Seite 4 von 4 ErsteErste ... 234
Ergebnis 31 bis 39 von 39

Thema: Hilfe, mein Shop wurde gehackt, Dringend Bitte.

  1. #31
    Padawan Stufe VI Avatar von jjuno
    Registriert seit
    26.09.2008
    Beiträge
    758
    Themen
    14
    DANKE
    4
    Erhaltene Danke: 45

    Standard

    Zitat Zitat von aVitamin Beitrag anzeigen
    naja kommt drauf an wenner nur des script testen wollte wars einfach nur nen test oder ihm wars rille weil er einfach nur was gesucht hat pws ect. somit brauch er ja nur 5sek. ob das dann danach zu is oder nich zumindes hat er pws ect. ka wer weiss wasser wollte ^^
    also norm brauch man ja keinen shop hacken hat so oder so keinen sinn ausser zum testen
    @aVitamin,

    mal weitergedacht, da die meisten Leute immer die gleichen Passwörter
    verwenden, könnte der Kamerad auch noch die zugehörige Postadresse
    und Email mitnehmen.

    Bei vielen Systemen ist ja damit zum feierlichen Home Shopping Tür und
    Tor geöffnet. Wenn ich an die abweichende Lieferadresse denke.

    Würde dann schon Sinn machen einen Shop zu hacken.

    Habe wegen der anderen Geschichte mit dem Admin Verzeichniss gestern
    Nachmittag mit einem Techniker von meinem Hoster gesprochen, der will
    mir auch so eine Lösung (siehe dein heutiger Beitrag) basteln.

    Sollte der nichts auf die Beine stellen komme ich gerne darauf zurück.

    gruß jjuno

  2. #32
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.093
    Themen
    85
    DANKE
    3
    Erhaltene Danke: 962

    Standard

    Zitat Zitat von aVitamin Beitrag anzeigen
    naja setze ma das c99 als text in den warenkorb bei bemerkungen rein und gucke was bei der bestellung passiert zumindest ohne ssl biste gleich in der datenbank bzw. der login wird angezeigt
    Zitat Zitat von jjuno Beitrag anzeigen
    @ aVitamin,
    zusammen gefasst, gibt es also noch eine Sicherheitslücke im Warenkorb / Bemerkungen, vorausgesetzt kein SSL
    Zitat Zitat von aVitamin Beitrag anzeigen
    Richtig!! also beides

    @aVitamin
    Bevor wir hier mit angeblichen Sicherheitslücken im Kommentarfeld die Pferde scheu machen:
    Ich habe den Inhalt der c99 als Text in Kommentarfeld gesetzt. Und?
    Was passiert da Deiner Meinung nach ganz genau? Ich kann die Aussage "ohne ssl biste gleich in der datenbank bzw. der login wird angezeigt" nicht nachvollziehen, vielleicht versteh ichs ja auch nur einfach nicht. Bei meinen Tests passierte gar nichts.
    Welchen Text trägst Du genau ins Kommentarfeld ein? Wie gehst Du danach weiter vor?
    Wenn Du wirklich eine andere Sicherheitslücke gefunden hast, belege das bitte, sonst ist das reine Panikmache.
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  3. #33
    Padawan Stufe I Avatar von aVitamin
    Registriert seit
    28.05.2009
    Ort
    Wernigerode
    Beiträge
    32
    Themen
    4
    DANKE
    0
    Erhaltene Danke: 0

    Standard

    Zitat Zitat von webchills Beitrag anzeigen
    @aVitamin
    Bevor wir hier mit angeblichen Sicherheitslücken im Kommentarfeld die Pferde scheu machen:
    Ich habe den Inhalt der c99 als Text in Kommentarfeld gesetzt. Und?
    Was passiert da Deiner Meinung nach ganz genau? Ich kann die Aussage "ohne ssl biste gleich in der datenbank bzw. der login wird angezeigt" nicht nachvollziehen, vielleicht versteh ichs ja auch nur einfach nicht. Bei meinen Tests passierte gar nichts.
    Welchen Text trägst Du genau ins Kommentarfeld ein? Wie gehst Du danach weiter vor?
    Wenn Du wirklich eine andere Sicherheitslücke gefunden hast, belege das bitte, sonst ist das reine Panikmache.

