Erfahrungsaustausch zum Sicherheitsupdate 36 Forum

A A A
Avatar

Bitte denke über eine Registrierung nach
guest

sp_LogInOut Login sp_Registration Registrieren

Registrieren | Passwort vergessen?
Erweiterte Suche

— Forumbereich —




— Match —





— Forum Optionen —





Minimale Suchwortlänge beträgt 3 Zeichen - die maximale 84

No permission to create posts
sp_TopicIcon
Erfahrungsaustausch zum Sicherheitsupdate 36
31 Januar 2008
10:06 pm
Avatar
Gast
Guests
Zitat:
Achtung: Sicherheitsupdates sind mit Update 36-37 am 05.02.2008 erschienen. Das Shopsystem ist ab dieser Zeit bereits mit diesen Sicherheitsupdates versehen. Das Problem gilt als gelöst.
Zitat:
Achtung: Sicherheitselemente sind mit Update 38 am 13.03.2008 erschienen. Die Administration hat seit diesem Zeitpunkt kein Problem mehr mit "Formularen", wenn diese abgesendet werden (weisse Seite = No Sql Injections). Das Problem gilt als gelöst. Das neue Shopsystem ist ab dieser Zeit bereits mit diesen Sicherheitsupdates versehen.
Zitat:
Bitte keinen Code mehr verändern, wie es am Ende dieser Beiträge teilweise empfohlen wird. Dies ist veraltet und sehr gefährlich. Bitte macht satttdessen die Updates bis 38, wenn dies nicht schon längst bei Euch drin ist.

Wie der Name schon sagt. Sollte Euch zu dem Update etwas auffallen, bitte detailiert hier rein.

Da über dieses Sicherheitsupdate verstärkt darauf geachtet wurde, dass kein schädlicher Code in Formulare eingegeben werden kann, ist es auch von Bedeutung was in ein Formular eingegeben wurde, wenn es zu Fehlern kommt.

...evt. muss hier noch etwas nachgebessert werden und die Einstellung ist noch etwas zu straff. Sicher ist sicher.

Die Ausgabe "Not SQL injections!" bedeutet, dass solcher Code entdeckt wurde.

31 Januar 2008
10:12 pm
Avatar
Ocean
Einsteiger
Members

Members
Forumsbeiträge: 5
Mitglied seit:
29 Januar 2008
sp_UserOfflineSmall Offline

Also ich hatte nach der Installation als ich mich in das Adminmenü einloggen wollte eine Fehlermeldung no_Sqlinjektion ( oder so ähnlich) danach lief alles wunderbar 🙂 hab die zugangsdaten geändert mich aus und wieder eingeloggt ohne Probleme.

Gruß Ocean

1 Februar 2008
2:16 am
Avatar
Mario_2008
Mitglied
Members

Members
Forumsbeiträge: 19
Mitglied seit:
17 Januar 2008
sp_UserOfflineSmall Offline

Hallo, Danke erst mal für das Update. Mit der änderung des von dir vorgeschlagenen Code geht es einwandfrei. Somit kann man auch die Artikel Beschreibung nun wieder ändern.

Recht Herzlichen Dank.

1 Februar 2008
3:57 am
Avatar
Koderle
Gast
Guests

nujoa...alles fit soweit...

hab nur festgestellt dass die warnmeldung zu den beiden load_this-dateien nicht mehr weggehen...

in beiden natürlich schon seit anfang die rechte auf 644 gesetzt...
aber warnung bleibt trotzdem... 😐
naja...vielleicht auch nur ein schönheitsfehler...
egal... wink

na dann hoff ich mal dass das alles schön hinhaut...

achja...
die daten von mister unbekannt sind noch im anmarsch...
wir bohren erst noch weiter...geb dann bescheid wenn ich
alles handfeste beisammen hab....

:glasses7:

jetz erstmal ne mütze schlaf...war ein extrem harter tag...-.-

nacht jungs und mädelz...

