g2commerce

Bei meinen Update Service Kunden bin ich fleißig dabei, habe etwa 20%. Melde mich bei allen einzeln per E-Mail - definitiv (natürlich) bei allen heute noch.

https://www.heise.de/news/Baden-Wuertte ... 27295.html

Das genannte Datum, 27.12., deckt sich mit einem anderen mir bekannten Angriff. Das Sicherheitsupdate kam am 30.12. Also selbst, wo das Sicherheitsupdate direkt nach Erscheinen installiert wurde, war für mind. 3 Tage eine Angreifern bekannte Sicherheitslücke im Shop.

Seid also bitte besonders wachsam, prüft den Checkout wie von @Kai Schölzke empfohlen (https://www.agentur-schoelzke.de/wichti ... l-handeln/) und nehmt Hinweise von Kunden auf Merkwürdigkeiten oder Sicherheitswarnungen im Shop ernst. Einen Virenscanner haben ja hoffentlich eh alle am Laufen - also über den Hoster.

Und für wessen Shop Osteuropa eh irrelevant ist, kann Requests von dort aussperren, wenn das Apache-Modul MaxMind DB (mod_maxminddb) verfügbar ist - mit folgendem Code in der .htaccess-Datei:
Ich gehe aktuell außerdem davon aus, dass das Sicherheitsupdate selbst ebenfalls Nebenwirkungen hat.

Schon wieder sehr witzig, wie schlampig Gambio mit diesem Sicherheitsupdate umgeht: Kleine Veröffentlichung im Forum... Nicht mal eine Info im News-Bereich im Admin-Dashboard. Ist das grob fahrlässig, wie Gambio einen Schutz der Kunden seiner Kunden erschwert oder sogar verhindert? Wer nicht zufällig ins Forum schaut oder zum passenden Zeitpunkt das Admin-Dashboard aufruft, um den Post als neuen Post im Forum angezeigt zu bekommen, hat keine Chance zu reagieren? Dadurch dass die Ankündigung geschlossen ist und keiner antworten kann, ist die Nachricht jetzt auch schon wieder aus dem Dashboard verschwunden, weil es eine neue Rückfrage zum schlechten Hersteller-Modul gibt.

Gab es denn diesmal einen Newsletter an alle Shopbetreiber?

Dabei wäre es auch so einfach, den Shopbetreiber direkt im Admin zu informieren - genauso wie darüber informiert wird, wenn die configure.php beschreibbar ist. Großer unübersehbarer roter Balken. Man könnte ja von einem externen Server eine Liste von Dateien abrufen, die im Shop existieren sollten:

Vielleicht etwas für ein g2commerce toolkit @ddehning @Kai Stejuhn @Dominik Späte ? Oder eine Zusatzfunktion in der Werbe-Markt.de Modulverwaltung? Wir hatten ja auch schonmal über sowas wie ein Gambio Health Check Modul gesprochen...

Burkhard hat geschrieben: ↑03 Jan 2026, 10:50 Gab es denn diesmal einen Newsletter an alle Shopbetreiber?

Ja, am 31.12.25 kam eine E-Mail die den Link zum Patch enthielt.

Immerhin...

Hallo zusammen, da fängt das neue Jahr ja richtig gut an...
Es ist eine nicht endende Geschichte. Das bestärkt mich in meiner Entscheidung den Laden zu schließen. Heute habe ich das Sicherheitsupdate bekommen und mitten in meinem Ausverkauf ist wieder einiges verschwunden. Beim letzten Update waren schon viele Bilder weg und mußten neu eingesetzt werden. Der Warenbestand in den Varianten stimmt nicht mehr. Meine Beschwerdeliste ist so lang. Es muß eine neues System her, da gibt es keinen Zweifel mehr. Über kurz oder lang wird es nicht mehr soweiter gehen und ich habe dazu keine Lust mehr. Dazu kommen noch die immer neuen Vorschriften die zu erfüllen sind. Ich liebe meinen Shop und es hat mir große Freue bereitet. Aber zu viel ist zu viel. Die wirtschaftliche Lage ist spürbar schlecht geworden und für mich ist jetzt der richtige Zeitpunkt noch alles zu verkaufen und dann das Leben zu genießen.

Am 15. Januar schließe ich schließe den Shop und gehe nach 48 Jahren Selbständigkeit in den Ruhestand.

Liebe Grüße
Karin

Es gibt weiterhin jeden Tag neue Exploits. Was kann man noch tun?

Die Zwei-Faktor-Authentifizierung kann man im Modul-Center installieren und dann (erstaunlich einfach) im Kundenkonto einrichten.

