resend Posted July 8, 2012 Report Share Posted July 8, 2012 Hallo zusammen, TEIL 1: ich wollte heute auf meinen Online Shop gehen und auf einmal kam die Nachricht "attackierende Seite" !!! TEIL 2: Ich bin dann über eine virtuelle Maschine auf meinen Shop gegangen und habe mir sofort einen Trojaner eingefangen! Dann habe ich mir meine index.html usw. angeschaut und finde auch sofort Codes und IFrames ! SIEHE HIER CODE - zu finden in (SHOP\admin\index.php): SIEHE HIER IFRAME in index.html - zu finden in (SHOP\usage\index.html): TEIL 3: Man sieht in dem IFrame die Seite "****" ich bin mit meiner virtuellen Maschine drauf gegangen und siehe da was plötzlich da steht: Ich frage EUCH, kann DAS überhaupt sein???? Der Kerl muss den Text schon länger dort stehen haben... und ich wurde gestern am (7.7.12) gehackt und erst da trat der IFrame auf!!! Kann mir nicht vorstellen das der Typ von nichts weis und so tut als wäre es normal das es über seinen Server läuft ?!?!? 4. Nun meine Fragen... was TUN? Es ist ein Notfall, der Shop hält mich über Wasser! Ich habe ein KOMPLETT Trojanerfreies Backup vom ganzen Shop! Wie gehe ich nun vor? Habe grad ALLE FTP Dateien gelöscht. Sollte ich nun Strato anschreiben und denen sagen das die meinen FTP komplett cleanen sollen und nach shell scripts absuchen sollen oder soetwas, oder ist das hinfällig da ich alles gelöscht habe? Oder sollen die vorallem IHREN SERVER cleanen, es kann ja sein das der gesamte Server gehackt wurde, oder? Wenn soweit von Seiten Strato alles SAUBER ist, kann ich bedenkenlos mein ShopBackup draufladen und den Shop neu hochfahren? 5. Wenn der Shop wieder läuft, wo bekomme ich die besten und neusten Sicherheitsupdates für einen XT COMMERCE 3.0.4 Shop? Suche gerade und finde nichts passendes, BITTE wirklich um hilfe! 6. In einem anderen Thread schrieb jemand, man sollte auf jeden Fall folgende Liste in die ".htaccess" schreiben: # Sperre nach Agent SetEnvIfNoCase user-agent "1337" bad_bot=1 SetEnvIfNoCase user-agent "acont" bad_bot=1 SetEnvIfNoCase user-agent "CatchBot" bad_bot=1 SetEnvIfNoCase user-agent "Daumoa" bad_bot=1 SetEnvIfNoCase user-agent "DomainCrawler" bad_bot=1 SetEnvIfNoCase user-agent "DotBot" bad_bot=1 SetEnvIfNoCase user-agent "DTS Agent" bad_bot=1 SetEnvIfNoCase user-agent "dug-portal" bad_bot=1 SetEnvIfNoCase user-agent "EuripBot" bad_bot=1 SetEnvIfNoCase user-agent "Eurobot" bad_bot=1 SetEnvIfNoCase user-agent "FDM" bad_bot=1 SetEnvIfNoCase user-agent "findlinks" bad_bot=1 SetEnvIfNoCase user-agent "FollowSite" bad_bot=1 SetEnvIfNoCase user-agent "Grub" bad_bot=1 SetEnvIfNoCase user-agent "iCcrawler" bad_bot=1 SetEnvIfNoCase user-agent "JadynAveBot" bad_bot=1 SetEnvIfNoCase user-agent "Java" bad_bot=1 SetEnvIfNoCase user-agent "Jyxobot" bad_bot=1 SetEnvIfNoCase user-agent "libwww" bad_bot=1 SetEnvIfNoCase user-agent "LinkWalker" bad_bot=1 