Plötzlich Schadcode ????

[Matt]

Wir hatten unwissentlich eine manipulierte Datei/Update von der Herstellerseite geladen.

Nein, ihr habt eben nicht eine manipulierte Version von der Herstellerseite geladen sondern von irgendeiner anderen Seite, die nicht die Herstellerseite ist. Geht auch klar so aus dem Heise-Artikel hervor. Ich bin sicher kein Verteidiger von FileZilla, aber die Fakten sollte man schon richtig wiedergeben.

Unabhängig davon hätte ich auch gesagt, dass der Angriff über FTP erfolgt ist. Alle Indizien deuten darauf hin. Deshalb hatte ich auch nachgefragt, ob der Rechner sauber ist.

Da schon der Strato-Auftritt infiziert ist und das ganze wahrscheinlich Monate zurückliegt ist das aber mit letzter Gewissheit nicht zu sagen. Man kann das über die Logfiles herausfinden, aber Strato findet ja nicht einmal heraus, dass da Schadcode eingefügt wurde. Von daher würde mich auch nicht wundern wenn sie nicht wissen, wo sie die Logfiles finden.

Generell sollte man FileZilla meiden. Es gibt bessere, auch kostenlose FTP-Programme auf allen Plattformen. Und FTP sollte man auch meiden.

[svenyo]

Welches FTP Programm ist denn empfehlenswert? Bislang benutzen wir WS_FTP 9

[Alfred]

Hallo,

um welchen Shop geht es?

Gruß

[Matt]

Ich meine auf Windows wird gern WinSCP empfohlen. Aber da müssen die Windows-Leute was zu sagen.

[webald]

Ich meine auf Windows wird gern WinSCP empfohlen. Aber da müssen die Windows-Leute was zu sagen.

Ja.

Möchte aber noch kurz erwähnen, dass es auch theoretisch möglich ist nur mit dem Windows-Explorer zu arbeiten, denn auch der kann zu ftp verbinden. ABER: wie bei Filezilla giltvorsict mit dem Passwort. Wer da das Passwort speichert kann es auch gleich auf die Website schreiben. Für eine Virus wäre das nämlich einfach ein verbundenes Laufwerk.

[p3e]

Die Zugangsdaten speichert Filezilla dubioser Weise im Klartext ab...

Ich denke das ist einigen nicht klar: Jedes FTP-Programm, das Passwörter für den nächsten Besuch abspeichert, speichert die im Klartext (es sei denn, das Programm nutzt ein Masterpasswort, das man dann jedes mal eingeben muss).
Man kann auch Filezilla so nutzen, dass Passworte nicht gespeichert sondern immer wieder angefragt werden. Filezilla ist jedoch vorzuwerfen, dass das Passwort bei Standardeinstellungen gespeichert wird, so dass unbedarfte Nutzer sich über die Problematik dahinter keine Gedanken machen.
@svenyo: Seit wann ist Dein Shop denn so lahm? Wahrscheinlich ist der so langsam, weil er infiziert ist.

[fishnet]

Ich denke das ist einigen nicht klar: Jedes FTP-Programm, das Passwörter für den nächsten Besuch abspeichert, speichert die im Klartext (es sei denn, das Programm nutzt ein Masterpasswort, das man dann jedes mal eingeben muss).

Nein. Cross FTP nicht.

[hstreicher]

WS FTP auch nicht

[p3e]

Wenn ich mich recht entsinne, nutzt CrossFTP (zumindest die Pro Version - nutze jetzt aber ein anderes Programm) ein Masterpasswort, dass man bei jedem Programmstart eingibt und mit dessen Hilfe die FTP-Passwörter in der Datenbank verschlüsselt gespeichert werden.
Wenn Du aber FileZilla so einstellst, dass die Passwörter nicht gespeichert werden und die Übertragung verschlüsselt wird, sollte das genau so sicher sein wie CrossFTP.
Ich nutze selber nicht FileZilla, störe mich aber daran, dass FileZilla immer als Ursache allen Übels genommen wird. Grundsätzlich ist erst einmal der Rechner des Nutzers infiziert. Der saubere Rechner ist das wichtigste, das sollte allen klar sein. Außerdem hat svenyo kein FileZilla genutzt und wurde trotzdem infiziert.

[p3e]

@hstreicher: http://www.softpedia.com/get/Security/Decrypting-Decoding/WS-FTPPasswordDecryptor.shtml
Wenn diese Software das sicher verschlüsselte Passwort bei WS FTP auslesen kann, dann kann das der Hacker auch.
Wenn Du wirklich Sicherheit willst, braust Du ein Masterpasswort wie bei CrossFTP, dass du immer beim Programmstart eingibst oder du verzichtest einfach auf das Speichern des Passwortes.

[svenyo]

Hallo,

besten Dank für die vielen Tipps. Werde mir die Programme mal anschauen.

@p3e: Da die betroffenen Dateien lt. FTP-Datum alle am 24.03.2015 geändert wurden und etwa zur gleichen Zeit sich der erste Kunde beschwerte, gehe ich davon aus, dass dies damit zusammenhängt.

Der Shop wurde jetzt erfolgreich bei 1&1 neuinstalliert und läuft wie ne Eins

Das gleiche habe ich dann auch bei Strato versucht. Alles gelöscht. Neuinstalliert, DB importiert, und siehe da... Performance Probleme sind Geschichte. Läuft jetzt auch bei Strato wie geschmiert.

Da mein PC definitiv Virenfrei war und ist, und auch nur CSV bzw. JPG Dateien zum Artikelimport hochgeladen wurden, frage ich mich jetzt nur, wie sich dieser Schadcode einschleichen konnte?
Liegt es daran, dass wir noch auf dieser Version laufen:  v1.06 rev 4642 dated: 2013-04-20   ?

Wie kann ich denn am besten das Update auf SP2 vornehmen? Muss man zuerst auf SP1 und dann auf SP2 oder geht gleich auf SP2?

[hbauer]

Da mein PC definitiv Virenfrei war und ist, und auch nur CSV bzw. JPG Dateien zum Artikelimport hochgeladen wurden, frage ich mich jetzt nur, wie sich dieser Schadcode einschleichen konnte?
Liegt es daran, dass wir noch auf dieser Version laufen:  v1.06 rev 4642 dated: 2013-04-20   ?

Diese Antwort auf diese Frage wirst Du nur in den Logfiles finden

[svenyo]

Da ich mich da nicht so auskenne, kommt jetzt bestimmt eine etwas blöde Frage: In welchen Logfiles? Gibt es da verschiedene? Kann man die bei Strato anfordern?

[fishnet]

Wenn ich mich recht entsinne, nutzt CrossFTP (zumindest die Pro Version - nutze jetzt aber ein anderes Programm) ein Masterpasswort, dass man bei jedem Programmstart eingibt und mit dessen Hilfe die FTP-Passwörter in der Datenbank verschlüsselt gespeichert werden.

Nein.

Kann man die bei Strato anfordern?

Ja.

[svenyo]

Haben diese Logfiles einen speziellen Namen? Oder reicht es, wenn ich den Support einfach darum bitte, mir die Logfiles zu senden?

Bzgl. der Update-Geschichte muss ich mal nochmal nachhaken. In unserem Shop wurden ein paar Änderungen am Code vorgenommen. Die Dateien, wo etwas geändert wurde, habe ich separat abgespeichert. Leider habe ich aber nicht vermerkt was geändert wurde. Wie könnte ich das herausfinden?
Geht das mit diesem WinMerge?