Falscher Bestellstatus wird bei Bankeinzug hinterlegt - Bug?

  • Hallo,


    habe seit einiger Zeit ein seltsames Phänomen: Wir bekamen heute wieder einmal per Email eine "Bestellung" von einer, die bereits seit Mitte Januar (6 Wochen) abgeschlossenen ist! Wir hatten diesen Vorfall schon einmal am 01. und 21. Februar, dass uns die Bestell-Email zugesendet wurde, ohne dass einer von uns das im Shop ausgelöst hätte. Heute nun kam noch eine zweite Kuriosität hinzu, dass der Bestellstatus von "Abgeschlossen" in "Bestätigt" gesetzt war.


    Wie kann es sein, dass jemand den Status einer Bestellung ändern und die Email versenden kann? Die Bestellbestätigung wurde definitiv von unserem Server versendet, auf dem der Shop läuft (IP Adresse abgeglichen).


    Ich habe festgestellt, dass jemand folgenden Link direkt aufgerufen hat. (XXXXXXXX entspricht der Bestellnummer)

    https://www.meine-seite.de/sub…eceived&on=XXXXXXXX&pm=12


    Kann sich jemand das erklären? Über jede Hilfestellung bin ich dankbar!


    Lediglich 2 Personen haben Zugang zum Shop, keiner der beiden war zu diesen Zeitpunkten eingeloggt oder hatte Änderungen vorgenommen.


    Vielen Dank für Eure Mühe.

    DBW

  • Hallo,


    das ist aus der Ferne sehr schlecht nachzuvollziehen. Was ich machen würde wäre, für diesen Tag und der genauen Zeit die Logdateien beim Provider einsehen. Dort kannst Du dann sehen, wer mit welcher IP und was genau zu diesem Zeitpunkt passiert ist.


    Ansonsten wäre für weitere helfende deine Joomlaversion und VirtueMartversion noch wichtig.

  • Hallo Faro,


    Danke für Deine schnelle Antwort. Sowohl den oben angegebenen Link als auch die teil-anonoymisiert IP Adresse konnte ich aus Matomo ersehen. Ich weiß auch einiges über denjenigen, der den Link aufgerufen hat. Aber ich verstehe nicht, dass es möglich sein kann, mit dem Aufruf einer http-Adresse den Versand einer abgeschlossenen Bestellung nochmals auszulösen. Und es stellt sich mir die Frage, ob jemand den Bestellstatus einer Bestellung mit Aufruf einer http-Adresse ändern kann. Beides dürfte meines Erachtens ohne Admin-Rechte auf keinen Fall möglich sein.


    Das Auslösen der Bestell-Email mit diesem Link habe ich getestet, es funktioniert. Es kommt die Meldung "Bezahlung erfolgreich" und wenig später trudelt die Email ein.


    Versionen:

    Joomla: 3.9.14

    Virtuemart: 3.6.2 10159

  • Hallo DBW,


    was sagt denn derjenige, welcher diesen Link (warum auch immer) aufgerufen hat?


    Nun ist die VM 3.6.2 ja auch schon etwas älter. Eventuell ist es ein Bug aus dieser Version. Was wäre, wenn Du auf die aktuelle 3.6.10 aktualisierst?

  • Hallo Faro,


    ich weiß ja nicht, wer derjenige ist. Ich kann nur über die teil-anonoymisiert IP Adresse den Ort herausfinden, von welchem aus er ins Netz gegangen ist und mit welchem Gerät/Betriebssystem. Aber ich weiß ja nicht, wer es ist. Was mich stutzig macht ist, DASS jemand mit einem Link das auslösen kann.


    Zum Update: ich hatte bereits aktuallisiert, der Shop lief danach aber nicht mehr. Deshalb habe ich einen Rollback gemacht, um bei Gelegenheit einen neuen Versuch zu unternehmen.

    Ich glaube aber nicht, dass es an einem Bug liegt. Das scheint generell die Möglichkeit zu bestehen, über einen Link das auszulösen. Probiers gerne mal an Deinem eigenen Shop aus:

    https://www.DEIN-SHOP.de/index.php?option=com_virtuemart&view=pluginresponse&task=pluginresponsereceived&on=XXXXXXXX&pm=12

    Ersetze DEIN-SHOP.de durch Deine Domain und die XXXXXX durch eine bei Dir existierende Betsellnummer und Du wirst es vmtl. nachstellen können.


