Paypal Einbruch in xt:commerce Shop

  • Hallo Hasan, Hallo Community Members,


    ich habe mal eine Frage zu einem xt:commerce Shop Version 3.


    Der Shop hat das standard Paypal Modul vom xtcommerce installiert.
    Jetzt stellt sich plötzlich heraus das wie von Geisterhand die Paypal Email Adresse nicht mehr stimmt sondern verändert wurde.
    Das müsste rein theoretisch dann ja über die Admin Oberfläche geschehen sein.


    Wie kann so was passieren?
    Irgendwelche Ansätze wie sowas zustande kommt und wie das Problem behoben werden könnte?


    Viele Grüße


    Franky

  • Es gibt viele Möglichkeiten, man müsste alle Varianten ausschließen.

    • FTP Account gehijackt und damit MySQL Zugang verschafft
    • MySQL ist extern erreichbar und wurde gehackt
    • Zugangsdaten sind dem jenigen bekannt, der es geändert hat
    • Durch eins der beiden Sessionbugs des xt:Commerce Admin geworden und dort übers Admin geändert
  • Hi Hasan,


    hast Du noch eine Tipp zu den Session Bugs im xtcommerce (wo ich die finde)?


    Kann es was mit http und https Verschlüsselung zu tun haben?


    MySQL extern erreichbar, meinst Du bestimmt einen phpmyadmin oder so?


    Wie könnte der Einbrecher denn die Passwörter vom Admin klauen? Per Virus auf dem PC oder ist das abwegig?


    Viele Grüße


    Franky

  • hast Du noch eine Tipp zu den Session Bugs im xtcommerce (wo ich die finde)?


    Eins der Bugs, wie Du vielleicht mitbekommen hast ist in Verbindung mit dem IE8 (ggf. auch IE6). Dieser äußert sich in Punkten wie

    • Bestellungen mit anderen Kundendaten
    • Kunde wird plötzlich abgemeldet
    • Kunde wird zum Login geleitet
    • gibt bestimmt noch paar mehr

    Einen Bugfix gibts dafür von anderen Seiten nicht, wir haben den zwar, geben es aber nicht raus, da wir als Entwickler von xt:Commerce V2 - V3.0.4 SP2.1 dringest auf einen Update auf unsere aktuelle Software raten, betroffen sind alle Forks. Ist jedoch im H.H.G. multistore gefixt. Die Punkte können in manchen Fällen auch auf den zweiten Session Bug auftreten. Am einfachsten kann mans nachvollziehen, wenn man die eingebauten Suchmaschinen freundliche URLs aktiviert und dann mit zwei unterschiedlichen Rechnern und IE8 auf die Seite geht, was passiert man wenn man aus der

    Zitat

    header.php

    die

    Zitat

    base href

    raus nimmt.

    Kann es was mit http und https Verschlüsselung zu tun haben?


    eher weniger, es muss ja jemand an die Einstellungen oder Daten kommen.

    MySQL extern erreichbar, meinst Du bestimmt einen phpmyadmin oder so?


    phpMyAdmin ist meist Passwort geschützt, ich meine eher das der server Port 3306 offen ist und dadrüber ggf. von Extern zugegriffen wird. Die Übertragung ist wie bei FTP im Klartext, so können übermittelte Zugangsdaten abgehört werden.

    Wie könnte der Einbrecher denn die Passwörter vom Admin klauen? Per Virus auf dem PC oder ist das abwegig?

    Das ist eins in Mode kommende Erscheinung, es werden Trojaner in Arbeitsrechner eingeschleust, die dann FTP Programmen die Passwörter klauen und an Ihre Besitzer senden oder auch selbständig Seiten hochladen usw. Angenommen man würde an die FTP Daten kommen, ist es kein leichtes aus der

    Zitat

    configure.php

    die Datenbank Daten auszulesen.

  • Hi Hasan,


    erst mal vielen Dank für Deine Antworten.
    Ich denke so ohne weiteres wird das auch nicht nachvollziehbar sein, außer ich finde einen Rechner mit Viren oder einen offenen Port.


    Die von Paypal haben gesagt:
    "Der Shop ist nicht gut genug geschützt!"
    Tolle Aussage oder?


    Der Shopbetreiber steht jetzt wahrscheinlich mit einem finanziellen Schaden von mehreren hundert Euros dar... und das obwohl da ja der Käuferschutz angeworben wird...
    Es scheint wohl nicht möglich den Bestellern das Geld zurück zu überweisen... schon alles sehr seltsam... :(


    Naja ich werde mal fragen ob dort ein HHG Shop zum Einsatz kommen soll... :)


    Viele Grüße


    Franky

  • kein Problem =)


    Das mit den Textbausteinen ist ja nichts neues. ^^