Jump to content
powie.de Tech Forum

imara

Members
  • Content Count

    86
  • Joined

  • Last visited

    Never

Community Reputation

0 Neutral
  1. imara

    Änderungen im Shop von pSys

    Ich wärme den Thread noch mal auf, ist doch die Umstellung jetzt erfolgt. Abgesehen von den oben erwähnten Punkten, ist die Summe noch etwas verbesserungswürdig. Hier wird zunächst die Summe der Artikel angezeigt (korrekt), Lieferungskosten (korrekt), Kosten für Zahlungsweise fehlen, Mehrwertsteuer (hier fehlt die in den Lieferkosten und Zahlungsweise enthaltene Mehrwertsteuer). -------------------- Wie bereits am Anfang erwähnt, würde ich alle "Speichern" Buttons nach rechts verschieben und am Ende den Button "Bestellen" nach links setzen. Sind Zahlungsweise und/oder Versandart nicht ausgewählt, würde ich den Hinweis nach links schieben und größer machen.
  2. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    hab mich da mal schlau gemacht. Es gibt Webseiten wo man die Hash-Keys online entschlüsseln kann
  3. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    das weis ich auch, aber warum weis er dann das Passwort? Was weis ich, vielleicht war SQL Inj. ja nur die Spitze des Eisberges. Könnte ja sein, dass er sich per SQL Injection Zugang verschafft hat und dann ein trojanisches Skript hinterlegt hat. Ich würde ihn ja gerne fragen oder hier zu unserer Diskussion einladen, aber ich stehe leider nicht mehr in Kontakt mit ihm. Wenn ich das im Log richtig gesehen habe, sitzt er in Russland, jemand aus meinem Bekanntenkreis schließt daher aus.
  4. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    Er kann sehr wohl die Passwörter einsehen, er hat mir ja als Beweis das Passwort für den Benutzer mitgeteilt und mich gebeten dies zu ändern.
  5. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    Schön, dass es eine Lücke ist, die bereits geschlossen ist da ich pSys ja noch anderweitig einsetze Auf dieser Website nutze ich noch die alte Version weil ich dort sooo viele Änderungen gemacht habe (inkl. Übersetzung ins Englische), dass es ein immenser Zeitaufwand wäre diese zu aktualisieren. Wie bereits geschrieben, habe ich von der Website tatsächlich kein Einkommen und kann es mir leider im Moment nicht leisten, Wochen damit zu verbringen diese zu aktualisieren. Wäre es möglich nur diesen Teil zu beheben? Liegt es ausschließlich an der showprofil.php?
  6. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    ups, ich muss das korrigieren. Habe eben mit dem Web-master der anderen Website Kontakt aufgenommen und der hat nur aus Sicherheitsgründen seine Benutzer gebeten Ihre Passwörter zu ändern weil er mitbekommen hat, dass meine Site gehackt wurde. Bleibt also Alles offen ...
  7. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    Ich vermute eher, dass er sich die url-gestaltung angesehen hat und dann nach einer Session (bzw. Informationen daraus) in Google gesucht hat. Er hat ja auch eine themenrelevante gehackt obwohl die eine ganz andere Platform benutzen. In seiner letzten PM schrieb er: Verkaufen wollte er nix, und auch seine anfängliche Geldforderung halte ich für eine Ausrede. Ich denke er hat sich einen schlechten Scherz gemacht, oder aber, hat es gezielt auf Webseiten mit solchem Content abgesehen (Wildtierschutz in Afrika).
  8. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    Laut Google-Statistik wurde an diesem Tag nach verschiedenen Varianten hierfür gesucht: inurl:index.php?shownews inurl:/news/index.php?shownews= news/index.php?shownews= etc. etc.
  9. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    @ Christoph, habs dir an dein GMail account geschickt.
  10. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    ja, sag mir wonach ich darin suchen soll.
  11. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    Ich hab per MySQL Admin nachgesehen, welche zuletzt verwendete IP Adresse der Benutzer hatte und habe die per htaccess datei gesperrt. Damit war er erstmal weg vom Fenster bis er die Addresse geändert hatte. Als ich in MySQL Admin nach der IP-Addresse des Benutzers suchte, viel mir auf, dass auch der Benutzer "Admin" zuletzt die gleiche IP-Addresse hatte. Also war er auch als Admin eingeloggt. Ausserdem zeigte das Forum unter "Benutzer heute online" den Admin an obwohl ich den sonst nie nutze. Das Admin Kennwort ist natürlich etwas nicht nachvollziehbares. Ebenso, das Passwort welches der Benutzer hatte. Die Fragen: " Wer war er? E-mail / Kontaktdaten" und "Wieso hat er dies nicht erklärt?" machen mich ein wenig stutzig. Äh, das war ein ernst zu nehmender Hacker!! Der wird sich doch wohl nicht zu erkennen geben bzw. seine Vorgehensweise bekannt geben!! Er macht sich strafbar und das weis er. Letztendlich ist nix passiert, bzw. ich kann keinen Schaden erkennen, aber ich darf mich natürlich bei meinen Usern entschuldigen und die Sicherheit der Daten auf meiner Website ist in Frage gestellt inkl. der Passwörter. Ich darf Rechenschaft ablegen und Erklärungen abgeben und die Leute aus gegebenem Anlass darauf hinweisen, dass Ihre Daten auf meiner Website nicht sicher sind weil ich nicht weis wie der Hacker rein gekommen ist und ich daher die Sicherheitslücke auch nicht schließen kann. Keine sehr erfreuliche Situation. Die Datenbank habe ich nach ungewöhnlichen Einträgen durchstöbert (Zufallsprinzip) und zusätzlich per Suchfunktion nach Skripten und externen Links gesucht.
  12. imara