    Gruß DBW

  • Hallo DBW


    ich konnte in meinem Shop deine Problemtik nicht nachstellen.


    Nachdem ich deine genannte URL, ersetzt duch meine Daten, in meinen Browser eingegeben habe, wurde lediglich der letzte Stand der jeweiligen Bestellung angezeigt, was ja so auch sein sollte. Weder der Status wurde geändert, noch wurde erneut eine E-Mail an mich versendet.


    Daher muss der Fehler bei Dir andere Gründe haben. Wenn Du schreibst, dass dein Shop nach der Aktualisierung nicht mehr funktioniert, hängt das eventuell ebenfalls mit deinem Problem zusammen.


    Was funktioniert bei dir denn nach dem Update auf 3.6.10 nicht mehr. Bzw welche Fehlermeldung wird dir angezeigt?


    Was meinst Du mit "Rollback" genau? Bzw, wie hast Du deinen Schop wieder zurückgestzt?

  • Servus,


    es kann durchaus sein, dass der Shop gehackt ist, weil vor der Joomla Version 3.6.5 eine schwerwiegende Sicherheitslücke in Joomla war. Fast alle Shops, die länger als ein paar Tage/Wochen nach Bekanntwerden der Lücke nicht aktualisiert wurden, waren betroffen.

    Ich hab selbst einige bereinigt.


    Ich kann nur empfehlen, den Shop überprüfen zu lassen. Ein erster Check über mysites.guru könnte helfen, die ersten Schritte zu gehen.


    Veränderungen im Bestellstatus können bei Paypal-Bestellungen auch durch "hängengebliebene" IPN-Benachrichtigungen entstehen. Das hatte ich in der Vergangenheit in einem Shop. Das konnte anhand der Server-Logs nachgewiesen werden. Das scheint aber äußerst selten vorzukommen.


    Grüße

    Stefan

  • Servus,


    es kann durchaus sein, dass der Shop gehackt ist, weil vor der Joomla Version 3.6.5 eine schwerwiegende Sicherheitslücke in Joomla war. Fast alle Shops, die länger als ein paar Tage/Wochen nach Bekanntwerden der Lücke nicht aktualisiert wurden, waren betroffen.

    Ich hab selbst einige bereinigt.

    Grüß Dich Stefan,

    meinst Du dieses groß angesagte Weihnachtsupdate aus 2016? Das müsste glaube ich damals tatsächlich die Joomla-Version 3.6.5 gewesen sein?

  • Hallo Stefan,


    vielen Dank für Deinen Tipp. Ich habe den Shop erst Ende 2018 komplett neu aufgesetzt, damals mit der akutellsten Joomla 3.8 Version und immer gleich neueste Updates eingespielt. Deshalb war ich auch völlig überrascht, dass ich nach dem letzten Update den Shop nicht mehr aufrufen konnte.


    Ich habe keinerlei Hinweise, dass irgendjemand sich darin bewegt, habe auch die Logbücher durchforstet und nichts auffälliges gefunden. Außer dass dieser Link aufgerufen wurde. Es scheint immer ein und dieselbe Bestellnummer zu sein. Ich habe jetzt die Bestellnummer abgeändert, sodass sie nicht mehr über den alten Link aufgerufen werden kann. Der betreffende Benutzer kann sie jetzt nur noch angemeldet einsehen und aufrufen. Mal sehen, ob's jetzt ruhig wird.


    Es war übrigens eine Bestellung, die nach einer abgebrochenen Paypal Zahlung auf den 2. Versuch hin mit Paypal geklappt hat.

  • Servus,


    ja, Faro, das meinte ich. Allerdings hatte ich früh morgens Tomaten auf den Augen, als ich das geschrieben hatte. Ich hatte Version 3.6.2 gelesen, das war aber VirtueMart, nicht Joomla. Von daher ist es unwahrscheinlicher.


