Etwa 10 Websites auf unseren Servern wurden gestern gehackt. Eine Seite in türkisch wurde aufgeschaltet mit dem Titel ‘Hacked by Keremhan’. So wie es aussieht wurden bestehende Index-Seiten überschrieben. Weitere Schäden wurden bis anhin nicht festgestellt.
Weiss jemand näheres, wie der Hacker vorgegangen ist?
Anscheinend wurden gestern und heute weltweit tausende Websites gehackt: http://www.zone-h.org/archive/defacer=KEREMHAN
Ja, bei uns war das auch der Fall. Wie Du erwähnt hast, sind nur die Index-Files betroffen. Leider wissen wir zur Zeit auch nicht Näheres.
Der macht eine Abfrage über Google mit “shop_” oder “Shop-”
dann kam er über die AGB mit einer SQL Abfrage, die den Benutzer auslesen kann!
per FTP legt er dann eine Shell ins Web, bei uns
lag die Datei im Verzeichnis
media\conten\r57.php (kann auch andere nummer haben!)
das hat/soll 777 Rechte haben, laut XT Shop!
Damit kann er dann wirklich aber auch alles machen, was er will!
HACKED BY KEREMHAN… ist der geringste Schaden! Hoffen mal, dass er nicht noch was anderes vor hat!
Hi Karsten, vielen Dank. Kannst Du mir diese r57.php zustellen, damit ich den Inhalt analysieren kann? Möchte dann den Server mit grep durchsuchen lassen.
das ganze ist auch bei uns passiert hat aber nur die index ausgetauscht.
der hat über google “inurl” gesucht “shop_content.php” und ist dann bestimmt auf eine menge xtcommerce seiten fündig geworden…
und dann hat der über die url mit sql befehlen gearbeitet….
Lest euch das mal durch
http://www.ecombase.de/r57.php.c99shellC-Virus-Hack-SQL-Injections.Angriffe-auf-xt-commerce-shop-systeme.php
Aktueller Patch samt Erklärung wie man seinen ECB SEO SHOP, GAMBIO, XTC “dicht” macht gibt es bei uns im Forum. http://www.ecombase.de/forum/SHOP-SECURITY-BEREICH-f531.html
Das “Problem” betrifft recht viele Shops die auf Xt-Commerce basieren, also alle Forks die unterwegs sind !
Nun hat es in diversen .js files codes drin sowie im INDEX im quellcode
Finde dies in der seite jedoch nirgends….. denke es wurde kodiert….
kennt das jemand?