Brauche Hilfe bei Mailnamen

[studentwi]

Hallo,

bei uns hat ein Hacker in den Shop eingebrochen. Seitdem versendet der Shop bei Bestellungmitteilungen an Kunden als Mailname (D.h. der Name, den ich oben im "von" bei Outlook sehe) einen komplett anderen Namen einer berühmten Persönlichkeit. Da steht dann ([email protected] im Auftrag von meinshop.de).

Wie kann ich dies wieder ändern.

Ich bitte um Hilfe, es ist sehr dringed.

Vielen Dank.

Grüße

Studentwi

[cfraatz]

Das lässt sich in der Admin im Bereich Konfiguration -> eMail Optionen einstellen.

Grüße, Carsten

[url="http://shop.dreckstueckchen.de/admin/configuration.php?gID=12"]

[studentwi]

Hallo,

danke für die schnelle Antwort. Leider steht da das nicht drinnen.

Ich habe eben herausgefunden, dass es sich um die Weiterleitungsmail handelt. Ich habe eingestellt, dass die mails an meine Private Mailadresse weitergeleitet werden. Dann erscheint oben immer im Kopf [email protected] im Auftrag von Myshop.de

Und der [email protected] ist die berühmte Person.

kann es sein, dass der HAcker das in der Datenbank oder der php Datei hinterlegt hat?

Wo bekomme ich das raus?

Vielen Dank.

Grüße

Studentwi

[studentwi]

Hallo die Superuser,

bitte helft mir, ich komm echt nicht weiter. Dei angedeutete Zeile steht im "VON" bei Outlook also im Absender.

Vielen, vielen Dank.

[Guest tuvalu]

Ist Dein Hoster "Host Europe"? Da kann man nämlich neuerdings im KIS die Standard-Emailadresse für Skripte einstellen.

Nur so ein Gedanke.

My2Cent

tuvalu

[studentwi]

Hallo,

nein, ich hoste bei Evanzo.

Mein Problem ist konkret folgendes (siehe Bild).

Bei der Weiterleitungsmail und der Bestellmail wird als Absendeadresse die berühmte Person eingetragen und läßt sich durch Konfiguration im shop unter e-mail auch nicht ändern. Dort steht die Adresse unseres Shops drin, die aber nicht beachtet wird.

Bitte helft mir, mein shop ist gerade offline und ich bin etwas hilflos.

Vielen, vielen Dank.

Grüße

Studentwi

[studentwi]

Hallo an alle Superuser hier,

weiß keiner einen Rat, wo diese Einstellungen in der datenbank liegen und von welchen php Dateien diese gesteuert werden?

[Guest tuvalu]

weiß keiner einen Rat, wo diese Einstellungen in der datenbank liegen

In der Tabelle configuration. Einfach mal runterscrollen.

Aber von Deinem Problem habe ich noch nie was gelesen. Und da ist es schwer eine Antwort zu geben. Zumal aus der Ferne.

tuvalu

[Rovert]

Das hat mit der Shop nichts zu tun, sondern dein Domain ist einfach "gehijacked" worden von ein Spamming Service. Ist mir mehrmals passiert. Dagegen kannst Du nichts tun.

Die eMails existieren normalerweise nicht und werden nur als Absender benutzt. Am Besten der "Catch All" Funktion ausschalten und damit leben. Natürlich in diesem konkreten Fall haben die webmaster@ benutzt, einfach deaktivieren/löschen und was anders als Default benutzen

T

[studentwi]

Danke für die Antworten.

@ Rovert: Aber der Shop versendet eben die MAils an die Kunden mit der komischen Mailadresse. Das bedeutet, dass es so aussieht, als ob der Shop im Auftrag der berühmten PErson an die Kunden die Bestellmail sendet.

WEnn ich von der Mailadresse eine normale Mail aus aOutlook mit der MAiladresse schicke passiert das nicht. Dann taucht ganz normal [email protected] als Absendeadresse auf.

Liegt das wirklich nicht am shop??

Vielen Dank für die Hilfe.

Grüße

Studentwi

[John Steed]

sondern dein Domain ist einfach "gehijacked" worden

Huhu,

das gilt dann aber nur, wenn *nicht* die vom Shop generierten Mails betroffen sind. Wenn jetzt z.B. die Bestellbestätigung unter falscher Flagge segelt, ist da schon was nicht ganz koscher...

Alle Mails werden von includes/classes/class.phpmailer.php verschickt. Der Funktionsaufruf zu dieser Datei (welcher heisst xtc_php_mail) steckt noch in einigen anderen Dateien (z.B. send_order.php, create_account.php, admin/[diverse_seiten].php).

Du bist nicht zufällig mal auf die Idee gekommen, Deine Shopdateien mal lokal zu speichern und darin nach nach dem Text "berühmteperson.de" zu suchen?

Denn: Wenn der Shop *selbst* Mails unter falscher Adresse verschickt (sieht man am Mailheader, wenn der Server der eigene ist...) hat Dir jemand entweder die Datenbank gehackt (unwahrscheinlich) oder eine (mehrere) der Mailer-Dateien geändert.

