Wieder mal ein Erpressungsversuch

[jaorn]

moin community, kennt wer diesen style?

ist das jemanden schon mal passiert? gleich zur polizei? oder abwarten?

wurde verschickt - angeblich - von steffan@steffanincs.org

Sehr geehr...,

mein Name ist Steffan und ich sende Ihnen diese E-Mail, umSie darüber zu informieren, dass ich beauftragt wurde, michin das System Ihrer Website zu hacken. Letzte Woche,einschließlich dieses Wochenendes, konnte ich eine sehrkritische Sicherheitslücke auf einer Ihrer Websitesentdecken. Unter Ausnutzung dieser Schwachstelle war ich inder Lage, Zugang zu Ihrer Datenbank mit den Namen"xxx_xxx" und "information_schema" zu erhaltenund diese zu lesen.

Diese Datenbank enthält wichtigeDaten, auf die normalerweise nur autorisierte Personenzugreifen dürfen und die sicher gehandhabt werden sollten.Normalerweise kontaktiere ich keine Zielpersonen, um sie zuhacken, aber die Person, die mich beauftragt hat, Ihr Systemzu hacken, hat den Preis gesenkt, nachdem ich Ihre Datenextrahiert hatte. In Anbetracht der Umstände habe ichbeschlossen, Ihnen eine E-Mail zu schicken und Ihnen dieMöglichkeit zu geben, Ihre Daten zurückzukaufen. Ich weiß,dass Sie jetzt vielleicht schockiert sind, aber das müssenSie nicht sein.

Ich möchte Ihnen die Möglichkeitbieten, Ihre Daten zurückzukaufen: Ich verstehe, dass diesIhre Daten sind und ich der Kriminelle bin, der daraufzugegriffen hat. Aber bevor Sie mir das sagen und IhrenEmotionen freien Lauf lassen, stellen Sie sich den massivenSchaden vor, der Ihrem Unternehmen entstehen würde, wenn einanderes Unternehmen Zugang zu Ihren Kundendaten bekäme, odernoch schlimmer: Wenn Ihre Kunden von diesem Vorfall erfahrenwürden, würden sie Ihr Unternehmen nicht mehr fürvertrauenswürdig halten und es nicht mehr nutzen. Dies hätteerhebliche Auswirkungen auf Ihren Umsatz und Ihre Einnahmen.Es gibt auch viele andere Möglichkeiten, die Daten gegen Siezu verwenden.

Da sich das andere Unternehmenjedoch weigert, mir den Preis zu zahlen, habe ichbeschlossen, Ihnen die Möglichkeit zu geben, Ihr Geschäftohne Unterbrechung weiterzuführen.

Ich biete Ihnen an, Ihnen diegenaue Stelle zu zeigen, an der die Schwachstelle gefundenwurde, und Ihnen Anweisungen zu geben, wie Sie sie behebenkönnen. Andererseits werde ich alle extrahierten Daten vonIhrer Website, die derzeit auf meinen digitalen Serverngespeichert sind, dauerhaft löschen, ohne sie an das andereUnternehmen zu senden.

Ich habe nicht viel Zeit zuwarten, denn ich muss dem anderen Unternehmen eine Antwortgeben, egal ob ich sein Angebot ablehne oder nicht. Wenn ichalso nicht innerhalb von 24 Stunden eine Antwort von Ihnenerhalte, bin ich gezwungen, ihnen Ihre Datenbank um jedenPreis zu überlassen.

Als Beweis stelle ich Ihnen einenAuszug der Daten zur Verfügung, die ich extrahieren konnte,und ich füge dieser E-Mail ein Muster Ihrer Kundendaten bei,damit Sie sie selbst überprüfen und bestätigen können.

Betroffene Datenbanken:

• information_schema
• xxx_xxx

Tabelle mit Kundendaten:
customers (n Einträge zum Zeitpunkt des Exploits).
address_book (n Einträge zumZeitpunkt des Exploits).
(weitere Informationen finden Sie in der beigefügtendatabase_schema-Datei).