    was hat das mit panikmache zutun wenn ich sage wenn man kein ssl hat und in dem anmerkungs feld wie auch immer man das nennen will nen exploid setzt und es geht das c99 nich geht kann daranliegen das ich den anders habe es gibt von c99 üder 17 versionen wenn man die ori hat gehts nich da das kommentarfeld einfach den text löscht macht aber nen paar kniffe per safecrack gehts ganz einfach oder man nehme einfach auch wenn das nun ne anleitung is wie es geht aberdu willst es ja hören hackbar von firefox und schon nimmt auch das textfeld den code an und man hat sofort die datenbank das man vorher nen paar sachen am script ändern muss wie den pfad den er suchen soll versteht sich von selber mit einfach reinkopieren gehts nich des sollte klar sein!!!
    und was heißt panik mache ich finde es panik mache das ihr das ins forum schreibt!!! von wegen der patch muss drauf bla bluub statt ihr es einfach als update macht ohne vorher es gibt sicherheitslücken wenn ich auf 1337 gucke habe ich nun nur dadurch das ihr das geschrieben habt mehrere post von wegen wie man euch hacken kann und das auch ohne c99 man sollte auch bedenken das c99 nen uraltscript ist und es beiweitem schon bessere und schnellere gibt wie c99!!
    und nein ich werde es nicht bis ins detail erklären wie man das nun macht das da die lücke kommt!!
    ich habe gesagt wie man sich komplett vor scripten schützt ohne admin umzubennen ect. und damit is gut entweder man machts oder man nennt den admin ordner um was total blödsinn ist naja muss jeder wissen!!

  4. #34
    Padawan Stufe VI Avatar von jjuno
    Registriert seit
    26.09.2008
    Beiträge
    758
    Themen
    14
    DANKE
    4
    Erhaltene Danke: 45

    Standard

    Das Thema scheint vielleicht doch ein bischen sensibler zu sein. Ich habe
    mich mal am Wochenende im Welt Weiten Wahnsinn umgesehen. Wenn
    aVitamin immer das gleiche Synonym benutzte, denke ich der Mann weiß
    wovon er spricht.

    @aVitamin, was man so auf den ich nenne es mal Hackerseiten lesen kann,
    ist für den Normaluser schon etwas kryptisch. Wenn ich das richtig gelesen
    habe sind auch Shared-SSL Zertifikate sicher.

  5. #35
    Padawan Stufe I Avatar von aVitamin
    Registriert seit
    28.05.2009
    Ort
    Wernigerode
    Beiträge
    32
    Themen
    4
    DANKE
    0
    Erhaltene Danke: 0

    Standard

    Zitat Zitat von jjuno Beitrag anzeigen
    Das Thema scheint vielleicht doch ein bischen sensibler zu sein. Ich habe
    mich mal am Wochenende im Welt Weiten Wahnsinn umgesehen. Wenn
    aVitamin immer das gleiche Synonym benutzte, denke ich der Mann weiß
    wovon er spricht.

    @aVitamin, was man so auf den ich nenne es mal Hackerseiten lesen kann,
    ist für den Normaluser schon etwas kryptisch. Wenn ich das richtig gelesen
    habe sind auch Shared-SSL Zertifikate sicher.

    ja hab ja geschrieben das nur nicht ssl nutzer des prob haben!!
    mit ssl gehtz zur zeit noch nicht betonung liegt auf noch wobei es auch da wieder drauf ankommt welcher schlüssel benutzt wird.

    ehm zum ersten absatz ka wo de geguckt hast ob auf 1337, c0d oder te ka gibt ja schon nen paar seiten wo ich mich rumtreibe vielleicht einfach bei youtube gucken lööl

  6. #36
    Obi-RAI Kenobi Avatar von hugo13
    Registriert seit
    23.04.2004
    Beiträge
    1.267
    Themen
    9
    DANKE
    2
    Erhaltene Danke: 19

    Standard

    @aVitamin
    ich hab dein antivir exakt nach deiner anleitung installiert & wie du gesagt hast, den admin-ordner nicht umbenannt (weil eh sinnlos) & natürlich auch nicht die patches installiert && nun wurde ich gehackt weil deine sache so gar nicht gewirkt hat

    inzwischen ist mir auch klar, warum dein hack nicht funktionieren konnte:
    - der schädling schaut so aus: http://www.milw0rm.com/exploits/9004
    - der umgeht jede index.php & daher wird deine abfrage nach dem QUERY_STRING auch ncht wirksam
    - legt im image-ordner ne hübsche php-datei an, mithilfe derer er die shell einschleust
    - wenn der admin-ordner nicht umbenannt ist & der patch nicht installiert ist, hat mensch auch die chance, zu diesem netten schädling zu kommen (zb. own.php) ==> http://www.simplemachines.org/commun...topic=291486.0
    salute
    rai

    FAQ | SHOP

  7. #37
    Padawan Stufe VI Avatar von jjuno
    Registriert seit
    26.09.2008
    Beiträge
    758
    Themen
    14
    DANKE
    4
    Erhaltene Danke: 45

    Standard

    @aVitamin,

    YouTube hab ich unter anderem auch gesehen. Ja, das mit dem Shared-SSL
    war blöd formuliert, wollte ich noch anfügen, damit es für die Leute die es
    benutzen beantwortet ist.