SetEnvIfNoCase user-agent "lmspider" bad_bot=1 SetEnvIfNoCase user-agent "Mechanize" bad_bot=1 SetEnvIfNoCase user-agent "MJ12bot" bad_bot=1 SetEnvIfNoCase user-agent "MLBot" bad_bot=1 SetEnvIfNoCase user-agent "Netluchs" bad_bot=1 SetEnvIfNoCase user-agent "Ocelli" bad_bot=1 SetEnvIfNoCase user-agent "Plonebot" bad_bot=1 SetEnvIfNoCase user-agent "psbot" bad_bot=1 SetEnvIfNoCase user-agent "Rexyobot" bad_bot=1 SetEnvIfNoCase user-agent "ruky" bad_bot=1 SetEnvIfNoCase user-agent "Sapphire" bad_bot=1 SetEnvIfNoCase user-agent "ScoutJet" bad_bot=1 SetEnvIfNoCase user-agent "Seekbot" bad_bot=1 SetEnvIfNoCase user-agent "Speedy Spider" bad_bot=1 SetEnvIfNoCase user-agent "SurveyBot" bad_bot=1 SetEnvIfNoCase user-agent "susie" bad_bot=1 SetEnvIfNoCase user-agent "Toplistbot" bad_bot=1 SetEnvIfNoCase user-agent "Twiceler" bad_bot=1 SetEnvIfNoCase user-agent "Updater" bad_bot=1 SetEnvIfNoCase user-agent "WebDataCentreBot" bad_bot=1 SetEnvIfNoCase user-agent "weive" bad_bot=1 SetEnvIfNoCase user-agent "Yandex" bad_bot=1 SetEnvIfNoCase user-agent "Yanga" bad_bot=1 SetEnvIfNoCase user-agent "Yeti" bad_bot=1 # Sperre nach IP SetEnvIfNoCase remote_addr "^91.98.*" bad_bot=1 # Sperre nach Request SetEnvIfNoCase request_uri "^w00tw00t.*" bad_bot=1 <FilesMatch "(.*)"> Order Allow,Deny Allow from all Deny from env=bad_bot </FilesMatch> Meine Frage wäre nun wie das aussehen würde (habe da keine Ahnung von)?! Erstelle ich eine neue Datei die so heißt und wenn ja, wo wird die im Shop abgelegt? Oder änder ich z.B eine .htacces die im HAUPT-Shop-Ordner liegt? Dort steht gerade folgendes drin: RewriteEngine off DirectoryIndex webalizer.html AuthUserFile /www/htdocs/w0ssdg38e//usage//.htpasswd AuthGroupFile /dev/null AuthName ByPassword AuthType Basic <Limit GET POST> require user w00ba88e </Limit> Würde man die Liste von oben einfach unter das </Limit> kopieren, oder wie muss soetwas dann aussehen? EDIT: 7. Kann ich auch in die htacces reinschreiben das DIREKT Auslands IPs (russland/china) komplett gesperrt werden?? Ist das machbar? Wenn ja, wie? Danke schonmal und ich hoffe mir kann jemand helfen Link to comment Share on other sites More sharing options...
Fry Posted July 9, 2012 Report Share Posted July 9, 2012 Soviel ich weiss nutzt du xtcmodified, wenn es also am Code vom Shop liegen sollte ---> falsches Forum Zitat aus dem Forum "drüben": Also ich finde da based on: © 2003 nextcommerce (index.php,v 1.18 2003/08/17); www.nextcommerce.org © 2009 xtcModified (index.php,v 1.00 2009/07/13); www.www.xtc-modified.org Ansonsten Dienstleister beauftragen wenn kein bzw. zu wenig wissen existiert oder die Tips bei xtcM abarbeiten, Crosspostings helfen da eher wenig, wenn in fünf verschiedenen Foren neunundvierzig Lösungen geboten werden, da bastelst du dich ganz gepflegt zu tode:) Link to comment Share on other sites More sharing options...