Dann spielst Du einfach die entsprechenden Originaldateien wieder rauf und änderst sämtliche Passwörter (FTP/Kunden-Login bei Deinem Hoster, wenn möglich Datenbankpasswort). Für alles verschiedene Passwörter und schön komplizierte - mindestens acht Zeichen, gross-/kleinschreibung gemischt mit Zahlen und Sonderzeichen.

Am Besten auch (vorher!) den lokalen Rechner checken - vielleicht hast Du Dir dort einen Trojaner eingefangen, so dass böse Leute z.B. Deine Tastatureingaben mitloggen können...

Wichtige Info wäre noch: Welche Shopversion?

[Rovert]

Weitere Hausaufgaben:

Bist Du dann 100% sicher, dass die Empfänger wirklich Kunden sind?

Von welche Server sind die Mails verschickt worden (zu sehen unter Thunderbird erweiterte Headers zum Beispiel )?

Wende Dich an dein Provider und frag nach ein Sendeprotoklll oder leite sonstige Maßnahmen ein.

Hast Du jemals ein Rundschreiben an Dein Kunden verschickt wo die eMail Adressen nicht versteckt waren?

So, genug Detekteiarbeit.

T

[studentwi]

Hallo Rovert,

erst mal vielen Dank für Deine Antworten. Ich versuch mal im folgenden alles zu beantworten.

Ein Gesellschafter ist bei uns ausgestiegen und hat es nicht gerne gesehen, dass wir anderen weitermachen. Er hatte natürlich auch Zugang zu den Servern und den Datenbanken (Hat er jetzt nicht mehr, da wir den Server gewechselt haben und alles umgezogen haben).

Wir vermuten, dass er uns da ein Ei gelegt hat.

- Ich habe die Dateien, die Du mir gesagt hast mal auf den Namen der Mailadresse untersucht. Leider ohne Erfolg. Also in den Dateien ist diese Mailadresse nicht hinterlegt.

- Ich bin mir sicher, dass Kunden diese Mails vom Shop bekommen haben. Als sich ein Kunde angemeldet hat und die Create Account mail bekommen hat war das der Fall. Diese vom Shop kreierte mail hat die Mailadresse der berühmeten Person als Absender enthalten. Genauso bei Bestellungen. Ein Rundschreiben habe ich Gott sei Dank noch nicht verfasst.

Komisch war, als ich mit einem normalen TEstuser eine BEstellung ausgeführt habe, wurde auch die Mailadresse der Berühmten Person in der Bestellbestätigungsmail angezeigt (als Absender). Als ich mit dem Adminaccount eine Testbestellung ausführte Wurde die richtige Adresse angezeigt in der BEstellbestätigung.

- Was noch interessant ist, Wenn ich bei den Mailoptions auf "sendmail" stelle und nicht auf "mail", dann klappt alles normal.

- Woran erkenne ich die Shopversion??

Vielen Dank.

Grüße

Studentwi

[Rovert]

im Quelltext zu sehen in den Meta Tags.

T

[John Steed]

- Ich habe die Dateien, die Du mir gesagt hast

DAs war zwar ich, aber egal

- Ich bin mir sicher, dass Kunden diese Mails vom Shop bekommen haben.

Dann schau nochmal z.B. per phpMyAdmin in die Tabelle 'configuration'...

- Was noch interessant ist, Wenn ich bei den Mailoptions auf "sendmail" stelle und nicht auf "mail", dann klappt alles normal.

Hmmm, okay... Dann hat Dein "Freund" wohl die includes/classes/class.phpmailer.php oder den Funktionsaufruf für xtc_php_mail() (taucht oft im Shop auf) geändert - auf jeden Fall wäre dies im konkreten Fall eine Sache für den Staatsanwalt - Ich persönlich würde Dir raten, Anzeige zu erstatten! Datenmanipulation ist, soweit ich weiss, eine Straftat!

Weitergehende Tipps kann und *darf* Dir im konkreten Fall nur ein Anwalt geben (vorzugsweise einer, der sich auf Internetrecht spezialisiert hat)!

Meine Meinung und keine Rechtsberatung!

- Woran erkenne ich die Shopversion??

Hat Rovert schon gesagt - Shop aufrufen, Quelltext anzeigen, ganz oben in den HEAD gucken...

[studentwi]

Hallo,

danke schon mal für die Antworten.

Ich habe folgende Shopversion: xt:Commerce v3.0.4 SP2.1

Das Problem ist noch nicht gelöst.

Grüße

Studentwi

[tglaser]

Hallo,

danke schon mal für die Antworten.

Ich habe folgende Shopversion: xt:Commerce v3.0.4 SP2.1

Das Problem ist noch nicht gelöst.

Grüße

Studentwi

Hi,

wie John schon schrieb, hat der Bursche wohl an den Shop-Dateien manipuliert. Was alles verändert wurde ist so schwer zu sagen, evtl. ja nicht nur die mail-Funktion. Je nach dem wie fit er in der PHP Programmierung ist, könnte er sich auch eine Backdoor eingebaut haben.

Also ich würde den Shop an anderer Stelle (neuer Server, anderes Verzeichniss) neu installieren. Oder jede Datei mit einer neuen Installation vergleichen (diff). Das wird aber schwierig, wenn viele Anpassungen am Shop vorgenommen wurden.

Und wie schon empfohlen Anwalt und Polizei einschalten. Dafür den momentanen Status sichern.

Gruß