Maleware-Befall iframe exploit

Simp

Aktives Mitglied
15. Oktober 2012
7
0
Hallo, ich habe seit Heute(?) das Problem, dass direkt am Anfang der Seite im Body Tag mehere Iframes mit dem Aufruf der Seite "http://xmediamobil.org/Lexmark?8" eingefügt werden. Das Problem besteht selbst nach dem Update auf die neuste Shop-Version, sprich dem Überschreiben der älteren Dateien und ich vermute nun eine SQL Injection. Kann das sein? Wie gesagt ist die Index.php sauber.
 

david

Administrator
Mitarbeiter
16. Juli 2010
2.310
170
AW: Maleware-Befall iframe exploit

Wurde das Template ebenfalls komplett überschrieben? Wurden alle Plugins deinstalliert bzw. ebenfalls überschrieben?
Was sagt der Shopdateiencheck?
 

Simp

Aktives Mitglied
15. Oktober 2012
7
0
AW: Maleware-Befall iframe exploit

Hallo david und danke für die schnelle Antwort.
Der Shopdateiencheck meldet so einige modifizierte Dateien, die ich nicht selbst geändert habe, sollten dor alle Dateien auf "ok" stehen? Mein Template habe ich wie in der Beschreibung empfohlen im Benutzerdefinierten Template geändert. Module habe ich abgesehen vom SEO Modul alles std.

Grüße
 

david

Administrator
Mitarbeiter
16. Juli 2010
2.310
170
AW: Maleware-Befall iframe exploit

Der Shopdateiencheck meldet so einige modifizierte Dateien, die ich nicht selbst geändert habe
.
Ja alle bis auf die gepatchten Dateien sollten unmodifiziert sein. Falls nicht, trifft auf die modifizierten Dateien mindestens 1 Kriterium zu:
* Shopdateien wurden nicht im Binärmodus hochgeladen
* Shopdateien wurden nicht vollständig überschrieben
* Shopdateien wurden modifiziert (entweder selbst modifiziert oder durch Malware infiziert)

Mach am besten ein Ticket auf inkl deiner Shop-URL und Zugangsdaten (FTP, Shop-Backend, phpMyAdmin), dann schauen wir genauer nach.
 

Simp

Aktives Mitglied
15. Oktober 2012
7
0
AW: Maleware-Befall iframe exploit

Ticket ist bereits eröffnet, die Daten kann ich gegebenenfalls nachreichen, wenn sich Jemand das Ticket "krallt" :)

PS. Kann ich das Ticket irgendwie noch um die Zugangsdaten ergänzen?
 

david

Administrator
Mitarbeiter
16. Juli 2010
2.310
170
AW: Maleware-Befall iframe exploit

Ursache wurde gefunden: Die Datei /includes/libs/xajax_0.5_standard/xajax_js/xajax_core.js ist im Shop von Simp weiterhin mit der Malware infiziert und weist den Code für das iFrame auf.

Vorgehen in solchen Fällen:
* Eigenen Rechner auf Malware und Viren untersuchen, Malware entfernen.
* FTP-Passwort ändern
* Alle Shopdateien, Templatedateien und Plugin-Dateien neu übertragen und überschreiben.