1 Februar 2008
4:15 am
Avatar
Gast
Guests

Da muss ich wohl an dem regulären Ausdruck noch etwas drehen. Bitte weiter so. Zu diesem Update sind die Erfahrungen Gold wert.

1 Februar 2008
4:24 am
Avatar
roboter80
Leipzig
Forenlegende
Members

Members
Forumsbeiträge: 558
Mitglied seit:
9 September 2007
sp_UserOfflineSmall Offline

ich grenz das problem mit den suchwörtern noch ein, scheinbar wittert er nun bei sämtlichen wörtern, die "AND" enthalten eine injection.. wörter die "OR" enthalten funzen allerdings..

gruß, robot



1 Februar 2008
4:55 am
Avatar
Gast
Guests

Danke für Eure Hilfe. Bitte weiter so.

:thumbleft:

Kleiner Hinweis: Wir haben gestern bereits gegen einige Leute, die uns hier massiv mit Hackangriffen treffen wollten, Strafanzeige beim LKA Stuttgard gestellt.

Ich werde morgen noch ein Bericht dazu schreiben und unseren Shopbetreiber und User Details mitteilen.

Man kann alles für die Sicherheit tun. Ein Programmierer weiss aber eines: Nichts ist 100% sicher. Diese Angriffe hatten nur eines zum Ziel: Mit hochkrimmineller Energie großen Schaden anrichten.

Ein Hacker ist besonders auffällig und glaubt er könne weiter sein Unwesen treiben und Dateien in ein Session Ordner eines unserer Testshops einschleusen, der noch kein Sicherheitsupdate erhalten hat. Mit "eval" und "base_64" und einigen anderen leicht durchschaubaren Tricks , hat er dabei in seiner Sandbox gespielt. Es hätte Freude bereitet als ich Ihn dabei beobachtete, wenn es nicht so traurig gewesen wäre.

Naja, wir haben nett Mitprotokolliert und das dann gleich zum LKA nachgereicht.

Diese Codesnipes, wie in den Bigwareshop SQL Injections einzuschleusen waren, sind in allen gängigen Hackerforen aufgetaucht.

Wenn es nicht so kimminell abgehen würde (Ich denke dabei immer: Was sich so ein Idiot wohl denkt?), würde ich diese Hinweise ja sogar begrüßen. Aber hier im Forum bekannt geben, das er es schon bei einigen laufenden Bigware Shops versucht hat, gleichzeitig mir mitteilen "er würde auch gegen Geld eine Software testen", und dann keine Zeit verlieren immer wieder zu versuchen Druck zu machen, ist kein Kidispiel mehr.

Open Source Software wie Joomla, e1007, OSC, Bigware usw. haben alle auch schwachstellen die immer wieder überprüft werden müssen. Deshalb geben Firmen wie Microsoft Millionen oder mehr für die Sicherheit aus und bringen ständige Sicherheitsupdates und Patches. Nur zur Erklärung, für die, die es nicht wissen: Joomla, e1007 usw sind OpenSource Content Managemend Software Systeme die viele Millionen User weltweit nutzen und einsetzen.

Was glaubt so ein Futzi also. Wir würden nicht offen reden können? Quatsch! Selbstverständlich hat Bigware diesbezüglich keine Geheimnisse, ebensowenig wie all anderen Softwareschmieden die offenen Code anbieten zur allgemeinen Weiterentwicklung, sonst würden wir ein Update doch nicht mit "Sicherheitsupdate" betiteln und es in der Administration eines jeden Shops als "Achtung Wichtig" markieren.

Es ist doch selbstverständlich, dass ich und Fred keine Beiträge dulden, die Hinweise darauf enthalten mit welchen Shops man noch spielen könnte!

Ich werde deshalb Morgen, ganz bewusst, öffentlich unsere Maßnahmen bekannt geben und die "Gemeinde" darum bitten alle Hinweise sofort an uns weiter zu geben, damit das LKA solchen Menschen zur Verantwortung zieht.

