Hallo zusammen, ich habe seit einigen Tagen unseren Webshop in Betrieb. Eine ganze Zeitlang lief der gute Shop dann auch sehr zuverlässig, bis ich eines schönen Tages durch eine Code Injection in der .htaccess böses erwachen feststellen musste. Beim ersten Mal habe ich noch die Datenbank zurück gesichert, den Webshop neu aufgespielt und dann lief es auch wieder. Das ganze hielt leider nur nicht lange an. Das ganze habe ich dann noch ein paar mal gemacht, auch unter Verwendung von neuen Kennwörtern .... Aber immer wieder schaffte es der Trojaner neu auf die Seite, bis ich dann eine .htaccess angelegt haben, die folgenden Inhalt enthält: RewriteEngine on RewriteCond %{QUERY_STRING} http[:%] [NC] RewriteRule .* /------------http----------- [F,NC] RewriteRule http: /---------http----------- [F,NC] Zwar kommt der Trojaner jetzt nicht mehr auf die Seite drauf, bzw kann sich hinterrücks nicht mehr einschleichen, dummerweise funktionieren jetzt ein paar Funktionen vom Shop nicht mehr. So kann ich zum Beispiel im Content Manager keine bilder mehr über den Filemanager aufrufen. Es kommt dann immer die "Keine Berechtigungsseite". Hat jemand eine Idee, was ich in der .htaccess noch einstellen könnte, damit vielleicht diese Funktionen wieder erlaubt sind? Wie habt ihr eure Shops eigentlich abgesichert?
wie schaffte es den der Trojaner an deine .htaccess datei zu kommen? Das wäre doch mal viel interesanter zu wissen...
Ja, das würde ich ja auch mal gerne wissen. Aus dem Log Files des Servers geht dummerweise nichts hervor, zumindest den Log Files, die ich als "User" einsehen kann.
Dann solltest da mal deinen Provider fragen. Ansonsten die .htaccess auf 444 stellen dann sollte er von aussen nicht mehr rankommen. Hast du vorher keine .htaccess rewrite URL verwendet?
Hallo Dennis, vorher hatte ich keine :htaccess, bzw. das, was standartmäßig nach einer Installation von Gambio so vorhanden ist. Meinen lieben Provider frage ich schon, aber von dem bekomme ich leider nur lapidare Hilfe. Wie gesagt, wenn ich die .htaccess mit dem besagten Eintrag rewrite verwende, dann kommt der Trojaner auch nicht mehr aufs System, aber die Funktionen vom Webshop sind eingeschränkt.
nutzt du suchmachienenfreundliche URLs ? Dann hattest du eine .htaccess und an die kommt normal so leicht keiner ran.
nun ja, wir schweifen vom Thema ab. DAs Hauptproblem ist derzeit, dass ich durch die Verwendung der .htaccess Datei im moment keine Bilder über den Filemanager hochladen kann.
das thema ist ja deine .htaccess und du sagst das da der trojaner ran gekommen wäre, und ohne die komplett zu sehen wird dir da wohl kaum einer echt helfen können.
Und dein rewrite code iritiert mich wenn ich das richtig in erinnerung habe sagt der nur das wenn ---------http----------- dann ab ins nirvana. Was soll das bringen? Wo genau soll den der Trojaner eingedrungen sein, wo hat er sich eingenistet
Der Trojaner ist nicht direkt auf die Seite eingedrungen, sondern hat vielmehr im .htaccess File eine Weiterleitung eingebaut, die automatisch auf eine Website führt, wo dann wiederrum ein Trojaner hinterlegt war. Laut meinem Provider soll mir dieses "Script" so helfen, was es offenbar auch tut. http://faq.netclusive.de/80_360_de.html Ich vermute mal, der Filemanager verwendet irgendwelche Direktpfade ...
okay. nu versth ich dich langsam. nu müsste man mal noch rausfinden ber welches formular / Script er zugriff auf deine .htaccess datei nehmen konnte. Hast du sonst nix in der Datei stehen? bzw. hast die Datei so mit dem code im root liegen oder wie dort geschrieben in dem Script Ordner?
Vielleicht nur so´n Tipp: Ich einem ähnlich gelagertem Fall hat sich die Suche nach Trojanern & Co. auf einem Client als Volltrefer erwiesen ... die FTP-Zugangsdaten wurden ausgespäht. Aus die Suche im Server-FTPlog nach verdächtigen IPs waren erfolgreich.
Hallo Manfred, ja, das war auch ein Verdacht von mir, dass irgendwas an meinem Recher ist. Laut Kaspersky ist die Kiste sicher und auf Client-Sicherheit verstehe ich mich zum Glück. Nur mit Internet-Security sind die Erfahrungen etwas lau. Im Log des FTP hatte ich die IP Adressen geprüft. Da standen jedoch nur meinen eigenen IP Adressen zu den verdächtigen Zeitpunkten. Und wie gesagt, sobald die .htaccess entsprechend geändert und eingestellt ist, dann passiert auf dem Webspace auch nichts mehr. Also werden es wohl nicht die FTP Zugangsdaten sein .. sonst würde sich dann dort trotzdem was abspielen. @Dennis.. Die Datei enthält nur den besagten Eintrag, nicht mehr und nicht weniger. Ich habe die Datei in sozusagen jedem Ordner abgelegt, da ich nicht sagen konnte, wo der "Einbruch" möglicherweise passiert und wo überhaupt alle scripte liegen. Ich habe dann heraus gefunden, dass der Filemanger dann funktioniert, wenn die htaccess nicht im root liegt und nicht html\admin\gm\fckeditor liegt. Allerdings muss die htaccess im root liegen!!!!
also normal nimmt der Apache die .htacess datei aus dem obersten Ordner auch mit in alle unteren ordner, man muss die also nicht mehrfach haben. Dann würd ich dir mal raten das du die SEO-URLs nutzt alleine schon wegen den keywords bei google. Dazu brauchst eine rewrite URL in der htacess macht der Shop aber, bzw. sagt dir was er braucht. warum zeigst uns eigentlich nicht mal deinen Shop?
Auf unseren PCs läuft GDATA Internet Sec. Und auf dem Kunden-PC das Antivir, weil es so schöne ALARM Meldungen bringt die die Kunden kennen wenn sie einen USB Stick einstecken. ps. Wenn dann aber Kunden hast die bei nem Virenalarm sagen: Ja das hab ich daheim auch die Meldung. Klicken Sie ignorieren, dann geht es. Dann Gute Nacht Deutschland.....
http://www.heise.de/ct/artikel/Kostenlos-virenlos-1003507.html http://www.heise.de/download/avast-pro-antivirus-1120773.html Der blöde McAfee ist ja auch ziemlich beliebt. Brauchste halt viel Rechenpower, um den mal mitlaufen zu lassen. Hatte auf meinem alten Laptop übrigens auch einiges an Malware drauf, nicht jeder Scanner hat auch alles erkannt.