Shop gehackt - Fehlermeldung

[kumosan]

Hallo,

ich habe ein Problem mit meinen beiden Shops.
Beide wurden letzte Woche gehackt. Gibt man im Browser die Domain ein, findet man nur noch eine Seite, die die netten Typen hinterlassen haben. Den zweiten Shop habe ich FTPseitig gelöscht und das Backup wieder hochgeladen.
Um jetzt im Shop ein neues Passwort für mich als Admin zu vergeben wollte ich mir erst ein vom System generiertes zuschicken lassen, dann habe ich versucht, einen neuen Admin anzulegen (auch hierbei wird das PW zugeschickt). Leider erhalte ich dann folgende Fehlermeldung:

Fatal error: Smarty error: unable to write to $compile_dir '/www/htdocs/w00681ca/hunde-traum/templates_c'. Be sure $compile_dir is writable by the web server user. in /www/htdocs/w00681ca/hunde-traum/includes/classes/Smarty_2.6.10/Smarty.class.php on line 1088

Was muss ich ändern, dass ich wieder im Spiel bin??
Über schnelle Hilfe würde ich mich sehr freuen! Danke schon mal...

Viele Grüße,

Micha

Schreibrechte für das Verzeichnis templates_c vergeben?

My2Cent
tuvalu

BTW: Wie wurde denn der Shop gehackt? Das ist gar nicht so einfach.

[kumosan]

Hmmm, wie der Hack ausgeführt wurde kann ich leider nicht sagen, dazu fehlt mir wohl die kriminelle Energie ;-).
Der Effekt war aber, dass man nach Eingabe der Domain direkt auf eine Seite des "H-T Teams" landete, auf der sich die Verursacher für die Übernahme des Shops bedankt haben.

Allerdings hat (so hoffe ich - nach dem erneuten Einspielen der Backups läuft erstmal wieder alles) die DB keinen Schaden erlitten.

Schwer muss das aber nicht sein, den Shop zu "erlegen". Habe im Netz etwas recherchiert und bin auf Meldungen gestossen, nach denen es wohl mit max. 6 Klicks möglich sein muss einen XT Commerce-Shop zu kapern. Details sind mir dazu aber nicht bekannt.

So, jetzt kann ich nur hoffen, dass man uns in Ruhe lässt....

Danke für die Antworten.

LG, Micha

[xt:mzanier]

Zitat:

nach denen es wohl mit max. 6 Klicks möglich sein muss einen XT Commerce-Shop zu kapern. Details sind mir dazu aber nicht bekannt.

das ist natürlich ein blödsinn.

bis dato gibt es keinen fall von gehackten shops wenn nur der shop alleine aufeinem server ist.

100% der bisherigen fälle liegen an installierten foren (phpbb etc) auf dem server.

[kumosan]

Das glaube ich nur zu gerne.
Denn dann wäre unser Shop ja jetzt wieder sicher - oder?!?

Irgendwie muss es aber dann doch funktioniert haben mit dem Hack, auch ohne Foren, etc., denn diese gibt es auf unserem Server nicht, sondern nur zwei XT Commerce-Shops und zwei "normale" HTML-Seiten (ohne jeden "Schnickschnack"). Deshalb weiss ich nicht, ob das mit der 100%igen Sicherheit so stimmen kann - aber wie gesagt: Ich glaube es nur zu gerne

Auf Shared Systemen besteht immer die Möglichkeit, dass über ein Loch beim Hoster auf das DB-System zugegriffen werden kann und von da dann auf die Shop-Site. Deshalb ist es wichtig zu wissen, wie der Hack funktionierte. Der Hoster sollte das unbedingt rauskriegen und in den Log-Dateien steht das ja auch drin.


My2Cent
tuvalu

[advocatus]

Habe ebenfalls aktuell einen xt-commerce der gehackt wurde.
Die Daten sollen gegen Cash wieder herausgegeben werden.
Also Shop gekapert!
Da muß es aktuell einen Trick zu geben, mit denen der Shop leicht geknackt werden kann.

[Coyote]

Es gibt sehr wohl eine Sicherheitslücke, nämlich die XSS Lücke in der advanced_search_result.php

Ein entsprechender Patch wurde bereits veröffentlicht, jedoch ist Dein Shop ohne Patch.

PHP-Code:

$breadcrumb->add(NAVBAR_TITLE2_ADVANCED_SEARCH, xtc_href_link(FILENAME_ADVANCED_SEARCH_RESULT, 'keywords='.htmlspecialchars(xtc_db_input($_GET['keywords'])) .'&search_in_description='.xtc_db_input($_GET['search_in_description'])
.'&categories_id='.(int)$_GET['categories_id'].'&inc_subcat='.xtc_db_input($_GET['inc_subcat']).'&manufacturers_id='.(int)$_GET['manufacturers_id']
.'&pfrom='.xtc_db_input($_GET['pfrom']).'&pto='.xtc_db_input($_GET['pto'])
.'&dfrom='.xtc_db_input($_GET['dfrom']).'&dto='.xtc_db_input($_GET['dto']))); 


Such nach der Zeile ohne htmlspecialchars und ersetze diese mit der, dann ist auch bei Dir die Sicherheitslücke geschlossen

[John Steed]

Zitat:

Da muß es aktuell einen Trick zu geben, mit denen der Shop leicht geknackt werden kann.

Ja, den gibt es - da ist aber nicht der Shop dran Schuld, sondern die Hoster... Wir hatten grad auch einen Angriffsversuch, der konnte allerdings erfolgreich durch den (zusätzlich zur Standardkonfiguration gesicherten) Shop geblockt werden

Böse Leute versuchen derzeit, mittels eines bösen SQL-Befehls über die Shop-Suche SQL-Datenbanken "von hinten" aufzurollen, d.h. auf Datenstrukturen zuzugreifen, auf die eigentlich niemand Zugriff haben sollte. Der Shop blockt das nach Kräften, aber wenn der Hoster das zulässt, kann auch der Shop nichts dafür. Abgesehen davon, dass sich so ein MD5-Passwort-Hash, sobald man ihn denn hat, recht schnell knacken lässt...

Ein simples "Defacement", d.h. der Austausch der Startseite, rührt meistens von zu schwachen FTP-Passwörtern her - auch da kann der Shop nix für...

Leute, gebt euch starke Passwörter (überall!), sichert euere PHP-Umgebung und lasst keinen unsicheren Kram wie ein phpBB o.ä. auf dem gleichen Webspace wie den Shop laufen!

Zitat:

Die Daten sollen gegen Cash wieder herausgegeben werden.

Welche Daten hat denn der böse Mann? Auch wenn man die Seite "defaced", heisst das noch lange nicht, dass man auch auf die DB zugreifen kann... Dafür ist erhebliche kriminelle und technische Energie nötig - Anzeige gegen IP bei der örtlichen Polizeidienststelle?


PS: Coyote war schneller - die htmlspecialchars-Lücke war eigentlich schon gefixt ???

[Coyote]

Sein Shop hat den Patch nicht drin ;-)

Zitat:

Zitat von fundus-owl aus einem anderen Forum

';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";
alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'>
<script>alert(String.fromCharCode(88,83,83))</SCRIPT>

Damit kann mans testen, jedoch wird das Script nur komplett in das Eingabefeld passen, wenn man z.B. Web Developer Modul vom Firefox hat und die maximale Eingabelänge ausschaltet