Neu Index.php komsicher Code

[Erzengel]

Hallo

ich habe ein echt großes Problem in meiner index,php ist ein komischer Code eingebetet wen ich ihn entferne ist er in ca 24 stunden wieder da und ich weiß leider nicht wo der herkommt und was ich machen kann um das es so bleibt.
Leider habe ich kein sauberes Backup da.
Und neu auf setzten möchte ich sie nicht unbedingt da die WAWI und das POS mit eingebunden ist
Hatte vor kurzem eine Phishing und seit dem ist das so und nur die Shop Seite ist davon betroffen.
Das ist die Seite die betroffen ist
https://shop-aeg.de/

ich würde mich freuen wenn ihr mir helfen könnt

Gruß Alex

 

[forumjtlolshopag]

Du kannst dir nicht sicher sein, das dein Rechner infiziert ist, deshalb am besten erstmal Bearbeitungen auf einem anderne Rechner durchführen. Zudem solltest du die FTP und Hosting Zugangsdaten ändern, die Seite für Besucher offline schalten und dann über den Shopcheck(System->Wartung->Status) erstmal die intigrietät des Shopsystems prüfen. Es reicht zu, das mindestens eine PHP Datei infiziert ist um andere wieder neu zu "infizieren".
Der Check sollte dir veränderte Dateien auflisten die du dir dann anschauen solltest. Desweiteren solltes du die Unterordner auch noch nach fremden PHP Dateien absuchen, die man ggf. von außen erreichen kann.

Ich hoffe das Shopsystem ist auch aktuell, nicht das darüber auch Lücken für ähnliche Angriffe ausgenutzt werden können.

 

[Erzengel]

Danke für deine Antwort

wie erkenne ich denn fremde PHP dateien denn ich kenne nicht alle dateien die da sein müssen oder sollten so weit bin ich da nicht bewandert
Passwörter sind schon geändert.
den Rest bekomme ich hin

gruß Alex

 

[hula1499]

Was für einen komischen Provider hast du denn, der keine Backups macht?
Vorallem wenns ne injection war, hast das auch in der DB...

Shopdateincheck in der Admin
Lad dir die Version vom Shop runter, frisch von JTL und vergleich die DAtein/Ordner -> ALLE! datein und nat. Ordner
Dateinvergleich noch zusätzlich zwischen Original und Rechner (Inhalte, Grösse etc, Timestamp allein hilft nicht)
DB überprüfen nach neuen Tabellen
Hast WP aufn Server? Die schöntes Einstiegsquelle für Auto-Scripts, sofern WP nicht aktuell ist (oder Plugins).

 

[Erzengel]

Hallo Hula1499

ich habe keine server ich habe nur WEB Space und das Backup muss ich alleine machen und bis jetzt hatte ich nie Probleme damit gehabt

 

[Erzengel]

So nun habe ich die Situation das ich unter admin/class eine Index.php befindet und ich weis nicht weiß ob sie dahin gehört oder nicht

gruß Alex

 

[hula1499]

bis jetzt

Jo, das ging uns allen irgendwann mal so... bis jetzt

Hättest du gemacht, was ich dir aufgezählt hatte, würdest du wissen, ob die index.php dort hingehört oder nicht.

Lad dir die Version vom Shop runter, frisch von JTL und vergleich die DAtein/Ordner -> ALLE! datein und nat. Ordner

 

[Erzengel]

ich glaube da bin ich schneller wenn ich den Shop neu auf setzte

 

[hula1499]

Vermutlich, aber auch bedenken, dass vielleicht auch die DB was abbekommen haben könnte...

 

[Erzengel]

Die Db würde dann auch neu gemacht werden das ist völlig logidsch

trozdem danke für eure hilfe