Hallo, anscheint, hat sich bei mir Schadsoftware eingespielt in meinen Shops. Habt ihr die Datei ind092.php im Hauptordner vom Shop ? Die sieht halt etwas komisch aus. Antivir, Maleware Byte und Defender hab ich über den Rechner laufen lassen. Hier ist nichts zu finden. FTP Passwörter wurden geändert. Ich glaube die Checkout Dateien stimmen auch nicht ? Wie kann ich am beten raus bekommen, welche Dateien geändert wurden ?
das Datum der letzten Bearbeitung kann ein Indiz sein. Ich würde mir eine Vollversion in der genutzten Shopversion besorgen und alles ersetzen. Aber Vorsicht: Die Configure-Dateien sollten erhalten bleiben und wenn man Anpassungen ein eigenes Theme oder Fremdmodule im Einsatz hat, sollten man da auch aufpassen - sonst sind die hinterher weg. Und ganz wichtig: Ändere alle Passwörter!
hmmm verständlich Wollte es als Code hier in die Nachricht einfügen, aber leider ist der Text dann zu lang. Konnte die Nachricht nicht abschicken. Beide Shops haben aber irgendwie anders den Schadcode. Die Datei habe ich im anderen Shop nicht bzw. wird Sie wahrscheinlich anders heißen. Wie bekomme ich jetzt raus welche Datei hier hin gehört und welche nicht ? Vor allem würde ich gerne wissen wie der Code da rein kam. Wie gesagt Antivir, Defender und Maleware byte haben beim Rechner nichts gefunden. Nur ich habe zugriff..... Pishingmails bekommen wir täglich von ebay und Amazon, darum schaue ich da auch immer eher 1000 mal hin als blind auf einen Link zu klicken. FTP Passwort wurde jetzt geändert. Das Problem ist, das wir kein Backup haben das so alt ist . Nur neuere, was uns in dem Fall ja aber nichts bringt.
Fremdmodule haben wir keine. Nur das Paypal Modul. Wäre also maximal das Theme was wir "retten" müssten. Welchen Ordner dürfte ich dann nicht überschreiben, damit ich einfach alles kopieren kann. DANKE !
Falls du Filezilla als FTP Programm nutzt, niemals das Passwort dort abspeichern, sondern immer bei Verwendung reinkopieren oder von Hand eingeben.
ähhhhhhhhm ich benutze Filezilla. Und ja, es ist da auch alles hinterlegt. Also der speichert das doch automatisch direkt ohne das ich was mache. Wenn ich mich einmal einlogge, hat er automatisch in der Verbindung gespeichert. Sind hier Lücken bekannt ? Gerade nochmal geschaut. Wenn ich das Passwort da einmal eingebe, hat er es direkt gespeichert ohne mich auch zu fragen.
Ein Virenproblem hatte ich vor längerer Zeit auch mal bei einen anderen Shopsystem. Der Hoster allinkl. hatte mir damals auch geraten kein Filezilla zu verwenden sondern hat WinSCP empfohlen. Zu der Zeit sollte laut allinkl. Filezilla das Passwort als Klartext gespeichert haben. Ob das noch so ist weiss ich allerdings nicht.
Man sollte bei FileZilla oben unter "Bearbeiten" die "Persönlichen Daten" löschen - nach jeder Verbindung. Dann wird das nicht gespeichert. Zu Deiner Frage welche Ordner / Dateien man sichern sollte: images/ themes/ admin/includes/configure.php includes/configure.php Eventuell den Dateimanager: ResponsiveFilemanager/ Wichtig ist, dass die Vollversion mit Deiner Shopversion übereinstimmt, sonst geht das nicht.
Es ist ein gutes Programm, aber eben nur wenn das Passwort nicht permanent gespeichert ist. Dann können Angreifer genau darüber auf deinen Server und eben Dateien austauschen. Wie man das Passwort auslesen kann, erfährst du hier: (Link nur für registrierte Nutzer sichtbar.) Mach es, wie Barbara es oben beschrieben hat und gebe bei jedem Login das Passwort manuell ein. Ändere es jetzt auf jeden Fall nochmal.
