Bundesamt für Sicherheit in der Informationstechnik

[MarkusT]

hallöchen,

habe heute diese mail bekommen. habe aber selbst am shop nichts geändert:

Sehr geehrte Damen und Herren,

die Webpräsenz Erotikartikel für Sie und Ihn bei xxxxx__xxx.de wurde offenbar von einem Angreifer kompromittiert.

In den HTML-Code der Webseiten wurde schädlicher JavaScript-Code eingefügt, welcher auf folgende URL verweist:
hXXp://5860.in/13___19566.php
(http aus Sicherheitsgründen durch hXXp ersetzt).

Diese URL verweist auf Drive-by-Exploits mit denen versucht wird, ein Trojanisches Pferd auf dem PC des Besuchers der Webseite zu installieren.

Wir möchten Sie bitten, den schädlichen Code umgehend zu entfernen und die vom Angreifer ausgenutzte Sicherheitslücke zu schließen.

Bitte bestätigen Sie den Eingang dieser Nachricht und informieren Sie uns über die von Ihnen getroffenen Maßnahmen.


Mit freundlichen Grüßen
das Team CERT-Bund

Im Auftrag
Thomas Hungenberg

--
Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 - CERT-Bund Godesberger Allee 185-189
D-53175 Bonn
Telefon: +49 (0)228 99 9582 5110
Telefax: +49 (0)228 99 9582 7025=


Fake Mail oder was ist da los?

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

Entfernt mal jemand den link bitte. weis auch net warum der hier auftaucht. das scheint die spam adresse zu sein

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

danke,

udn erotikartikel verkaufe ich auch nicht.. aber egal.

wie finde ich nun diesen eintrag bei mir im shop?

 

[ag-websolutions.de]

AW: Bundesamt für Sicherheit in der Informationstechnik

Warum fragst du nicht direkt mal beim BSI nach

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

Es ist wohl mein FTP gehackt worden.

Mein Betreiber schrieb folgendes:

Es wurden viele Thumbs.db-Dateien hochgeladen, welche ein base64-kodiertes PHP-Skript enthalten.
Diese wurden dann in viele andere PHP-Dateien Ihres Webspace inkludiert.


Hat jemand ne ahnung was ich da jetzt machen kann/ muss?

 

[MBesancon]

AW: Bundesamt für Sicherheit in der Informationstechnik

Die sauberste Lösung?

Sicher deine DB und lösch deine Dateien auf dem Webserver. Ändere alle Passwörter und installiere den Shop neu. Oder du checkst in penibelster Kleinarbeit wo die Dateien liegen und was alles geändert worden ist. Das ist aber meiner Meinung nach beinahe unmöglich.

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

Die Datenbank hab ich ja gesichert. Nur wie mach ich das dann mit dem shop neu aufsetzen wenn die DB schon vorhanden ist?

 

[MBesancon]

AW: Bundesamt für Sicherheit in der Informationstechnik

Installier deinen Shop neu (in der gleichen Version wie vorher) und nachdem alles fertig ist spielst du dein Datenbank-Backup ein. Das kannst du entweder mit einem der zahlreichen Tools machen (phpMyAdmin, MySQLDumper, usw.) oder aber direkt über die Linux-Konsole wenn du hier einen Zugriff hast. Dann hast du neue Dateien die nicht befallen sind und deine alte DB...

 

[Thomas Lisson]

AW: Bundesamt für Sicherheit in der Informationstechnik

Vorher unbedingt die den BLOWFISH KEY aus der includes/config.JTL- Shop.ini.php sichern und im neuen Shop eintragen.

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

oki hab ich auch.

und wie ist das mit den produkten in den shop übertragen? in der datenbank sind diese ja dann schon!

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

hab alles neu gemacht und datenbank überschrieben und den blowfish auch übertragen.

jetzt sieht da noch irgendwelche fehler drinnen bei schrift ect.

Blaulicht Shop

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

Mhh jetzt geht es.

so wir machen ich das jetzt mit den Proudkten/ Produktbildern?

Und was muss ich in der Wawi zwecks zugangsdaten ändern?

 

[Janusch]

AW: Bundesamt für Sicherheit in der Informationstechnik

Es ist wohl mein FTP gehackt worden.

Meist ist es kein Hack, sondern ein Trojaner auf einem Client der FTP Verbindungen ausspäht.

Auf jeden Fall mit aktuellen Virensoftware alle Clients überprüfen.
Sonnst war der Aufwand umsonst.

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

wie auf dem Client? stehe etwas neben mir?

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

Und wegen den Bildern muss ich doch nur machen: webshopabgleich, den shop markieren, so das alle bilder erneut gesedet werden, richtig?

 

[Janusch]

AW: Bundesamt für Sicherheit in der Informationstechnik

Es gab mehrere Trojaner (Viren) die den Computer befallen haben und FTP Daten gesammelt haben, genau für diesen Zweck. BSI hat anscheinend einige Listen der gesammelten Daten bekommen wodurch die Betreiber der Homepage Informiert wurden.

Der Angriff (Ausspähen) ging also nicht über den Webserver, sondern über den Computer zu Hause/Firma. Deshalb sollte man diesen genaustens prüfen, ob dies für den Angriff zutreffend ist.

 

[Janusch]

AW: Bundesamt für Sicherheit in der Informationstechnik

Und wegen den Bildern muss ich doch nur machen: webshopabgleich, den shop markieren, so das alle bilder erneut gesedet werden, richtig?

Auch Haken unten bei den Bildern setzen.

 

[MarkusT]

AW: Bundesamt für Sicherheit in der Informationstechnik

McAfee läuft schon seit 2 Stunden. Bin gespannt. Oder gibts für so fälle noch bessere software?

Hab jetzt unten nur alle Bilder senden gemacht. und nicht den Shop markiert. scheint wohl funktioniert zu haben!

den shop habe ich nicht markiert

 

[nmueller]

AW: Bundesamt für Sicherheit in der Informationstechnik

Wenn McAfee durch ist kannst du es noch mit einem weiteren Virenscanner versuchen, ich würd dir da Housecall von Trendmicro empfehlen.

Trend Micro HouseCall - Kostenloser Online Virus Scanner

Das läuft komplett über den Browser und muss nicht installiert werden, zwei Scanner zu installieren macht gemeinhin keinen Sinn. Und der Rest ist Geschmacksache..

 

[Janusch]

AW: Bundesamt für Sicherheit in der Informationstechnik

An sich ist es egal welche Software man benutzt, diese muss nur die neusten Definitionen haben. Falls von mehreren Rechner auf FTP zugegriffen wurde, müssen alle geprüft werden.