Einer der schwerwiegendsten konzeptionellen Fehler in G*mb** zwecks Sicherheit ist: Wer Zugriff auf den Adminbereich hat, hat gleichzeitig volle Kontrolle über die Dateien.

Mit folgendem Code in der .htaccess-Datei kann man den Zugriff auf Dateien im /media/content-Verzeichnis verbieten. Nur der Zugriff auf die standardmäßig darin enthaltenen Dateien wird gestattet.

Unterhalb von fügen wir folgenden Code ein:
Der Code geht davon aus, dass der Shop im Wurzelverzeichnis der Domain liegt. Liegt er in zum Beispiel einem Unterverzeichnis /shop, muss man zweimal ^/media/content/ durch ^/shop/media/content/ ersetzen. Wer eigene Dateien verwendet, muss die RewriteCond ebenfalls entsprechend erweitern.

Der Code verhindert nur die Standard-Injektion neuer PHP-Dateien. Da man im Admin fröhlich eine vorhandene itrk_agb.php löschen und dann seine eigene hochladen kann, macht man's den Angreifern halt bisschen schwerer, aber noch lange nicht unmöglich.

Wer diese ganzen Dateien nicht nutzt, kann den Zugriff auf das Verzeichnis auch einfach komplett verbieten.

Mit Zugriffsrechten 0555 für das /media/content/ Verzeichnis, sollten die vorhandenen Dateien ebenfalls weiter funktionieren, aber keine neuen mehr hochgeladen werden können.

Und wenn Ihr schon dabei seid, prüft den Inhalt des Verzeichnisses. Das Änderungsdatum von Dateien lässt sich kinderleicht verändern und ist keinerlei sicheres Indiz dafür, wann eine Datei hochgeladen wurde. Diese Dateien sind standardmäßig im media/content-Verzeichnis:
config.php
gm_callback_service.php
index.html
itrk_agb.php
itrk_datenschutz.php
itrk_impressum.php
itrk_widerruf.php
janolaw_agb.php
janolaw_datenschutz.php
janolaw_impressum.php
janolaw_widerruf.php
janolaw_widerrufsformular.php
protected_shops_agb.php
protected_shops_batteriegesetz.php
protected_shops_datenschutz.php
protected_shops_handlungsanleitung.php
protected_shops_impressum.php
protected_shops_rueckgabe.php
protected_shops_versandinfo.php
protected_shops_widerruf.php
sitemap.php
trustedshops.php
Alles andere habt Ihr entweder selbst reingeladen (reinladen lassen) oder ist potenziell gefährlich.

Bitte nach jeder Änderung in der .htaccess und/oder Zugriffsrechte insbesondere die Einbindung der Rechtstexte und Funktionsweise des Callback-Formulars testen, falls überhaupt genutzt.

Gerne Rückmeldung, ob soweit alles funktioniert, ob Ihr weitere Ideen oder Fragen habt. Gerne auch Feedback von Kollegen, die in diesen Tage ebenfalls viel mit der Bereinigung betroffener Shops zu tun haben. Die Sache ist kein Spaß…

Bedeutet das, dass die Shops trotz Sicherheitsupdates gehackt wurden?

Michaela hat geschrieben: ↑13 Jan 2026, 13:03 Bedeutet das, dass die Shops trotz Sicherheitsupdates gehackt wurden?

Kann ich nicht sagen. Vermutlich waren sie aber schon vor Einspielen des Sicherheitsupdates kompromittiert. Der Kollege hat inzwischen mindestens einen Fall vom 19.12.25, also ein gutes Stück früher als bisher öffentlich bekannt.

Der typische Ablauf ist…

1. Über die Passwort-vergessen-Funktion Zugang zum Admin verschaffen
2. Skripte via Content-Manager hochladen
3. Mittels der Skripte checkout_payment.php, verändern, um auf eigene Bezahlseite umzuleiten

Wenn ich mir am 20.12. Admin-Zugang verschafft habe, Du das Passwort nicht geändert und keine 2FA aktiv hast, kannst Du Sicherheitsupdates einspielen was Du möchtest. Ich habe immer noch Zugang und kann jederzeit bei Schritt 2 weitermachen

Oder ich habe Schritt 2 schon unbemerkt durchgeführt. Dann brauche ich keinen expliziten Admin-Zugang mehr, weil ich über meine Skripte eh vollen Zugriff auf alles habe. Dann warte ich bis Samstagabend mit Schritt 3, um möglichst lang unbemerkt meine eigene Bezahlseite aktiv zu haben.