Phishing Meldung

[profrolfwolf]

Hallo liebe Leute

Obwohl ich auf meiner Webseite seit Wochen nichts verändert habe, bekomme ich seit kurzem folgende Meldung im Google Chrome Browser:

Bei der aufgerufenen Website besteht Phishing-Verdacht!

Angreifer auf www.wineshop.zickl.at versuchen unter Umständen auf betrügerische Weise, Sie zur Installation von Software zu bewegen oder Ihnen personenbezogene Daten zu entlocken, zum Beispiel Passwörter, Telefonnummern oder Kreditkartendaten.

Folgendes ist mir dazu aufgefallen:

Das Problem besteht nur wenn auch die /index.php dabei ist
Direkt auf Artikel klicken funkt, (keine /index.php dabei)

In MS Edge und Firefox stellt dies kein Problem dar.
Mein Avast Virenschutz, hat die Seite auch als Phishing verdächtigt

Meine Fragen:

Wie kann dies kommen, ohne Veränderungen am Shop durchgeführt zu haben?
Kann es sein das Kunden welche einen Newsletter erhalten haben, die Webseite gemeldet haben?

Was kann, muß, soll man jetzt machen? (Ich habe bereits eine Sicherung aus September eingespielt, hat keine Änderung gebracht)
Würde das Update auf 2.0.1.0 eine Änderung bringen?

Bitte um etwas Aufklärung rund um dieses Thema.

Danke liebe Grüsse Wolfgang

P.S. Leider konnte ich nicht wirklich eine Rubrik finden, wo diese Thema passt. Also bei Bedarf bitte in die richtige Rubrik verschieben.

Linkback: https://www.modified-shop.org/forum/index.php?topic=36114.0

[matchangler]

ich hallte es für möglich, dass Schreibrechte auf Dateien nicht nach Handbuchvorgaben gesetzt waren.
Gern wird die index.php im Templatepfad modifiziert oder deine .htaccess Datei hat zusätzliche Einträge bekommen, die in etwa so aussehen:
<?php eval(base64_decode('ZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFy........')); ?>
Da hilft dann nur Datenbank und configure.php retten und den Shop noch mal frisch aufsetzen.

Suche mal in deinem Webspace nach "base64" innerhalb der php Dateien. Das ist eine beliebte Masche.
Eventuell nutzt du auch einen gehackten FTP-Uploader, wie Filezilla.

späte Grüße
Maik

[web28]

Auf jeden Fall hält Google die Seite für "Teilweise gefährlich"

https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html#url=www.wineshop.zickl.at

Das kann aber auch ein Fehlalarm sein, hatte ich letztens auch.
Über die Webmastertools habe ich eine erneute Prüfung angefordert und der Spuk war etwas später vorbei.

Gruss Web28

[alex3536]

Ja, der Fehlarm, der hat mich 3h gekostet. Da bin ich in einer Stunde 10 Jahre gealtert..
Man erkennt ihn daran, dass es ein Fehlalarm war, wenn die in den Webmastertools zur Verfügung gestellte CSV leer ist. Normalerweise werden dort die infizierten URLs aufgelistet.

Nur hier klingt es nicht nach einem Fehlalarm, sorry.

[profrolfwolf]

Erstmal vielen Dank für die schnelle Hilfe.

@alex : Wo finde ich diese CSV genau, (habe bereits mein Webmastzertool durchgesehen, aber nichts gefunden)

Warum klingt es nicht nach Fehlalarm?

@web28 Ich habe ebenfalls so eine Prüfung angefordert. Wie lange dauert dies im Normalfall?

@matchangler In der .htacess konnte ich keinen dieser Einträge finden. Leider in der shop/inc die Datei base64todec.inc.php Ach ja und Filezilla nutze ich auch.

Wie soll ich jetzt weiter vorgehen?
Grundsätzlich hätte ich den Shop bereits auf einer anderen Webadresse wieder komplett neu aufgebaut, gleich als Version 2.0.1.0 (allerdings mit filezilla)
Würde aber gerne die alte Webadresse erhalten.

Wie soll ich am besten weiter vorgehen? Was bedeutet die configure.php retten? Die wird doch beim neu aufstzen neu geschrieben?

Danke schon im Voraus
lg Wolfgang

[web28]

Vorgehensweise:

1. Rechner auf Malware überprüfen (Malwarebytes)
2. Wenn Rechner sauber: Passwörter von FTP, Webspace und DB ändern
3. FTP Passwort bei Mozilla nicht speichern oder besser WinSCP benutzen (Mit Masterpasswort)
4. Alle Shopdateien auf Malware überprüfen, besser alle Shopdateien in ein neues Verzeichnis hochladen und alle alten Dateien löschen (evtl. vorher auf PC sichern, dabei können gute Antivirenprogramme auf Malware erkennen)

Auf jeden Fall ist das wohl kein Fehlalarm.

Am besten Hilfe von einem Fachmann anfordern.

Gruss Web28

[Viol]

Bei mir wird nichts bemängelt, wenn ich die Seite mit Chrome aufrufe, auch nicht mit dem Link von web28. Mein Kaspersky sagt auch nichts.
Hast Du mal im Chrome nachgesehen, wenn Du auf "untersuchen" klickst, ob in der dortigen Konsole Meldungen stehen?

[profrolfwolf]

Hallo

@web28

1. Überprüft nichts gefunden
2. PW geändert
3. Wolte ich finde mich aber mit WinSCP nicht wirklich zurecht
4. Dateien auch nochmal gescannt, und ncihts gefunden.

@ viol Ja plötzlich geht bei mir auch wieder alles sowohl die Webseite als auch unter dem Link ist nichts mehr zu finden. auch bei Überprüfung ist kein fehler mehr

@ ALL aber was ist jetzt mit der base64 PHP

Ich habe jetzt unter einen 2ten unterordner bereits eine fast fertige 2.0.1.0 Version liegen. Diese möchte ich jetzt noch mit einen Responsive Template ausstatten, und dann mit der neuesten Version weiterarbeiten. Wenigstens war nichts umsonst.

Einzig ist mir dabei aufgefallen das ich das bis dato immer wieder verschoben habe, weil ich den Multiselect Optionen (Light Konfigurator) verwende und auch brauche. Im Forum bin ich fündig geworden, und festgestellt, das ich den richtigen Mann an der Strippe habe.

@web28 bitte um Details und Konditionen per PN oder mail office@zickl.at für die Multiselect Optionen in der Versin 2.0.1.0

Danke Liebe Grüsse

[web28]

Angebot ist raus.

Gruss Web28