webshop hacked

[Frevab]

Vrijdag is onze webshop offline gezet door de ISP omdat deze gebruikt wordt voor het verspreiden van spam emails.

Ze hebben diverse bestanden gevonden die geinfecteerd zijn.

 

Heeft iemand ervaring hiermee? Het is nu de derde keer sinds ik de webshop in januari online gezet heb. De eerste keer nadat ik Google Verify geinstaleerd had. Afgelopen dinsdag 5 maart kreeg ik al een melding dat de site gehacked was en nu sinds vrijdag 8 maart is de webshop niet meer te bekijken door anderen. De IS heeft mijn IP adres toegevoegd zodat ik de site wel kan zien, maar dit kost omzet.

Op het forum is er weinig over dit onderwerp buiten wat franstalige postings. Op de bug site wel iets meer en daar zijn er wat opmerkingen over "tell a friend" module (gebruik ik op de site) en over het contact formulier die klanten gebruiken om berichten te versturen naar de klantenservice.

Zelf vraag ik mij af hoe veilig het is dat mensen via het contactformulier bestand naar de server kunnen uploaden.

 

Iemand ervaring hiermee of andere opmerkingen/aanbevelingen?

infectedfiles.txt

[maconl]

hoi ,

het is vaker voorgekomen dat ze de tell a friend optie misbruiken om spam te verspreiden,

ook de optie dat de klant zogezegd bestanden naar de server kunnen uploaden wordt vaak misbruikt

 

het contact formulier op zich geeft zover ik op de hoogte ben geen problemen ,

het beste is om de tell a friend module uit te zetten , en ook de mogelijkheden dat klanten

een bestand kunnen uploaden uitschakelen

 

dit zal zeker helpen ,,

[musicmaster]

Ik heb het ook gehad dat bestanden gewijzigd waren. Bij mij waren veel index.php bestanden voorzien van een iframe dat naar een poolse site linkte. De oplossing was site offline, password wijzigen en alles vervangen (je hebt geen garantie dat je provider alle besmette bestanden ontdekt heeft).

 

Ik weet niet waar de hack bij jou precies uit bestond.

 

Ik vraag me daarom af of de oplossingen van maconl zullen helpen. Het lijkt erop dat hackers op één of andere manier bestanden van de shop kunnen wijzigen en het is onduidelijk hoe dat gebeurt. Je zou eigenlijk een soort bewakingsmodule moeten hebben die om de zoveel tijd kijkt of er bestanden gewijzigd zijn en die je ook kunt leren als bestanden op een legale manier gewijzigd zijn.

[maconl]

als je vermijd dat klanten bestanden kunnen uploaden naar je server scheelt al veel

heel vaak wordt juist deze optie gebruikt om de server door te spitten ,,,

ze uploaden dan een progje en met deze kunnen ze de gehele site doorpluizen en beheren

 

een ander idee om eea te voorkomen is,,

ik heb het zelf met prestashop nog niet geprobeerd moet dit nog eens doen ,,,

maar in een oude oscommerce heb ik in het admin gedeelte ( de map admindus ) een htaccess geplaatst met mijn eigen ip adres

de map admin is dus alleen te zien en toegankelijk met dat ip adres ,,

 

dit was naar aanleiding dat van een bekende zijn oscommerce shopje gehackt was ,

toen alle wachtwoorden gewijzigd ,,de hele hosting leeg gemaakt en daarna de backups terug gezet ,,

de optie uploaden van files door klanten uit het script gesloopt ,,

toen de htaccess in de admin gezet en sindsdien < 2008 > is er nooit meer sprake geweest van een hacker

[Frevab]

Dank Maconi voor je suggesties.

Was al aan het zoeken geweest waar ik het uploaden door klanten van bestanden naar de webshop kan uitzetten maar kon het toen niet vinden en heb het even laten zitten. N.a.v. jouw bericht toch maar eens gaan kijken en via het zoekveld in de backoffice gezocht op het zoekwoord "upload" en na enig lezen kwam ik bij beheersysteem?employees>contact waar dit kon uitzetten (zou eigenlijk default op uit moet staan naar mijn mening omdat er waar weinig webshops gebruik van maken lijkt mij?).

 

De suggestie over de htaccess lijkt mij ook wel wat. Is dat gewoon een txt bestand met alleen mijn ip adres erin opgeslagen als bestandsnaam htaccess?

 

 

 

 

 

Weet iemand of er in versie 1.5 veel gedaan is aan het verbeteren van deze veiligheid? "sendtoafriend"-module, contactformulier, uploaden van bestanden zijn toch wel duidelijk de kwetsbare ingangen tot de server voor spam of virus misbruik.

[Frevab]

Ik heb het ook gehad dat bestanden gewijzigd waren. Bij mij waren veel index.php bestanden voorzien van een iframe dat naar een poolse site linkte. De oplossing was site offline, password wijzigen en alles vervangen (je hebt geen garantie dat je provider alle besmette bestanden ontdekt heeft).

 

Ik weet niet waar de hack bij jou precies uit bestond.

 

Ik vraag me daarom af of de oplossingen van maconl zullen helpen. Het lijkt erop dat hackers op één of andere manier bestanden van de shop kunnen wijzigen en het is onduidelijk hoe dat gebeurt. Je zou eigenlijk een soort bewakingsmodule moeten hebben die om de zoveel tijd kijkt of er bestanden gewijzigd zijn en die je ook kunt leren als bestanden op een legale manier gewijzigd zijn.

 

De ISP scant wel op virussen en termen die in de bestanden voorkomen maar net zoals iedere virusscanner is de knowhow minimaal een dag oud en eris altijd wel weer iets nieuws wat ze verzinnen.

Gewijzigde bestanden kunnen ook legaal gewijzigde bestanden zijn die we zelf op de server uploaden. Vaak is de datum/tijd stempe van het bestand een duidelijke indicatie wanneer iets gewijzigd is waar de IS kan niet bepalen wie dat gewijzigd heeft.

[maconl]

hoi je hebt een paar modules < welke standaard ook uitstaan > in prestashop

dat klanten bijvoorbeeld foto's en diverse bij een artikel kunnen plaatsen ,,

vind het zo een zo een vreemd iets , enfin dit zijn dus de dingen die misbruikt kunnen worden

als klanten iets willen uploaden doen ze het maar via een gewone email

 

het is inderdaad een gewone tekstbestand welke je met kladblok of beter notepad++ kunt maken ,,

maar nee je moet wel wat meer dan alleen je ip adres in de htaccess zetten

hieronder een voorbeeldje hoe je het erin moet zetten

zet deze helemaal bovenin de htaccess

 

 

order deny,allow

allow from 12.345.67.890

deny from all

 

vervang 12.345.67.890 voor je eigen ip adres

als je dit niet weet kijk dan even op :

http://www.watismijnip.nl/

 

maar zoals ik al zei ik heb dit nog niet geprobeerd in prestashop

maar is maar een klein iets welke je ook weer direct kunt verwijderen mocht het niet werken,,,

 

succes coen