VEYTON ADMIN Shop angriff

[wirverbindenwelten.de]

Unser Shop wurde angegriffen, das Administrator Passwort geändert und ein Text auf der Startseite hinterlassen...

Ein Zugriff auf phpmyadmin hat laut log nicht stattgefunden...

was nun?

[coshen]

kommt eine Fehlermeldung wenn ihr euch in den admin loggen wollt?

[giller]

In den Logs vom Server schaun und gucken ob man den Angriff verfolgen kann.

Ansonsten nutzt ihr das ekomi plug-in oder ein anderes was "allow url fopen" nutzt.

Dann ist ein Agriff auf den Shop möglich mein Freund hat es mir vorgemacht.

[coshen]

tja es ist möglich, bei uns wurden die emails umgeleitet und noch so einiges
angerichtet.

bin gerade dabei alle Daten zu sichern
und muss das system neu aufbauen

bin also nicht allein

[df:bug]

Hallo,

ist/war direkt der Server betroffen? Wurde der direkte ROOT-Login unterbunden? Fail2Ban im Einsatz? Es empfiehlt sich gewissen Zugänge/Tools, wie phpMyAdmin oder MySQLDumper mit .htaccess zu sichern.

Viele Grüße,
df:bug

[wirverbindenwelten.de]

hi df:bug,

nein, kein root..
das super admin passwort des shops.
ein access auf phpmyadmin hat wohl nicht stattgefunden, dieses ist auch mit htaccess geschützt.

[df:bug]

Hallo,

also gibt es keine ersichtlichen Anzeichen dafür woher bzw. wie in das System eingedrungen wurde? Das Passwort zu "einfach" oder auch anderweitig in Gebrauch?

Viele Grüße,
df:bug

[wirverbindenwelten.de]

es ist ein generiertes Passwort verwendet worden das sich auch von dem des .htaccess Schutzes unterscheidet..
wir verwenden den shirtdesigner als zusätzliches plugin.

ich könnte nun mit dem älteren backup vergleichen um zu sehen ob was eingeschleust wurde und die access logs tagelang analysieren, aber bin mir nicht sicher ob wir so ohne weiteres die Schwachstelle herausfinden.

[matictec]

Bitte halte uns hier auf dem Laufenden falls ihr etwas findet. Unbedingt auch die Servereinstellungen auf Schwachstellen prüfen.