Die Daten sind im Moment völligsicher und können mit einem Mausklick dauerhaft gelöschtwerden. Ich werde die Daten für die nächsten 24 Stunden aufmeinen sicheren Servern aufbewahren, bis eine Entscheidunggetroffen ist.

Ich warte auf Ihre Antwort, damitwir diskutieren und zu einer Einigung kommen können. WennSie sich entscheiden, mein Angebot anzunehmen, werde ichIhnen die Zahlungsanweisungen zukommen lassen, alle Datensofort löschen und Ihnen den Schwachstellenbericht zusenden.

Mit freundlichen Grüßen,
Steffan

Linkback: https://www.modified-shop.org/forum/index.php?topic=43252.0

[Q]

Passt der Datenbankname die anderen Information zur Shopdatenbank?

[jaorn]

ja, das schon. ich meine, ich hab schon die eine und andere erfahrung mit dergleichen gemacht. vom ddos-terror über diverse shell-angriffe. (da war aber modified nicht involviert). alle bekannten sercurity-updates sind eingebaut und auch einige zusätzliche sicherungen. aber es gibt ja keine 100% sicherheit, wie man weiß.

[noRiddle (revilonetz)]

Doch, gibt es.
"es gibt ja keine 100% sicherheit" ist eine oft zitierte Aussage die man nicht undifferenziert stehen lassen kann.

In deinem Fall müssten ein paar Dinge geklärt werden.

• Hat der Erpresser dir irgend welche Daten mitgeteilt die wirklich beweisen, daß er Zugriff auf deine DB hatte ?
• Was hast du für ein Hosting ?
  Shared Hosting, Virtual Private Server, eigen physischen Server...
• Um welche Shop-Version handelt es sich ?
• Was sagt dein Hoster zu dem Thema ?
  Gibt's was in den Logs ?

Unabhängig von all dem solltest du, wenn du überzeugt bist dein Shop wurde gehackt, die Shop-Datenbank  in eine andere anders genannte mit anderem Passwort kopieren und den Shop damit verbinden.

Gruß,
noRiddle

[jaorn]

"es gibt ja keine 100% sicherheit"  ... wieviele riesenkonzerne wurden in der vergangheit schon opfer von datenleaks und hackerangriffen. das kann man sehr wohl so sgaen.

passwörter sind natürlich alle ausgtauscht. mir war nur die frage wichtig, ob solche mails eventuell hier bekannt sind.

vielen dank erstmal.

[noRiddle (revilonetz)]

Es besteht hier seitens der Community und sehr wahrscheinlich seitens modified ein Interesse an der Beantwortung der von mir gestellten Fragen.
Für den Fall, daß es eine Sicherheitslücke im Shop-System geben sollte...

Gruß,
noRiddle

[harrygrey]

...und auch den heimischen PC generell nicht vergessen bei den Recherchen.

[noRiddle (revilonetz)]

...was auch sehr wahscheinlich der Fall sein dürfte.
Um also andere nicht zu verunsichern, jaorn, solltest du das aufklären.

Gruß,
noRiddle

[p3e]

Hat Dir der Erpresser denn Beispieldatensätze geschickt? Die Datenbankstruktur ist ja allgemein bekannt.

[harrygrey]

Es besteht hier seitens der Community und sehr wahrscheinlich seitens modified ein Interesse an der Beantwortung der von mir gestellten Fragen.
Für den Fall, daß es eine Sicherheitslücke im Shop-System geben sollte...
[...]

Das sollte ernsthaft und schnellstens durchgeführt werden, bevor es einen Schatten auf Modified wirft.

[Timm]

@modifiedTeam
Könnt ihr da nochmal nachhaken? Ihr habt ja die Emailadresse des TE.

Gruß Timm

[Tomcraft]

Ich habe mal per E-Mail nachgehakt.