Ich bin wegen des Sicherheitsupdates fast 36 Stunden wach und werde nun wirklich tot ins Bett fallen. An alle die, die nun diesen Beitrag heute schon lesen (Wie geschrieben: Morgen kommen noch Details), möchte ich darum bitten Fred und mir weitere Auffälligkeiten oder Erkenntnisse mitzuteilen. Daten bitte sofort speichern. Wir werden diese ebenfalls prüfen und weiter reichen.

1 Februar 2008
8:24 am
Avatar
Trouble
67307 Göllheim
Kenner
Members

Members
Forumsbeiträge: 349
Mitglied seit:
24 Januar 2008
sp_UserOfflineSmall Offline

So ich muss euch an dieser Stelle mal meinen Respekt zollen, was ihr gestern geleistet habt ist einfach großartig.
Ihr habt euch mit Fehlregistrierungen, Scheinbestellungen und dem LKA rumgeärgert, und dass rotzfreche Scriptkiddy wollen wir auch nicht vergessen. Trotz dieser zeitraubenden Faktoren habt ihr es geschafft ein Sicherheitsupdate zu erstellen und nebenbei auch noch Supportanfragen zu bearbeiten, und spät Abends sogar noch einen Fix geposted.
So großen Einsatz sucht man bei verschieden Kommerzläden vergebens.

In diesem Sinne, vielen Dank Jungs macht weiter so !!!

Gruss

Trouble

1 Februar 2008
8:52 am
Avatar
FredK
Schneverdingen
Administrator
Forumsbeiträge: 6518
Mitglied seit:
2 Februar 2007
sp_UserOfflineSmall Offline

Das ganze hat mich 2 Aspirin, zu wenig Schlaf und jede Menge Verspannungen gekostet.
Und das alles neben meinem eigentlichen Beruf.... 😯

Friedrich Koop – Dipl. Finanzwirt
Bigware Templates - Bigware auf Facebook

1 Februar 2008
2:56 pm
Avatar
Koderle
Gast
Guests

Nur mal so als Anmerkung...
ich habe soeben noch ein paar Leute mehr damit beschäftigt den/diejenigen ausfindig zu machen, die solchen unsinn treiben.
Ich hoffe mit allen Erkenntnissen etwas an der Klage beitragen zu können.

Ich hab schonmal gesagt...
da hat sich jemand mit den falschen angelegt... 8)

Natürlich geb ich alle brauchbaren Infos sofort an Dirk und Fred weiter.

Zum Thema Hacker...

Ich muss ganz ehrlich sagen, dass ich sowas nicht SOO schlimm finde.
Man kennt selbst eine Menge dieser Leute, jedoch solche die es nicht kriminell in solch einer Art ausleben.
Die, die ich kenne konzentrieren sich darauf Firmen auf Ihre Sicherheitslücken hinzuweisen um fremden Schaden zu vermeiden.
Einige verdienen sich so auch Ihr Geld.
Von diesen Leuten würde es jedoch nie jemand in Absicht bringen irgendwelche Shops zu hacken um unsinn zu treiben und sich daran noch "aufzugeilen", weil Sie in dem Punkt der selben Meinung sind wie ich es bin. Man kann jemandem unmengen probleme zufügen.

Ich hab hier schon einige Leute kennengelernt, die den Shop nutzen um aus der Arbeitslosigkeit in eine Selbständigkeit zu steigen.
Die Leute wollen etwas erreichen.
Und ich finde es einfach nur verachtend wenn man solchen leuten dann auch noch schaden zufügt, indem man ihren Namen schädigt.
Niemand kauft in einem Shop, der in einer Hack-liste geführt wird.

Ganz ehrlich...ich find es traurig dass es solch hirnlose leute in unserer Gesellschaft gibt.
Nutzt doch euer können und wissen um andere zu unterstützen.
Mich würd echt mal interessieren was ihr davon habt anderen das leben schwer zu machen...?!:roll:

Nujoa...
Sämtliche Hackversuche werden von meinen Leuten verfolgt...
und glaubt mir...wir kriegen euch alle am arsch! 8)
Dafür leg ich gern mal ein paar hunderter mehr auf den tisch!

