Schadsoftware im Onlineshop :-(

Thema wurde von Anonymous, 2. Dezember 2020 erstellt.

  1. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    Hallo,

    anscheint, hat sich bei mir Schadsoftware eingespielt in meinen Shops. Habt ihr die Datei ind092.php im Hauptordner vom Shop ?

    Die sieht halt etwas komisch aus.

    Antivir, Maleware Byte und Defender hab ich über den Rechner laufen lassen. Hier ist nichts zu finden. FTP Passwörter wurden geändert.

    Ich glaube die Checkout Dateien stimmen auch nicht ? Wie kann ich am beten raus bekommen, welche Dateien geändert wurden ?
     

    Anhänge:

  2. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.583
    Danke erhalten:
    1.483
    Danke vergeben:
    961
    ind092.php habe ich nicht bei mir.

    Deine Dateien möchte ich aber auch nicht öffnen :)
     
  3. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    33.569
    Danke erhalten:
    10.414
    Danke vergeben:
    1.498
    das Datum der letzten Bearbeitung kann ein Indiz sein.

    Ich würde mir eine Vollversion in der genutzten Shopversion besorgen und alles ersetzen.
    Aber Vorsicht:
    Die Configure-Dateien sollten erhalten bleiben und wenn man Anpassungen ein eigenes Theme oder Fremdmodule im Einsatz hat, sollten man da auch aufpassen - sonst sind die hinterher weg.

    Und ganz wichtig: Ändere alle Passwörter!
     
  4. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    hmmm verständlich :)

    Wollte es als Code hier in die Nachricht einfügen, aber leider ist der Text dann zu lang. Konnte die Nachricht nicht abschicken.

    Beide Shops haben aber irgendwie anders den Schadcode. Die Datei habe ich im anderen Shop nicht bzw. wird Sie wahrscheinlich anders heißen. Wie bekomme ich jetzt raus welche Datei hier hin gehört und welche nicht ?

    Vor allem würde ich gerne wissen wie der Code da rein kam. Wie gesagt Antivir, Defender und Maleware byte haben beim Rechner nichts gefunden. Nur ich habe zugriff.....

    Pishingmails bekommen wir täglich von ebay und Amazon, darum schaue ich da auch immer eher 1000 mal hin als blind auf einen Link zu klicken. FTP Passwort wurde jetzt geändert. Das Problem ist, das wir kein Backup haben das so alt ist . Nur neuere, was uns in dem Fall ja aber nichts bringt.
     
  5. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    Fremdmodule haben wir keine. Nur das Paypal Modul.
    Wäre also maximal das Theme was wir "retten" müssten. Welchen Ordner dürfte ich dann nicht überschreiben, damit ich einfach alles kopieren kann.

    DANKE !
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. November 2015
    Beiträge:
    2.466
    Danke erhalten:
    396
    Danke vergeben:
    1.173
    Falls du Filezilla als FTP Programm nutzt, niemals das Passwort dort abspeichern, sondern immer bei Verwendung reinkopieren oder von Hand eingeben.
     
  7. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    ähhhhhhhhm ich benutze Filezilla. Und ja, es ist da auch alles hinterlegt. Also der speichert das doch automatisch direkt ohne das ich was mache. Wenn ich mich einmal einlogge, hat er automatisch in der Verbindung gespeichert.

    Sind hier Lücken bekannt ?


    Gerade nochmal geschaut. Wenn ich das Passwort da einmal eingebe, hat er es direkt gespeichert ohne mich auch zu fragen.
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    23. Januar 2020
    Beiträge:
    88
    Danke erhalten:
    43
    Danke vergeben:
    60
    Ein Virenproblem hatte ich vor längerer Zeit auch mal bei einen anderen Shopsystem. Der Hoster allinkl. hatte mir damals auch geraten kein Filezilla zu verwenden sondern hat WinSCP empfohlen.

    Zu der Zeit sollte laut allinkl. Filezilla das Passwort als Klartext gespeichert haben. Ob das noch so ist weiss ich allerdings nicht.
     
  9. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    33.569
    Danke erhalten:
    10.414
    Danke vergeben:
    1.498
    Man sollte bei FileZilla oben unter "Bearbeiten" die "Persönlichen Daten" löschen - nach jeder Verbindung.
    Dann wird das nicht gespeichert.