Nur durch Filezilla-Passwortspeicherung fängt man sich noch nichts ein. Dann muss noch ein Trojaner dazukommen auf dem Rechner auf dem Filezilla läuft (oder im selben Netzwerk), damit man Zugriff nehmen kann auf die unverschlüsselten Passwörter von Filezilla. Die Datei die du da gefunden hast scheint mir ein Tool zu sein, um alle möglichen Angriffsvektoren und Zugangsdaten auszuspionieren. Es muss aber nicht zwangsläufig sein, dass dies schon benutzt wurde. Also daher: Datenbank sichern Die Datei umgehend entfernen FTP Passwort ändern Datenbank-Passwort ändern und das übertragen in der configure.php und der admin/configure.php Admin Passwort ändern (ggf. eine Meldung gem. DSGVO: Sicherheitslücke und möglicher Zugriff auf Kundendaten?) Evtl. den kompletten Shop Root über FTP einmal löschen und dann aus einem Vollversion-Installationspaket wiederherstellen (vorher die beiden configure.php sichern) Passwörter von Email-Konten auf deinen Rechnern ändern Firewall-Einstellungen prüfen Antivirus-Programm auf allen Rechnern nach Trojanern suchen lassen. Das als Sofortmaßnahme. Weitergehend musst du herausfinden, die diese Datei in dein System kam. Das kann entweder durch eine Schwachstelle im Shop passiert sein (Shop Core unwahrscheinlich, da Gambio da so sehr drauf achtet, aber Drittanbieter von Modulen kämen in Frage, oder allgemeine Sicherheitslücken im Responsive Dateimanager, dem CKEditor oder in Tools, die Kunden Datei-Uploads ermöglichen), oder halt über FTP. Vielleicht ist auch dein Hoster gehackt worden.
... und du hast Recht - in die checkout_payment.php ist auch was eingebaut. An der Stelle werden offenbar Dateien "nach Hause" geschickt an den Hacker, und er wird darüber informiert, welche Domain er erfolgreich befallen hat. Es werden u.a. Sicherheitslücken durch Fehlkonfigurationen auf dem Server systematisch ausgelesen, nach Konfigurationsdateien gesucht die Passwörter und Zugangsdaten enthalten, ... Von welchem Datum ist die Datei? Vielleicht direkt den Shop offline stellen bis er bereinigt ist....
Weiter oben steht du sollst deine Dateien mit dem aus dem Installationspaket ersetzen... Das ist so nicht ganz korrekt! - hier solltest du den Shop erstmal vom Netz nehmen - dann per FTP alle Dateien auf deinen PC Laden, in einen Ordner welcher direkt auf LW C liegt - dann solltest du die einzelnen Ordner mit einem Installationspaket vergleichen Hier muss erstmal geprüft werden, ob irgendwelche Dateien eingeschleust wurden die da nicht hingehören. Zum vergleichen der Order könnte die Software WinMerge hilfreich sein. Eigentlich sollte man das einen Fachmann machen lassen, sonst geht der Shop wieder live und im nächsten Moment hat man das gleiche Problem wieder. Wichtig wäre auch, welche Tür war auf , damit das passieren konnte.
Hallo, erstmal allen Danke für die Antworten. Wo bekomme ich denn jetzt die "Originaldateien" her ? Ich habe hier im Download immer nur die Service Packs gefunden oder halt sonst die ganz aktuelle Version. Ich bräuchte 4.2.0.0 und 4.0.1.0 also dafür die Originaldateien. Aber bei dem Service Pack fehlen mir ja die Dateien. Dann nützt es ja auch nichts, die Dateien nur auszutauschen ? Wäre dann nicht der sicherere Weg den Kompletten Shop Ordner zu löschen und dann die Originaldateien hochzuladen + die gesicherten Ordner images/ themes/ admin/includes/configure.php includes/configure.php ResponsiveFilemanager/ Hab den Hoster auch schon angeschrieben.
Hall WAF85, du kannst dich beim Support melden, die können dir die Vollversion deiner Shop-Version zur Verfügung stellen und dein Shop kann auch durch Gambio bereinigt werden.
a) Wie Hilke schon sagt, der Support kann dir das Paket zur Verfügung stellen oder unsere Kollegen aus der Auftragsabteilung stellen die Shopversion bei dir wieder her, wobei die fremden Dateien entfernt würden. b) Dieser Hack macht, dass im Bestellvorgang deines Shops statt der normalen Zahlungsweisenseite eine Seite für die Eingabe der Kreditkartendaten aufgerufen wird. Der Kunde trägt seine Daten da ein, das Ding funkt die nach Hause - wo auch immer das ist - eine Bestellung kommt aber nicht zustande. Dafür kauft bald jemand anderes mit den Kreditkartendaten des Kunden ein. c) Einfachste Methode: - Shopverzeichnis auf dem FTP-Server umbenennen - Neues Verzeichnis mit Namen des Shopverzeichnis erstellen - Shopsoftware in das neue Verzeichnis laden - Stück für Stück die oben genannten Verzeichnisse in das neue Verzeichnis kopieren. Aber Achtung: Auch darin könnten sich Schläferdateien befinden, die den Kram dann wieder nachladen. Guck dir also an, was du kopierst. Stelle zudem sicher, dass dein FTP-Passwort geändert und nirgendwo gespeichert wird und dass du nicht doch irgendwo 'n Keylogger o.ä. auf einem Rechner hast, der für Arbeiten am Shop und FTP benutzt wird.
Support hatte ich gestern schon angeschrieben in der Sache. Aber bis jetzt noch keine Rückmeldung. Darum hatte ich gestern noch diesen Beitrag eröffnet.