xt:Commerce: Zahlungsarten ständig "von alleine" deaktiviert

[eyepe]

Hallo,

ein mysteriöses Phänomen tritt bei einem meiner Projekt zur Zeit auf. Leider handelt es sich dabei noch um einen "normalen" xt:Commerce Shop. Ich dränge allerdings darauf, das System so schnell es geht auf modified eCommerce Shopsoftware zu aktualisieren. Ich würde mich freuen, wenn Ihr vielleicht trotzdem eine Antwort für mich hättet.

Das Problem ist jedenfalls, dass die Zahlungsarten ständig deaktiviert werden. Jedoch nicht deinstalliert. Der Status steht dann also auf "False".
Woran liegt das? Hack, Bug oder Virus?

Ich würde mich sehr freuen, wenn mir jemand helfen könnte.

Martin



Linkback: https://www.modified-shop.org/forum/index.php?topic=12408.0

[Tomcraft]

Hallo Martin,

dafür wüsste ich keinen Grund... ich weiss aber auch nicht, was du da am xt:Commerce Shop alles angepasst hast, daher wird die Fehlersuche sehr schwer.

Ist aber ein Grund mehr für ein schnelles Update auf modified eCommerce Shopsoftware, meinst du nicht?

P.S.: Fehler in xt:Commerce kommen hier bitte nicht ins Unterforum "Bugs oder Funktionsfehler", daher verschoben nach "Off Topic" und Thema umbenannt.

Grüße

Torsten

[eyepe]

Hallo,

lag an einer Datei mit dem Namen "36.php" im images/categories Verzeichnis.

@Torsten: Ich kann dir die Datei gerne zur Verfügung stellen. Möglicherweise enthält Sie auch für modified eCommerce Shopsoftware schädlichen Code.

Martin

[hendrik]

"36.php" im images-Verzeichnis ist sehr merkwürdig. Wär ich auch neugierig was es damit auf sich hat.

Gruß
Hen

[Tomcraft]

Hänge die Datei hier ruhig mal an.

Grüße

Torsten

[eyepe]

Die Datei wie gewünscht. Vorsicht: Schadsoftware! Am besten nicht in's Shopverzeichnis legen.

[EDIT Tomcraft 19.04.2011: Datei aus Sicherheitsgründen gelöscht, wer sie benötigt, kann sie bei mir noch anfordern.]

[hendrik]

Sieht nicht gut aus. Dein Laden ist gehackt.

Du hast, wenn ich das richtig überblicke, eine Shell mit Funktionen die fremden Code in deine Shopscripts einschleust.

Gruß
Hen

[innuXTC]

Bitte nicht ohne Virenscanner runterladen! Meiner schlägt sofort Alarm: "Malware gefunden!"

[pipesmoker]

Die Datei wie gewünscht. Vorsicht: Schadsoftware! Am besten nicht in's Shopverzeichnis legen.

[EDIT Tomcraft 19.04.2011: Datei aus Sicherheitsgründen gelöscht, wer sie benötigt, kann sie bei mir noch anfordern.]

Hallo Tomcraft,

darf ich Dich bitten, mir diese Datei 36.php zukommen zu lassen?
In meinem Shop tritt das selbe Phänomen auf, wie hier beschrieben.

Allerdings finde ich keine 36.php, daher würde ich gerne nach code in allen dateien suchen.

Vielen Dank,
lg pipe

[Tomcraft]

Ich habe die Datei mittlerweile gelöscht.

Grüße

Torsten

[GTB]

Suche einfach mal die ganzen Ordner ab. Wenn du nach Inhalten suchen kannst, dann suche nach:

Code: PHP  [Auswählen]

base64
decode
 

Gruss Gerhard

[DokuMan]

lade dir auch kurzfristig die beiden Dateien aus r1975 hoch, sonst infiziert der Shop sich wahrscheinlich gleich wieder.

Eine Migration zu modified eCommerce Shopsoftware würde ich dir allerdings auch anraten.

[eyepe]

Das Update auf modified eCommerce Shopsoftware habe ich inzwischen durchgeführt. Leider besteht das Problem noch immer.

Im Shop werden ständig - ca 1 mal täglich - die installierten Zahlungsmodule (invoice, moneyorder) deinstalliert und das Zahlungsmodul Kreditkarte (cc) dafür installiert. Zudem werden alle neuen Bestellungen gelöscht. Alle bist zum Stand vom 06.05.2011 bleiben allerdings erhalten. Auch die angemeldeten Kunden bleiben erhalten.

Meine Lösungsversuche:

• Shopsystem neu installiert (update von xtc zu modified eCommerce Shopsoftware 1.05)
• SQL Injection Security Fix installiert
• Bilder vor dem erneuten einfügen auf Vieren gescannt
• FTP Passwort geändert
• Datenbank Passwort geändert
• Adminpasswörter geändert
• Datenbank "laienhaft" nach Begriffen wie "cc" oder "payment" nach Hinweisen durchsucht

Ich würde mich wirklich sehr freuen, wenn Ihr mir einen Tipp geben könntet, was ich noch versuchen kann.

Pipesmoker, hast du bereits eine Lösung gefunden?

Vielen Dank schonmal!

Martin

PS: Link zum Shop: http://www.martinbaeren.de

[Tomcraft]

Schau mal in der Tabelle "admin_access", ob es noch andere Administratoren gibt!

Ich finde es sehr gefährlich einen bereits kompromittierten Shop/Server auf modified eCommerce Shopsoftware zu aktualisieren und zu hoffen, dass damit die Probleme behoben sind.

Du weisst ja nicht, was schon alles verändert wurde!

Grüße

Torsten

[eyepe]

Ich wollte es zumindest erstmal probieren, bevor ich alles einstampfe. Zudem im übrigen nur die Datenbank und die Produktfotos (Geprüft) übernommen wurden. Alle alten Dateien wurden gelöscht und von modified eCommerce Shopsoftware komplett neu angelegt. Deshalb läuft der Shop jetzt auch nur in einem leicht modifizierten modified eCommerce Shopsoftware Template.

Aber, um zum spannenden Teil zu kommen. Du hattest recht mit deiner Vermutung Torsten. In der Tabelle admin_access war neben den 4 admin id's und groups noch die id 0 vergeben. Die gehört zu einem Kunden mit dem Namen "Guest" und der E-Mail Adresse "splatter-crew". Alle weiteren Angaben mit 0 belegt.

Ich habe den Eintrag gelöscht.

Über eine Rückmeldung von "pipesmoker" würde ich mich freuen, ob es bei dir das selbe war.

Danke!