    Zu Deiner Frage welche Ordner / Dateien man sichern sollte:
    images/
    themes/
    admin/includes/configure.php
    includes/configure.php

    Eventuell den Dateimanager:
    ResponsiveFilemanager/

    Wichtig ist, dass die Vollversion mit Deiner Shopversion übereinstimmt, sonst geht das nicht.
     
  10. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. November 2015
    Beiträge:
    2.466
    Danke erhalten:
    396
    Danke vergeben:
    1.173
    #10 Anonymous, 2. Dezember 2020
    Zuletzt bearbeitet: 2. Dezember 2020
    Es ist ein gutes Programm, aber eben nur wenn das Passwort nicht permanent gespeichert ist. Dann können Angreifer genau darüber auf deinen Server und eben Dateien austauschen. Wie man das Passwort auslesen kann, erfährst du hier: (Link nur für registrierte Nutzer sichtbar.)

    Mach es, wie Barbara es oben beschrieben hat und gebe bei jedem Login das Passwort manuell ein. Ändere es jetzt auf jeden Fall nochmal.
     
  11. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. November 2015
    Beiträge:
    2.466
    Danke erhalten:
    396
    Danke vergeben:
    1.173
    Vielleicht hilft dir dieser Link weiter: (Link nur für registrierte Nutzer sichtbar.)
     
  12. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.547
    Danke erhalten:
    1.000
    Danke vergeben:
    866
    #12 Anonymous, 2. Dezember 2020
    Zuletzt bearbeitet: 3. Dezember 2020
    Nur durch Filezilla-Passwortspeicherung fängt man sich noch nichts ein. Dann muss noch ein Trojaner dazukommen auf dem Rechner auf dem Filezilla läuft (oder im selben Netzwerk), damit man Zugriff nehmen kann auf die unverschlüsselten Passwörter von Filezilla.

    Die Datei die du da gefunden hast scheint mir ein Tool zu sein, um alle möglichen Angriffsvektoren und Zugangsdaten auszuspionieren. Es muss aber nicht zwangsläufig sein, dass dies schon benutzt wurde. Also daher:

    • Datenbank sichern
    • Die Datei umgehend entfernen
    • FTP Passwort ändern
    • Datenbank-Passwort ändern und das übertragen in der configure.php und der admin/configure.php
    • Admin Passwort ändern
    • (ggf. eine Meldung gem. DSGVO: Sicherheitslücke und möglicher Zugriff auf Kundendaten?)
    • Evtl. den kompletten Shop Root über FTP einmal löschen und dann aus einem Vollversion-Installationspaket wiederherstellen (vorher die beiden configure.php sichern)
    • Passwörter von Email-Konten auf deinen Rechnern ändern
    • Firewall-Einstellungen prüfen
    • Antivirus-Programm auf allen Rechnern nach Trojanern suchen lassen.

    Das als Sofortmaßnahme.

    Weitergehend musst du herausfinden, die diese Datei in dein System kam. Das kann entweder durch eine Schwachstelle im Shop passiert sein (Shop Core unwahrscheinlich, da Gambio da so sehr drauf achtet, aber Drittanbieter von Modulen kämen in Frage, oder allgemeine Sicherheitslücken im Responsive Dateimanager, dem CKEditor oder in Tools, die Kunden Datei-Uploads ermöglichen), oder halt über FTP. Vielleicht ist auch dein Hoster gehackt worden.
     
  13. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.547
    Danke erhalten:
    1.000
    Danke vergeben:
    866
    #13 Anonymous, 2. Dezember 2020
    Zuletzt bearbeitet: 3. Dezember 2020
    ... und du hast Recht - in die checkout_payment.php ist auch was eingebaut. An der Stelle werden offenbar Dateien "nach Hause" geschickt an den Hacker, und er wird darüber informiert, welche Domain er erfolgreich befallen hat. Es werden u.a. Sicherheitslücken durch Fehlkonfigurationen auf dem Server systematisch ausgelesen, nach Konfigurationsdateien gesucht die Passwörter und Zugangsdaten enthalten, ...

    Von welchem Datum ist die Datei? Vielleicht direkt den Shop offline stellen bis er bereinigt ist....
     
  14. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.547
    Danke erhalten:
    1.000
    Danke vergeben:
    866
    Aus der Ukraine kommt der Angriff bei dir:

    (Link nur für registrierte Nutzer sichtbar.)
     