    Was mich noch interssieren würde, wie ist es mit den Sitzungen die direkt in
    der Datenbank gespeichert werden?

    Gruß jjuno

  8. #38
    Padawan Stufe I Avatar von aVitamin
    Registriert seit
    28.05.2009
    Ort
    Wernigerode
    Beiträge
    32
    Themen
    4
    DANKE
    0
    Erhaltene Danke: 0

    Standard

    Zitat Zitat von hugo13 Beitrag anzeigen
    @aVitamin
    ich hab dein antivir exakt nach deiner anleitung installiert & wie du gesagt hast, den admin-ordner nicht umbenannt (weil eh sinnlos) & natürlich auch nicht die patches installiert && nun wurde ich gehackt weil deine sache so gar nicht gewirkt hat

    inzwischen ist mir auch klar, warum dein hack nicht funktionieren konnte:
    - der schädling schaut so aus: http://www.milw0rm.com/exploits/9004
    - der umgeht jede index.php & daher wird deine abfrage nach dem QUERY_STRING auch ncht wirksam
    - legt im image-ordner ne hübsche php-datei an, mithilfe derer er die shell einschleust
    - wenn der admin-ordner nicht umbenannt ist & der patch nicht installiert ist, hat mensch auch die chance, zu diesem netten schädling zu kommen (zb. own.php) ==> http://www.simplemachines.org/commun...topic=291486.0

    ich hab gesagt du sollst den admin ordner nicht um benennen nich das du den patch nicht installieren sollst!!

  9. #39
    Padawan Stufe I Avatar von aVitamin
    Registriert seit
    28.05.2009
    Ort
    Wernigerode
    Beiträge
    32
    Themen
    4
    DANKE
    0
    Erhaltene Danke: 0

    Standard

    Zitat Zitat von hugo13 Beitrag anzeigen
    @aVitamin
    ich hab dein antivir exakt nach deiner anleitung installiert & wie du gesagt hast, den admin-ordner nicht umbenannt (weil eh sinnlos) & natürlich auch nicht die patches installiert && nun wurde ich gehackt weil deine sache so gar nicht gewirkt hat

    inzwischen ist mir auch klar, warum dein hack nicht funktionieren konnte:
    - der schädling schaut so aus: http://www.milw0rm.com/exploits/9004
    - der umgeht jede index.php & daher wird deine abfrage nach dem QUERY_STRING auch ncht wirksam
    - legt im image-ordner ne hübsche php-datei an, mithilfe derer er die shell einschleust
    - wenn der admin-ordner nicht umbenannt ist & der patch nicht installiert ist, hat mensch auch die chance, zu diesem netten schädling zu kommen (zb. own.php) ==> http://www.simplemachines.org/commun...topic=291486.0

    nächste prob währe bei mir das er nicht auf meinen Image Ordner zugreifen kann via rechten aber ich guck mir des ding mal an wobei ich jetzt auch den image ordner freigegeben habe und er immer noch nich funzt.

    dann wird er bei mir schon durch die 2 Zeilen geblockt:

    @example $this->get('localhost/index.php?var=x')
    @example $this->get('http://localhost:88/tst.php')
    $this->method = 'post';
    * @example $this->get('http://localhost:88/tst.php')
    Geändert von aVitamin (07.07.2009 um 09:59 Uhr) Grund: hinzugefügt

Seite 4 von 4 ErsteErste ... 234

Ähnliche Themen

  1. Zen-Cart Sicherheitspatch 19.06.2009
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 22.06.2009, 08:01
  2. Hilfe! Mein Shop ist sehr langsam
    Von bios-service im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 1
    Letzter Beitrag: 21.09.2008, 00:35
  3. Google Base (froogle) upload funktioniert nicht mehr
    Von kermie im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 13
    Letzter Beitrag: 04.07.2008, 09:38
  4. Hilfe, mein ZC Shop ist anscheinden futsch
    Von vincent_v im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 15
    Letzter Beitrag: 18.10.2007, 01:09
  5. Hilfe!! Dringend!! Nur noch MainPage aber ohne Funktion!!
    Von Lissy73 im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 1
    Letzter Beitrag: 17.10.2006, 22:56

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5 deutsch
Revision 1188 vom 02.12.2016
[Download]