Noch ein Lob an dirk!
In so kurzer Zeit ein Update rauszubringen, ist eine glanzleistung!
Ich kenne genug teure Software, bei denen sich nicht wirklich jemand um seine User kümmert.
Update klappt wunderbar...

Thanks... 😀

1 Februar 2008
4:11 pm
Avatar
_jero_
Einsteiger
Members

Members
Forumsbeiträge: 3
Mitglied seit:
1 Februar 2008
sp_UserOfflineSmall Offline

hallo zusammen, ich habe das selbe Problem, kommt die Buchstabenfolge "and" vor, kommt Not SQL injections!

ich habe den Code gemäss angepasst jedoch kein erfolg...

kann man [a][n][d] nicht einfach entfernen?

grüsse

_jero_

gugus

1 Februar 2008
4:14 pm
Avatar
roboter80
Leipzig
Forenlegende
Members

Members
Forumsbeiträge: 558
Mitglied seit:
9 September 2007
sp_UserOfflineSmall Offline

ich rate davon ab, bei einer solchen sicherheitsrelevanten sache was eigenmächtig zu entfernen.

das problem mit "AND" ist dirk bekannt und er schrieb auch schon, dass er den ausdruck anpassen will. ich gehe davon aus, dass er einen modifizierten ausdruck demnächst hier postet.

gruß, robot



1 Februar 2008
4:23 pm
Avatar
_jero_
Einsteiger
Members

Members
Forumsbeiträge: 3
Mitglied seit:
1 Februar 2008
sp_UserOfflineSmall Offline

ok, danke für den Tipp, wir warten alle gespannt auf Dirks relase laugh

grüsse

_jero_

gugus

1 Februar 2008
5:43 pm
Avatar
Blackbolt
Mitglied
Members

Members
Forumsbeiträge: 11
Mitglied seit:
13 Januar 2008
sp_UserOfflineSmall Offline

Nach dem Update:

Folgender Fehler trifft auf, wenn ich Produkte, Impressum o.ä. aufrufen will:

Warning: escapeshellcmd() has been disabled for security reasons in /home/web13/html/shop/load_this/load_this_bigware_10.php on line 93

1 Februar 2008
7:19 pm
Avatar
berndszweite
Berlin
Fortgeschrittenes Mitglied
Members

Members
Forumsbeiträge: 95
Mitglied seit:
28 November 2007
sp_UserOfflineSmall Offline

Liebe kleine Helferlein,

seit meiner ersten Stunde hier bei Euch, und das ist noch nicht solange her, bin ich immer auf offene Ohren für meine Probleme, Fragen, Fehler (meinerseits!) usw. gestossen.

Ich bin immer noch am "optimieren" meines Shops und ich glaube ich spreche noch für einige andere Bigware - Shopbetreiber, wenn ich hier mal ganz hochoffiziell DANKE sage, das sich so um "unsere" Sicherheit bemüht wird!

Es kann nicht sein, das ein "paar Ver(w)irrte" hier soviel Unfrieden, Unfug, Unsinn (mir fallen gerade nicht noch mehr Worte mit "Un-" ein ohne ausfallend zu werden) treiben.

Bitte sagt mir als Anfänger (also bitte auch Anfängertauglich) wie ich helfen kann solche Angriffe zu erkennen und zu protokollieren.

Solche Angriffe dürfen nicht ungestraft hingenommen werden, es grüßt euch, die Birgit

Ach ja, übrigens; mein Sicherheitsupdate ist supersauber gelaufen (bis auf die beiden Hinweise wie auch bei Heiko (koderle), aber damit kann ich leben).

