verwirrend geschrieben. Woher sollte Gambio bei Self Hosted schliesslich wissen ob man betroffen ist? Sie können ja nicht alle Self Hosted Shops beobachten? Ich denke bei Self Hosted bekam einfach jeder die Mail?
Guten Tag! Jetzt bin ich ein wenig unsicher, da mein Shop seit heute morgen ab und zu keine Verbindung hat, wobei mein Testshop funktioniert. Es ist dann ein leere Seite. Ist das ein typisches Problem mit der Sicherheitslücke ? Nachtrag: Beim Hoster ist ein Ticket geöffnet. Wie kann man testen, ob nur die Subdomäne betroffen ist oder der Angriff aktiv ist ? ERLEDIGT: Lag an IONOS, die über Ostern echte Probleme hatten :/
Wie bereits mehrfach geschrieben: wie soll Gambio bei Selfhosted Shops wissen ob er betroffen ist? Das geht nicht ohne alle Shops abzuklappern.
Einige Kunden haben mir ebenfalls berichtet, dass sie keine E-Mails erhalten haben. Auch sind diese E-Mails nicht im Spam-Ordner gelandet. Mir ist aufgefallen, dass bei diesen Kunden, überwiegend eine externe E-Mail-Adresse, wie z. B. ....@t-o.......de, im Gambio-System hinterlegt ist. In solchen Fällen kann es vorkommen, dass E-Mails durch den jeweiligen Anbieter abgewiesen werden, ohne im Spam-Ordner zu erscheinen. Ursachen hierfür können u. a. SPF-, DKIM- oder DMARC-Prüfungen, Provider-seitige Filter oder Blacklisting sein. Eine pauschale Ursache lässt sich daher nicht festlegen. Erfahrungsgemäß liegt das Verhalten jedoch häufig im Zusammenspiel mit dem jeweiligen E-Mail-Anbieter. Alles pauschal auf Gambio zu schieben, ist daher nicht richtig.