Hallo Ben,
der Angriff wurde bei uns im Team bereits vor 2 Tagen diskutiert.
Die Codeinschleusung der ersten Codezeile ist nicht beschrieben, lediglich die darauf folgenden Umleitungen die dann zwar die eigentliche Schadcode Webseite verschleiern aber nicht die Ursache bilden.
Es handelt sich wahrscheinlich um eine Codeeinschleusung von verseuchten FTP Clients.
Leider scheint der FileZilla, da er wohl die Passwörter im Klartext abspeichert, hauptsächlich davon betroffen zu sein.
Das Szenario stellt sich so dar das bei Änderungen an Dateien auf dem Webserver zusätzlicher Schadcode vom FTP Client eingefügt und mitgeschickt wird. Meistens sind index Dateien betroffen.
Bedeutet für den Anwender:
Wenn das auftritt ist der eigene lokale Rechner von Viren befallen oder der FTP Client verseucht.
In dem Fall hilft nur:
- Virus ausfindig machen
- alle Passwörter ändern
- Grundsätzlich keine Passwörter automatisiert vom System speichern lassen sondern selber eingeben
Dann kann weder das Passwort ausgespäht werden, noch bei virenfreien System zusätzlicher Schadcode an den Webserver mitgeschickt werden.
Logischerweise sind solche Angriffe Shopunabhängig, bedeutet kann in jedem Shop passieren da die Ursache der FTP Client ist.
Vielleicht kann ja jemand vom Team noch was ergänzen falls ich was vergessen habe...
Um auch andere Angriffe wie SQL-Injection, CrossSiteSCripting (XSS) etc. noch besser ab zu wehren wird zur Zeit ja das SP1 zusammengestellt was in Kürze erscheinen soll...
Viele Grüße
Franky