    DBW: Das Abändern der Bestellnummer war eine gute Idee. ;-)

    Ich würde in den VM-Einstellungen auch das Ansehen von Bestellungen nur registrierten Benutzern erlauben, nicht einfach per Link aus der Bestellmail, nur mit Anmeldung. Zweiter Reiter VM Konfig. EDIT: Reiter Kasseneinstellungen.


    Nur noch einmal generell: wenn plötzlich einfach Dinge passieren, sollte man einmal im FTP die Verzeichnisse durchgehen und nach komischen neuen Dateien schauen, insbesondere im Haupt- und Templateverzeichnis.

    Ich habe vor Kurzem erst einen Shop bereinigt, bei dem der Angreifer über FTP-Zugriff bekommen hatte.


    Ich betone deshalb noch einmal.

    1. Sichere Passwörter verwenden ist ein Muss. susi1234 ist nicht sicher. Für Hoster, für FTP, für Joomla. Für alles. Und überall unterschiedlich.

    2. Absicherung des Ordners /administrator/ mit einem Verzeichnisschutz.

    3. Alle Erweiterungen und Joomla aktuell halten.

    4. Keine Billigst- oder Hinterhof-Hoster, bei denen eigene Installationen über fremde Installationen angesteckt werden können.

    Damit ist man dann schon ziemlich sicher.


    Zur Statusänderung:

    AH im englischen Forum hat in seinem Shop eine Möglichkeit eingebaut, bestimmte Status-Änderungen über Paypal IPNs zu verhindern. Von "versendet" zurück nach "Bestätigt" oder "Abgebrochen" ist das eine gute Idee. Ich hab das aber nicht genau im Kopf, was er da gemacht hat, da könnte ein Anfrage im englischen Forum helfen. Oder die Suche dort. Evtl. ist das sogar mit versteckter Konfig in VM gelandet.


    Sorry, dass ich ein wenig vom Thema abgewichen bin.


    Grüße

    Stefan

  • Herzlichen Dank Stefan, für Deine Ausführungen!


    Die Sicherheitskriterien habe ich alle erfüllt, außer den Verzeichnisschutz für /administrator/. Gibt das dann kein Problem, wenn ein Update eingespielt wird?


    Die Option "Ansehen von Bestellungen nur registrierten Benutzern erlauben" habe ich allerdings in der VM Config nirgends finden können, auch nicht auf der 2. Registerkarte. Kann es sein, dass Du da ein zusätzliches Plugin installiert hast? Bin momentan auf aktuellster Joomla und VM Version ...


    Vielen Dank

    Bernhard

  • Servus Bernhard,


    ein Verzeichnisschutz für /administrator/ benötigt einen Benutzernamen und ein Passwort, um auf das Verzeichnis zuzugreifen.

    Bevor man sich im Backend anmeldet, muss man sich also ein weiteres Mal anmelden, beim Webserver Apache, damit man Zugang zum Verzeichnis bekommt. Diese Anmeldung kann im Browser gespeichert werden, es ist also relativ unauffällig.

    Wenn man angemeldet ist, kann man alles machen, was man vorher auch machen konnte, dazu gehört auch das Einspielen von Updates.


    Die Einstellung befindet sich übrigens im Ordner "Kasseneinstellungen" ganz unten. Ich hatte das getippt ohne in die Konfig zu schauen, und war mir sicher, Einstellungen zur Bestelleinsicht wären im Reiter "Bestellungen" zu finden. Der Reiter hieß früher einmal "E-Mails", vielleicht ist das eine Altlast, die im VM Core einmal umgestellt werden sollte.


    Grüße

    Stefan

  • Danke Stefan,


    die Einstellung für "Bestellverfolgungs-Modus" war bei mir bereits auf "nur registrierierte Benutzer" gesetzt, den Verzeichnisschutz werde ich noch nachholen.


    Herzlichen Dank für die schnelle und prompte Hilfe! Ich will mal sehen, ob sich nochmal was tut ...


    Bernhard

  • StefanSTS

    Hat den Titel des Themas von „abgeschlossene Bestellung wird nach Wochen erneut als Email zugestellt und Bestellstatus wurde geändert“ zu „Falscher Bestellstatus wird bei Bankeinzug hinterlegt - Bug?“ geändert.
  • StefanSTS

    Hat das Thema freigeschaltet