1 Februar 2008
7:44 pm
Avatar
roboter80
Leipzig
Forenlegende
Members

Members
Forumsbeiträge: 558
Mitglied seit:
9 September 2007
sp_UserOfflineSmall Offline

Blackbolt hat Folgendes geschrieben:
Ich würde auch gerne wissen, wie ich auf die vorherige Version zurückgreifen kann. Das neue "Sicherheitsupdate" erinnert irgendwie an die Updates vom Internet Explorer....

inwiefern?

wer unbedingt zurück-patchen will kann das gerne tun, indem er die dateien aus dem update-paket mit den vorherigen überspielt. setzt natürlich voraus, dass die noch im besitz des/derjenigen sind.

ich rate aber davon ab!

meine meinung: abwarten bis ein statement von dirk kommt, die meisten probleme scheinen sich lediglich auf das "AND"-problem (siehe weiter oben im thread) reduzieren zu lassen!

gruß, robot



1 Februar 2008
7:44 pm
Avatar
Blackbolt
Mitglied
Members

Members
Forumsbeiträge: 11
Mitglied seit:
13 Januar 2008
sp_UserOfflineSmall Offline

Blackbolt hat Folgendes geschrieben:
Nach dem Update:

Folgender Fehler trifft auf, wenn ich Produkte, Impressum o.ä. aufrufen will:

Warning: escapeshellcmd() has been disabled for security reasons in /home/web13/html/shop/load_this/load_this_bigware_10.php on line 93

Ich habe mal die Zeile 93 kommentiert. Nun scheint es wieder zu funktionieren. Kann mir jemand sagen ob das richtig war oder nun irgendwas anderes nicht mehr funktioniert? 😀

1 Februar 2008
10:48 pm
Avatar
eclissesolare
Forenlegende
Members

Members

Members
Forumsbeiträge: 683
Mitglied seit:
24 September 2007
sp_UserOfflineSmall Offline

Bei mir hat alles Wunderbar geklappt und hab auch keine Fehlermeldung ... vielen Dank an alle. :thumbleft:

1 Februar 2008
11:32 pm
Avatar
Gast
Guests

Diese Erfahrungsberichte hier sind wirklich sehr hilfreich!

Danke!

Ich werde das Release noch heute Nacht angehen und es dann veröffentlichen. Es wir auf jeden Fall dieses Wochenende noch kommen.

Selbstvertändlich ist Sicherheit sehr wichtig und die liegt uns für Euch am Herzen.

Danke auch an Fred, der die Emails und Kundenanfragen usw. für diese Zeit übernommen hat.

Auch Robert und Heiko, unsere Moderatoren, möchte ich Danken für Ihre Aufmerksamkeit und Hilfe im Hintergrund.

Der Bericht ist schon in der Mache. Ich werde noch heute Nacht den Link hier posten.

Man sollte das Update nicht zurückführen, jedenfalls nicht im Kundenbereiche .Für den Adminbereich besteht keine große Gefahr solange der .htaccess Schutz besteht. Dies dann aber allenfalls nur bis zum Release.

2 Februar 2008
8:03 am
Avatar
Gast
Guests

Hier die versprochene Seite:

https://bigware.de/sicherheit.php

2 Februar 2008
8:19 am
Avatar
Gast
Guests

berndszweite hat Folgendes geschrieben:
Liebe kleine Helferlein,

seit meiner ersten Stunde hier bei Euch, und das ist noch nicht solange her, bin ich immer auf offene Ohren für meine Probleme, Fragen, Fehler (meinerseits!) usw. gestossen.

Ich bin immer noch am "optimieren" meines Shops und ich glaube ich spreche noch für einige andere Bigware - Shopbetreiber, wenn ich hier mal ganz hochoffiziell DANKE sage, das sich so um "unsere" Sicherheit bemüht wird!

Es kann nicht sein, das ein "paar Ver(w)irrte" hier soviel Unfrieden, Unfug, Unsinn (mir fallen gerade nicht noch mehr Worte mit "Un-" ein ohne ausfallend zu werden) treiben.

Bitte sagt mir als Anfänger (also bitte auch Anfängertauglich) wie ich helfen kann solche Angriffe zu erkennen und zu protokollieren.