Grüße

Torsten

[jaorn]

moin und sorry für die verspätete rückmeldung. der angriff wurde mit der Acunetix-software durchgeführt. gecrackte versionen von Acunetix sind leicht zu finden. die genauen zusammenhänge sind mir nicht klar, da Acunetix sich ja offiziell als "gute" software gibt. markant sind zig einträge in  customers mit sqlinjection wie:

Code: Javascript  [Auswählen]

24-01-25-14-27-33---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => if(now()=sysdate(),sleep(15),0)
    [country] => 27
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-36---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
    [country] => 33
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-37---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
    [country] => 21
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-38---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
    [country] => 21
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => f
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-39---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
    [country] => 27
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-43---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
    [country] => 33
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-44---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
    [country] => 21
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-45---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
    [country] => 21
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => f
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-46---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => testing@example.com0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
    [country] => 27
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)

24-01-25-14-27-49---Array
(
    [action] => process
    [additional] => 1
    [city] => San Francisco
    [company] => Testing
    [confirm_email_address] => (select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/
    [country] => 33
    [email_address] => testing@example.com
    [email_address_lgn] => testing@example.com
    [firstname] => zbdrariI
    [gender] => m
    [lastname] => zbdrariI
    [lgnmodus] => login
    [password] => u]H[ww6KrA9F.x-F
    [password_lgn] => u]H[ww6KrA9F.x-F
    [postcode] => 94102
    [street_address] => 3137 Laguna Street
)
 

aber es sind teilweise auch andere tables betroffen. u.. auch tables on 3th-party modulen, was dier sache nicht einfacher macht.


jetzt tder wichtige teil: die betroffenen shopsysteme sind extrem stark modifizierte modified-systeme, welche in dem sinne nicht updatebar sind. ich pflege security-relevante updates nach, kann da natürlich auch sachen übersehen.

das heisst also in keinem Fall, das die aktuelle modified-versionen von dieser lücke betroffen sind.

ich habe sämtliche sicherheitsupdates drin, das sind ca. 50 stück un so kann der angriff auf die customers nicht zum ziel geführt haben, aber irgendeine schwachstelle gibt es noch, ich checke das gerade.

ihr könnt auch mal googeln nach 555-666-0606, da findetman einige einträge, das alle möglichen shops gescannt werden, aber da erfährt man nichts sinnvolles.

Also nochmal: Es gibt keinen Hinweis, das eine aktuelle Version von modified betroffen sein könnte!

https://eedle.com/2014/01/17/hackers-with-a-sense-of-humour-or-at-least-a-love-of-chinese-food/

https://forum.shopware.com/t/spam-uber-kontaktformular/69961/5

die gutartigkeit der penetrationstest darf bezweifelt werden, ich hatte letztes jahr einen shop mit über 500 laguna-bestellungen, mittlerweile blocke ich die versuche ab undd logge die mit.

edit: bei den betroffenen system, handelt es sich um ein ca. 10 jahre altes modified, welches seit sommer 2023 unter PHP8.2 und smarty 3.9 läuft. server ist so ein kubernetes-konstrukt, also ftp-schwachstellen sind ausgeschlossen, da es kein sFTP o.ä. gibt. das deployment läuft via gitlab und argocd.

[Timm]

Moin

Danke.

Aber das beantwortet nicht, ob derjenige nun Zugriff auf die Datenbank hatte.?Die Tabelle customers mit Fakekonten vollzumüllen ist ja mittlerweile Standard.

Gruß Timm

[p3e]

Ja, aber die Dinge die in dem Beispiel im "confirm_email_address" Feld eingetragen wurden ist kein zumüllen sondern der Versuch einer SQL-injection.
Ich bin da kein Experte auf dem Gebiet aber ich vermute, dass sleep nur genutzt wird um festzustellen, ob in diesem Feld eine SQL injection überhaupt möglich ist (vielleicht durch die Feststellung einer Zeitverzögerung oder gar Provokation einer Fehlermeldung timeout). Ist das der Fall, kann der Angreifer sich das System genauer ansehen um z.B. einen Testaccount in einem Adminaccount umzuwandeln und dann die Rechte auszuweiten u.s.w.

Der Shop prüft alle Inputs auf Injektionsversuche.
Der Hacker sucht ständig Stellen, die bei der Programmierung nicht abgesichert wurden. Das oben genannte Programm Acunetix prüft eine Webseite automatisiert auf solche Lücken.