resend Posted July 9, 2012 Author Report Share Posted July 9, 2012 Ich nutze beides, ich habe 3 Shops! Und ALLE 3 sind/waren verseucht. Meine Frage ist ob ich, wenn ich alles vom FTP runtergelöscht habe, einfach bedenkenlos ein CLEANES Shop-Backup wieder drauf machen kann ? Es ist extrem wichtig, ich stehe kurz vor einem Kredit und wenn der Banker sich die Shops angucken will und diesen bei Google eingibt, steht unter der Werbung "Diese Website kann Ihren Computer beschädigen." Das kann doch nicht sein. Link to comment Share on other sites More sharing options...
l_k3 Posted July 9, 2012 Report Share Posted July 9, 2012 Hi, um wieder sauber in den Google Index zu kommen solltest du den Anweisungen auf der folgenden Seite folgen. Über Malware und gehackte Websites - Webmaster-Tools-Hilfe Unten steht unter "Wenn Ihre Website infiziert ist" wie es geht. Link to comment Share on other sites More sharing options...
resend Posted July 9, 2012 Author Report Share Posted July 9, 2012 Danke schonmal!! Das heißt also das ich mein Vierenfreies Shop-Backup bedenkenlos auf den FTP hochladen kann, korrekt? Link to comment Share on other sites More sharing options...
akka1 Posted July 9, 2012 Report Share Posted July 9, 2012 hi ich habe fast das gleiche problem und weiss nicht mehr weiter google hat meine seite gesperrt , jetzt habe ich meine ganze seite gescannt und folgendes gefunen der eintrag soll sich im pfad index.php/anfart ich habe nun seit 2 stunden meinen ftb durchsucht finde den pfad aber nicht und weiss nicht in welcher datei der eintrag ist kann mit irgendjemand sagen wie ich das löschen kann , bin schon am verzweifeln ich habe joomla 2,5 Link to comment Share on other sites More sharing options...
l_k3 Posted July 9, 2012 Report Share Posted July 9, 2012 @resend Also wenn du ein Backup was "sauber" ist wieder auf den Server packst, wird es ohne einen fix der Sicherheitslücke (xss, sql injection was auch immer... ) wohl nur eine Frage der Zeit sein bis es wieder passiert. Link to comment Share on other sites More sharing options...
akka1 Posted July 9, 2012 Report Share Posted July 9, 2012 weiss keiner wie ich die zeile finden kann und löschen , ich finde leider in keinem forum was dazu Link to comment Share on other sites More sharing options...
l_k3 Posted July 9, 2012 Report Share Posted July 9, 2012 Wie schon gesagt, nur den von der Malware angelegten iframe zu entfernen wird wohl kaum was nützen. Ihr müsst die Sicherheitslücke in eurem Script beheben. Link to comment Share on other sites More sharing options...
resend Posted July 9, 2012 Author Report Share Posted July 9, 2012 Und wie soll das funktionieren ? Neuere Version nehmen ? Weil als newbie kann man doch keine Sicherheitslücken selbst raufinden, oder? Anhand von google-webmaster-tools sehe ich nun das Malware in 13 Dateien liegt, was aber eh nichts bringt (wie du sagst), weil es ja scheinbar offene Lücken gibt.. Ist es wahrscheinlich das meine MyQsl-Datenbank ebenfalls betroffen ist, finde dort nämlich nichts besonderes und auch keine neuen Shop-Admins oder ähnliches... ? Link to comment Share on other sites More sharing options...
dimoncss Posted March 13, 2013 Report Share Posted March 13, 2013 sche*ße ich wurde auch gehackt, der hacker hat mein Passwort geändert. vielleicht auch Datenbank geklaut. Ist es so einfach die Shops zu hacken ? wer hat die Sicherheitslücke beim Veyton shon gefunden? meine version veyton 4.0.14 CE wäre echt dankbar für schnelle Rückmeldung. Link to comment Share on other sites More sharing options...
REMIEZ Posted March 14, 2013 Report Share Posted March 14, 2013 Seid ihr euch denn sicher, dass Veyton das Problem/die Sicherheitslücke ist und nicht euer Server? Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.