Trojaner script/iframer im Shop

[chocolate]

Hallo,
dickes Problem: Trojaner script/iframer im Shop. Vermutung: die Shopbetreiberin hat sich mit ihrem virenverseuchten (definitiv) Rechner eingeloggt, hinzu kommt, dass das Passwort einfach lächerlich ist.

Meine bisherigen Aktionen: Passwörter geändert und Shopdateien komplett gelöscht. Ein sauberes Backup ist vorhanden (vor der buttonlösung). Die neue schlichte index.html (Shop nicht erreichbar, bla) wurde danach nicht mehr gehackt - vor dem Ändern der Passwörter (auch versteckte Dateien übersehen) fand ich hier ruckzuck nochmal Schadcode.

Nun wäre mein nächster Schritt config-dateien mit neuem db-Passwort und shop - Dateien wieder hochladen. Allerdings stehen ja in der Datenbank noch alle Passwörter vor allem die der beiden Admins.
Kann ich nun problemlos bevor ich die Dateien hochlade das Admin - Passwort per sql-befehl zurücksetzen und evtl den 2. Admin einfach löschen? Oder gibt es einen anderen Weg? Ich muss ja davon ausgehen, dass die Passwörter bekannt sind.

Dann muss ich wohl die Service-Packs aufspielen (manuell alles vergleichen), seit gut einem Jahr ist hier - ich gebs ja zu- nicht so viel passiert, im Moment Version 1.05 (steht hier zumindest).
Noch eine Frage zum SP: Nur die Dateien in der Dateiliste.txt vergleichen/ändern?

Ist das insgesamt der richtige Weg? Muss ich noch etwas beachten?
Wäre echt dankbar für etwas Hilfestellung
chocolate



Linkback: https://www.modified-shop.org/forum/index.php?topic=21816.0

[Gradler]

Wegen Deiner Passwortgeschichte gugst Du mal hier, hatte auch mal die Problematik das Passwort resetten zu müssen. http://www.modified-shop.org/forum/index.php?topic=21679.msg201398#msg201398

Gerd

[chocolate]

Hallo Gerd,
danke für die schnelle Antwort.
Merke ich mir schon mal. Mir fehlen nur noch ein paar Feedbacks zu dieser Variante. Passwörter habe ich ja alle, auch zur Datenbank.
Gruß
chocolate

[Alfred]

Ich muss ja davon ausgehen, dass die Passwörter bekannt sind.

Hallo,

du musst davon ausgehen das die geänderten wieder bekannt sind sobald beim Betreiber der PC online geht.
Zuerst muss der verseuchte PC bereinigt werden.

Gruß

[chocolate]

Ja, das ist klar. Der betroffene Rechner ging direkt auf den Müll und von kompetenter Seite wird derzeit ein neuer aufgesetzt - mit einer Virensoftware die wie meine, sofort anspringt.
Sie hatte Avira, sogar die Kaufversion.... , diese ließ sie aber problemlos weiterarbeiten (Grundeinstellungen).

Meine Problem ist, dass ich einfach nicht weiß wie dieser Trojaner arbeitet. Es ist schon etwas gespenstisch, wenn man eine schlichte html Datei hochlädt und diese Stunden später auf das 3fache angewachsen ist (Script- Zahlenkolonnen...). Zurückverfolgen (log-files) ließen sich ein paar Aktionen zu einer russischen Webseite (ist schon bekannnt und auf der Liste).

Dumme Frage: Sizt da jemand und tauscht die Datei manuell aus (nachdem er per mail über die Aktion informiert wurde) oder erledigt das ein Script? Auch müsste doch eine E-mail -Adresse zu finden sein??Fragen über Fragen (Fax.html war wohl sehr interessant)

Es ist wirklich schwierig sich hier Wissen anzueignen...

Wenn hier jemand Ahnung hat, wo, wie so eine Attacke zu erwarten ist, wäre es super, wenn das geteilt werden würde (natürlich ohne Anleitungen).

Gruß
chocolate

[Alfred]

Hallo,

gewöhnlich kommt eine Email an und der Empfänger ist neugierig.
In letzter Zeit kommt dann oft so etwas: rechnung.pdf.exe
Das ist halt keine pdf sondern eine exe.

Wenn dann noch FileZilla auf dem Rechner installiert wurde werden die ftp-Passwörte3 ausgelesen.
Der Rest geschieht automatisch.

Gruß

[chocolate]

naja, aber das weiß man doch inzwischen. Wer öffnet denn Anhang von unbekannt? oder gar eine exe? Das ist ja als ob man die millionenschwere Erbschaft von Dr. Trustme auf´s eigene Konto transferieren möchte.

Wie´s auf den Rechner kommt ist auch schnell gar nicht mehr so spannend - vieles ist ja bekannt, aber was es macht, wie es läuft, das wäre doch wichtig, gerade auch für die Entwickler.

Kaum was zu finden...
Gruß chocolate

[vollautomat]

Wie habe ich es grade erst gelesen

"Gegen Dummheit gibt es keinen Patch"