    Sicherheitslücke in pSys 0.3.0 alpha

    es wurde versehentlich in einen Bereich verschoben, wo ich / wir keinen Zugriff haben Tja, was genau passiert ist, kann ich euch nicht sagen. Ich weis nur, dass der Hacker es geschafft hat, sich mit einem bestehenden Useraccount (mit admin-rechten) einzuloggen. Ich habe anhand seiner IP Adresse gesehen, dass er sich auch mit dem User-Account "Admin" eingeloggt hatte, aber offensichtlich hat ihm das Andere besser gefallen (hatte ja auch admin-rechte). Er hat mir dann diverse PMs geschickt, ich möchte mich melden, anderen User PMs geschickt, ich solle mich melden, etc. Eigentlich nix Tragisches. Da er ein Useraccount nutzte, war mir erst gar nicht klar, dass es ein Hacker ist, sondern dachte der eigentliche User will mich dringend sprechen. Erst später hat er sich als Hacker zu erkennen gegeben und wollte dann 10$ von mir Wir haben dann diverse Spielchen gespielt, wie IP-Adresse sperren und Rechte entziehen, Passwörter ändern, aber das hatte ihn immer nur wenige Minuten abhalten können. Zum Schluss konnte ich ihn dann überreden, dass es sich um keine kommerzielle Seite handelt und ich nicht in der Position bin, Gelder zu zahlen oder sonstige Forderungen zu erfüllen. Sollte er nicht einsichtig sein, werde ich die Site einfach offline nehmen was zwar schade wäre aber kein finanzieller Verlust. Zum Glück sah er dies ein und erklärte mir abschließend, dass ich dringend eine sicherere Platform wählen sollte. Er hätte sich mit SQL Injection Zugriff zu allen Daten verschaffen können und mich sogar noch darum gebeten, alle Passwörter zu ändern. Ich habe mal in der Datenbank gestöbert, aber konnte dort keine Veränderungen finden. Zur Sicherheit habe ich jedoch eine Datensicherung eingespielt und alle Passwörter geändert. Interessant ist auch, dass der Hacker eine andere, themenrelevante Website gehackt hat. Dies hab ich zufällig erfahren. Da ich weder deren Admin kenne noch dort pSys im Einsatz ist, vermute ich, dass sich der Typ auf dieses Thema fokussiert hat, statt auf bestimmte Platformen. An technischen Details kann ich leider nicht mehr liefern, bin aber gerne bereit weitere Einzelheiten heraus zu finden sofern mir möglich (evtl. bräuchte ich Anleitungen was ich tun soll).
  13. Hallo Leute, ich habe noch eine alte Version (pSys 0.3.0 Alpha) im Einsatz, weil ich diese damals ins englische übersetzt hatte und sehr viele Änderungen gemacht hatte. Es ist quasi unmöglich, ein Update einzuspielen. Heute wurde die Website durch SQL-Injection gehackt !! Der Hacker war zwar so freundlich keinen Schaden anzurichten (zumindest kein ersichtlicher!!) und hat mir sogar mitgeteilt, dass er mit SQL-Injection Zugang bekommen hat, aber in der Zukunft vermeiden möchte ich das doch. Wenn sich also jemand mit SQL-Injection auskennt und eventuell erkennen kann, wo die Sicherheitslücke ist, wäre ich für Hinweise dankbar. Ausserdem wäre es schön, wenn mir jemand sagen kann, ob die Sicherheitslücke in der Zwischenzeit (bei der aktuellen Version von pSys) behoben ist.
  14. Der Standard-Browser von Mac OS X (Safari) hat bei der neuen Version ein Problem mit den Session-Daten. Beispiel: Wählt man im Sprachen-Editor eine Sprache als Filter aus, wird diese zwar angezeigt, wenn man dann aber auf Seite 2 geht, werden wieder die Tags aller Sprachen angezeigt. Das Problem scheint an anderen Stellen auch aufzutreten, aber da ich noch nicht ausführlich testen konnte, kann ich derzeit keine weiteren konkreten Beispiele geben. Vielleicht reicht ja aber schon ein einziges Beispiel
  15. Hallo Leute, nach Umstellung auf die neueste Version konnte der Shop die Bilder nicht mehr finden. Habe dann mal ein Bild hochgeladen um zu sehen, wo sie nun sind und festgestellt, dass es folgende Verzeichnisse gibt: cache/shopthumb cache/shopzoom media/shop ich hab die Dateien daher dorthin verschoben und nun findet er sie auch wieder. Allerdings zeigt er statt der Thumbnails immer die großen Bilder an. Was mach ich falsch? Eine Funktion wie "Thumbnails neu generieren" oder Ähnliches vermisse ich.
×