Im August viele Hacks von veralteten Shops

Aktuell gibt es eine regelrechte Welle von Gambioshops, die gehackt werden.

Das Vorgehen scheint immer ähnlich zu sein. Anfangs werden nur einige Dateien und Skripte eingespielt, die wohl vor allem den Zweck haben, Daten abzufassen. In manchen Fällen offensichtlich leider auch Kundendaten. Später werden dann Dateien eingespielt, den den Shop beschädigen und unbrauchbar machen. In dem Moment merken es die meisten erst.

Wer direkt checken will, ob sein Shop betroffen ist, sollte sich via Filezilla in den Shop einloggen und die Dateien nach Änderungsdatum sortieren. Sind die neusten Dateien dann sowas (oder ähnlich), dann hat der Shop auf jeden Fall ein Problem:

In diesem Fall wurden sogar nachweislich die Kundendaten aus dem Onlineshop geholt:

$q=$db->query(„SELECT customers_email_address, customers_password FROM customers“);

Auffällig ist: Das betrifft ausschließlich ältere Shops. Wir haben jetzt vor allem Shops der Versionen 4.4 und 4.5 gehabt. Und vor allem Shops, die nicht das im Februar veröffentlichte und gut kommunizierte wichtige Sicherheitsupdate von Gambio drin hatten.

Was mit einem gehackten Shop machen?

Zuerst mal offline schalten. Sollte man nicht mehr in den Adminbereich kommen, indem man via FTP den Ordner umbenennt.

Dann gibt es mehrere Möglichkeiten:

1. Gambio Ticket aufmachen und darum bitten, den Shop bereinigen zu lassen, sofern möglich. Ist in der Regel nicht im Supportvertrag enthalten und kostet extra
2. Eine Gambio Agentur wie Orange Raven, Packmaster, Lenk GmbH, Kai Schölzke etc. anfragen und von diesen den Shop bereinigen lassen oder direkt neu installieren, mit Übernahme der Anpassungen und der Datenbank. In der Regel teurer, aber Gambio sagt bei alten Shops manchmal auch zurecht „machen wir nicht“. Dann bleibt nur Option 2, wobei die Neuinstallation meist die bessere Lösung ist.
   Kostenpunkt hier aber schnell 800 – 1500 € netto. Manchmal mehr, wenn viel in der Neuinstallation übernommen werden muss
3. Einspielen eines Backups von vor dem Hack, sofern vorhanden. Unsere Kunden haben 14 Tage Rückwirkend Backups, damit konnten wir einigen Shops helfen.
   Problem an der Lösung ist natürlich, dass die Dateien seit dem Backup dann weg sind. Dabei handelt es sich oft um Produktbilder oder Downloaddateien. Die muss man dann erneut händisch einsetzen. Das ist aber oftmals deutlich günstiger.

In manchem Fällen muss man bei 3. auch die Datenbank komplett zurücksetzen. Dann sind die Daten (Bestellungen, Kundenaccounts usw.) natürlich auch weg. Dazu muss man vorher die Datenbank prüfen.

Egal was man macht, man muss natürlich dann den Shop updaten und mit allen Sicherheitsupdates versorgen. Hinzu kommt, dass man Datenbankpasswort, Adminpasswörter, Passwörter der Mailpostfächer und FTP Passwort ändern sollte.

Und sollten Kundendaten abgegriffen sein, muss man in jedem Fall die Kunden informieren.

Dazu hilft das kleine Tool zum Kundendatenexportieren von Kai Schölzke: https://www.agentur-schoelzke.de/gambio-kundendaten-exportieren-so-gehts-in-wenigen-schritten/

Man sieht mal wieder wieviel Arbeit es macht, wenn der Shop mal gehackt wurde. Daher raten wir immer dazu, Sicherheitsupdates sofort zu installieren und den Shop so aktuell wie möglich zu halten.