Missbrauch Ihres Shop zum Kreditkartendaten-Phishing

[bigbandit]

Hallöchen,

ich habe heute eine E-Mail mit dem oben genannten Betreff bekommen.
gleichzeitig auch eine Mail von einem mir unbekannten. Könnt ihr mir sagen ob das echt ist oder doch nur ein Fake?

Guten Tag, Herr xxx,

Ihr Onlineshop lr-group.de wurde vermutlich gehackt und wird nun missbraucht, um an die Kredikartendaten ahnungsloser Leute zu kommen.

http://www. lr-group.de/Shop/templates_c/customcss

Ich bin auf diese Adresse gestoßen, weil jemand einen Massenversand von E-Mail macht und versucht, die Leute auf diese Adresse zu lotsen.

Was sollten Sie jetzt tun? Löschen Sie in Ihrem Shop den Unterordner 'customcss' der im Verzeichnis '/Shop/templates_c/' liegt. Am besten setzen Sie sich dazu mit dem Internetdienstleister in Verbindung, der Ihren Shop installiert hat. Er wird Ihnen bestätigen, dass der Ordner customcss an der Stelle nichts verloren hat, wo er gerade liegt.

Ich bin selbst Betreiber von zwei Onlineshops (siehe www.ruck-zuck-versand.de) und kümmere mich gerne um das Thema Sicherheit. Ich kann Ihnen nur raten, die Sache ernst zu nehmen. Ansonsten könnten  Sie nämlich mit in der Haftung für eventuelle Schäden mit drin sein.

Mit freundlichen Grüßen

Das ist die Mail von noreply(at)google.de

Dear site owner or webmaster of lr-group.de,

We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

Below are one or more example URLs on your site which may be part of a phishing attack:

http://www. lr-group .de/Shop/templates_c/customcss/verification.php

Here is a link to a sample warning page:
http://www. google.com/interstitial?url=http%3A//www.lr-group.de/Shop/templates_c/customcss/verification.php

We strongly encourage you to investigate this immediately to protect users who are being directed to a suspected phishing attack being hosted on your web site. Although some sites intentionally host such attacks, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content

If your site was compromised, it's important to not only remove the content involved in the phishing attack, but to also identify and fix the vulnerability that enabled such content to be placed on your site. We suggest contacting your hosting provider if you are unsure of how to proceed.

Once you've secured your site, and removed the content involved in the suspected phishing attack, or if you believe we have made an error and this is not actually a phishing attack, you can request that the warning be removed by visiting
http://www. google.com/safebrowsing/report_error/?tpl=emailer
and reporting an "incorrect forgery alert." We will review this request and take the appropriate actions.

Sincerely,
Google Search Quality Team

Note: if you have an account in Google's Webmaster Tools, you can verify the authenticity of this message by logging into https://www. google.com/webmasters/tools/siteoverview and going to the Message Center, where a warning will appear shortly.

Linkback: https://www.modified-shop.org/forum/index.php?topic=20276.0

[sgieselmann]

N'Abend,

also der Verdacht liegt nahe. Zwar ist die betreffende URL "nicht mehr" erreichbar. Aber vlt. hast du den betreffend Unterordner  ja in der Zwischenzeit breits gelöscht.

Die Mail von Google ist auf jedenfall Authentisch und die URL wurde google auch offiziel gemeldet.
Dies hat zurfolge, dass wahrscheinlich deine gesamte Domain vom Index genommen wird bzw. vlt. schon wurde.

Du Solltest dir mal die Log-Dateien genau anschauen. Solltest du dies nicht können. Wende dich am Besten an deine Internetagentur bzw. an deinen Provider.

Denn das löschen des Ordners beseitigt nicht die eigentliche Sicherheitslücke.

[DokuMan]

Zunächst empfiehlt es sich, den Shop auf das aktuelle SP zu aktualisieren und auch zu klären wann/wie die Datei ins templates_c Verzeichnis gekommen ist...