Solche Angriffe dürfen nicht ungestraft hingenommen werden, es grüßt euch, die Birgit

Ach ja, übrigens; mein Sicherheitsupdate ist supersauber gelaufen (bis auf die beiden Hinweise wie auch bei Heiko (koderle), aber damit kann ich leben).

1. Die beiden Kleinigkeiten werde ich noch beheben (schnellstmöglich).
2. Klar kannst Du auch anderweitig helfen um uns zu unterstützen:













:prayer:

2 Februar 2008
8:38 am
Avatar
berndszweite
Berlin
Fortgeschrittenes Mitglied
Members

Members
Forumsbeiträge: 95
Mitglied seit:
28 November 2007
sp_UserOfflineSmall Offline

@ Dirk:

zu 2.
...das habe ich gerade gemacht! Im Rahmen meiner Möglichkeiten (...habe vorgestern meine Kündigung erhalten...) bin ich gerne bereit euch in eurer Arbeit zu unterstützen.

Wenn ich sonst noch helfen kann...

Ein hoffentlich etwas ruhigeres WE wünscht, die Birgit

2 Februar 2008
6:07 pm
Avatar
eclissesolare
Forenlegende
Members

Members

Members
Forumsbeiträge: 683
Mitglied seit:
24 September 2007
sp_UserOfflineSmall Offline

Habe jetzt doch ein Problem nach dem update.

Die großen Bilder werden nicht mehr in der Detailansicht angezeigt.
Die csv Dateien die vor dem Update reingeladen wurden funktionieren einwandfrei. Die, die ich jetzt reinlade haben dieses Problem.

Siehe Bild:

Image Enlarger

2 Februar 2008
7:05 pm
Avatar
Tom3244
Veitsbronn
Einsteiger
Members

Members
Forumsbeiträge: 1
Mitglied seit:
30 Juni 2007
sp_UserOfflineSmall Offline

Hallo zusammen,

dann will ich auch mal was zur schnellen Bugbeseitigung beitragen wink

Folgende Texte lassen sich nicht mehr bearbeiten -> AGB, Versand, Datenschutz sowie die Texte in der Seitenverwaltung.

Fehlermeldung: Not SQL injections!

Wenn mir noch was auffällt melde ich mich nochmal
🙂

Gruß
Thomas

3 Februar 2008
12:23 am
Avatar
carlos
Mitglied
Members

Members
Forumsbeiträge: 50
Mitglied seit:
15 Mai 2007
sp_UserOfflineSmall Offline

Achtung

habe das sicherheits update durchgeführ und trozdem wurden schädliche dateien eingefügt muss nch wo eine lücke sein

und zwar folgende
Warnung Achtung: Schädliche Datei gefunden (Bitte löschen): /kunden/homepages/2/d152101872/htdocs/shops/rw-shop/picture//conf.php
Achtung: Schädliche Datei gefunden (Bitte löschen): /kunden/homepages/2/d152101872/htdocs/shops/rw-shop/picture//list.php

No permission to create posts
Zeitzone des Forums: Europe/Berlin

Am meisten Mitglieder online: 353

Zurzeit Online:
31 Gast/Gäste

Momentan betrachten diese Seite:
1 Gast/Gäste

Top Autoren:

loewenfrau: 1961

Marianke: 1366

polycarbon: 706

eclissesolare: 683

roboter80: 558

Antje: 354

Mitgliederstatistiken

Gastbeiträge: 252

Mitglieder: 2536

Moderatoren: 5

Administratoren: 1

Forumsstatistiken

Gruppen: 4

Foren: 28

Themen: 8795

Beiträge: 53941

Neuste Mitglieder:

Zathdwx, SamEJ, webneuling, roberto16900, Wirelesslzg, Gtoranx, grandpa, loving-handmade, Karin Beer, jenahandel, tonychilm, SharonLayek, ronnyellger

Moderatoren: tigerstyle: 2051, tito-toti: 976, Ede: 2807, Gulliver72: 754, Richy: 949

Administratoren: FredK: 6518