  15. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.547
    Danke erhalten:
    1.000
    Danke vergeben:
    866
    Was für eine Shopversion hast du denn? Vielleicht eine ältere Sicherheitslücke nicht geschlossen?
     
  16. FRAGO

    FRAGO Erfahrener Benutzer

    Registriert seit:
    5. Dezember 2019
    Beiträge:
    778
    Danke erhalten:
    242
    Danke vergeben:
    99
    Weiter oben steht du sollst deine Dateien mit dem aus dem Installationspaket ersetzen... Das ist so nicht ganz korrekt!

    - hier solltest du den Shop erstmal vom Netz nehmen
    - dann per FTP alle Dateien auf deinen PC Laden, in einen Ordner welcher direkt auf LW C liegt
    - dann solltest du die einzelnen Ordner mit einem Installationspaket vergleichen

    Hier muss erstmal geprüft werden, ob irgendwelche Dateien eingeschleust wurden die da nicht hingehören.

    Zum vergleichen der Order könnte die Software WinMerge hilfreich sein. Eigentlich sollte man das einen Fachmann machen lassen, sonst geht der Shop wieder live und im nächsten Moment hat man das gleiche Problem wieder.

    Wichtig wäre auch, welche Tür war auf , damit das passieren konnte.
     
  17. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    Hallo, erstmal allen Danke für die Antworten.

    Wo bekomme ich denn jetzt die "Originaldateien" her ? Ich habe hier im Download immer nur die Service Packs gefunden oder halt sonst die ganz aktuelle Version. Ich bräuchte 4.2.0.0 und 4.0.1.0 also dafür die Originaldateien. Aber bei dem Service Pack fehlen mir ja die Dateien.

    Dann nützt es ja auch nichts, die Dateien nur auszutauschen ? Wäre dann nicht der sicherere Weg den Kompletten Shop Ordner zu löschen und dann die Originaldateien hochzuladen + die gesicherten Ordner
    images/
    themes/
    admin/includes/configure.php
    includes/configure.php

    ResponsiveFilemanager/

    Hab den Hoster auch schon angeschrieben.
     
  18. Hilke (Gambio)

    Hilke (Gambio) Super-Moderator
    Mitarbeiter

    Registriert seit:
    18. Mai 2015
    Beiträge:
    169
    Danke erhalten:
    75
    Danke vergeben:
    126
    Hall WAF85,

    du kannst dich beim Support melden, die können dir die Vollversion deiner Shop-Version zur Verfügung stellen und dein Shop kann auch durch Gambio bereinigt werden.
     
  19. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    2. Mai 2012
    Beiträge:
    388
    Danke erhalten:
    163
    Danke vergeben:
    93
    a) Wie Hilke schon sagt, der Support kann dir das Paket zur Verfügung stellen oder unsere Kollegen aus der Auftragsabteilung stellen die Shopversion bei dir wieder her, wobei die fremden Dateien entfernt würden.

    b) Dieser Hack macht, dass im Bestellvorgang deines Shops statt der normalen Zahlungsweisenseite eine Seite für die Eingabe der Kreditkartendaten aufgerufen wird. Der Kunde trägt seine Daten da ein, das Ding funkt die nach Hause - wo auch immer das ist - eine Bestellung kommt aber nicht zustande. Dafür kauft bald jemand anderes mit den Kreditkartendaten des Kunden ein.

    c) Einfachste Methode:
    - Shopverzeichnis auf dem FTP-Server umbenennen
    - Neues Verzeichnis mit Namen des Shopverzeichnis erstellen
    - Shopsoftware in das neue Verzeichnis laden
    - Stück für Stück die oben genannten Verzeichnisse in das neue Verzeichnis kopieren. Aber Achtung: Auch darin könnten sich Schläferdateien befinden, die den Kram dann wieder nachladen. Guck dir also an, was du kopierst.

    Stelle zudem sicher, dass dein FTP-Passwort geändert und nirgendwo gespeichert wird und dass du nicht doch irgendwo 'n Keylogger o.ä. auf einem Rechner hast, der für Arbeiten am Shop und FTP benutzt wird.
     
  20. Anonymous

    Anonymous Mitglied

    Registriert seit:
    2. Dezember 2020
    Beiträge:
    9
    Danke erhalten:
    0
    Danke vergeben:
    3
    Support hatte ich gestern schon angeschrieben in der Sache. Aber bis jetzt noch keine Rückmeldung. Darum hatte ich gestern noch diesen Beitrag eröffnet.