Schau dir mal folgenden Link an:



Suche mal in den großen Suchmaschinen nach c99 shell.

Was mich noch interessieren würde, wo (Verzeichniss) hast du diese web.php gefunden?

web.php ?

Danke für die Antwort,
auf den Link bin ich gestern auch gestossen, da aber der Teil nach "default_charset" anderst ist und dort (Linkseite) auch keine für mich verständliche Hilfe drinsteht kam ich nicht wirklich weiter.
Die Datei web.php und auch die andere befanden sich im Root-Verzeichnis, also ein Verzeichnis über dem Ordner Shop.

Ich würde gerne wissen, ob das ein erfolgloser Hackversuch war und der Shop noch unverändert ist und welche Vorkehrungen bzw Änderungen ich nun machen muß. Wie finde ich heraus, ob noch andere Dateien verändert oder abgelegt wurden ? Ist die Version 1.3.9 sonst soweit sicher ?
Bei den Administratoren im Shop ist keiner dazugekommen.

Das war wohl eher ein erfolgreicher Hack. Die web.php ist meiner Meinung nach eine
Shell. Die Frage ist ja, was damit bezweckt wird. Da würde ich aber erst den Support
beim Hoster fragen, was die davon halten.

hatte den Support angeschrieben und warte nun auf die Antwort.
Danke nochmal.

Mit was ich jetzt gesehen habe ist es kein hack im Zen Cart Shop sondern ein hack bei dein Hoster.

Bist du auf shared hosting oder ein eigenen VPS oder Dedi?

Solange der Shop nicht infiziert ist bin ich beruhigt, der Rest auf der Homepage ist nicht weiter wichtig und leicht wiederherzustellen.

Es ist Shared Hosting.

Wer dir eine Shell unterschieben kann, kann auch auf deine Shopdateien zugreifen.

genau was jjuno sagt...

Zeit vielleicht ein anderen Hoster zu suchen....

@ jjuno
das stimmt natürlich.

@ eentje
war bisher zufrieden und der kümmert sich bisher recht schnell.

zumindest habe ich regelmässig eine Sicherung des Shops gemacht.

Habe u.a. folgende Hinweise von meinem Hoster erhalten:

" Wenn der Shop die einzige aktive Komponente auf Ihrer Seite ist, bitte nach Sicherheitsupdates umschauen. Bei diesen Angriffen werden meistens alte Sicherheitslücken "ausprobiert" (Script Kiddies). Keine wirkliche Bedrohung, sonder nur lästig. "
" Lese und Schreibrechte so verändern das ein unbeaufsichtigter Schreibzugriff nur auf bestimmte Verzeichnisse erfolgen kann. "

Ich hatte noch im Root-Verzeichnis folgende Daten:
phpinfo.php
sitemap.php

habe diese nun gelöscht. FTP-Passwort und WEB-Passwort geändert.

Weiss aber nicht, ob das nun reicht.

ok... folgendes...

es gibt nur zwei weisen um die dateien in dein hosting zu kriegen.

1) Du hasst auf dein Rechner ein virus/trojaner/keylogger und so mit hat einer deine FTP passwörter bekommen.

2) Dein hoster hat ein Problem und dein stückchen vom Server nicht gut gesichert.

Mit Zen Cart hat dieses nichts zu tun.

Also mal ehrlich, wenn das die Meinung deines Hosters ist, würde ich auf alle Fälle der
Empfehlung von eentje folgen. Was gibt es für einen Grund einen Shop zu hacken, bzw.
den Webspace zu hacken wo einer drauf ist?

Weil einem heranwachsenden langweilig ist, oder eher, weil jemand Kreditkartendaten, Paßwörter etc. abgreifen will? Die Antwort kannst du dir selbst aussuchen.

Ich würde mal auf alle Fälle dieser Empfehlung folgen:



und zusätzlich auch mal mit phpmyadmin in meine Datenbank sehen. Mit dieser Shell,
wird man mehr anstellen können, als andere Leute zu belästigen.

Viel Spaß beim Aufräumen.

@aykatshop,

wie steht es aktuell?

Da der Angriff nicht erfolgreich gegen die Version 1.39x war, würde uns interessieren wie
der Hack gelaufen ist.

War es der Hoster?

Mit einer kurzen Mitteilung würdest du uns allen helfen, dem Team weil Sie einen Ansatzpunkt haben zur Vermeidung, den Anwendern weil wir unseren Webspace auf
diese Schwachstellen überprüfen könnten.

Bitte melde dich.

@ eentje

ich arbeite sowohl vom Geschäft aus als auch von zu Hause aus am Shop also an 2-3 Rechnern abwechselnd (es kann also auch an meinem PC gelegen haben).

Mein Hoster hat Probleme bei sich ausgeschlossen, da sich zudem kein anderer bei ihm mit irgendwelchen Atacken gemeldet hat.
Mein Hoster ist Berlinhosting, der wiederum seine Server bei keyweb stehen hat.

@ jjuno

ich weiss nicht, ob das mein Fehler ist, da ich ja die Dateien phpinfo.php und sitemap.php auf dem obersten Verzeichnis hatte. Und nicht weiss, wie sicher diese vor Angriffen waren (beide zur Zeit gelöscht).
Zudem kann ich auch nicht ausschliessen, ob ich bei dem einen oder anderen Datei die Zugriffsrechte/Schreibrechte falsch gesetzt habe, da man ja immer wieder Änderungen am Shop macht und zugegeben in diesem Bereich Laie ist.
Ohne meinen Fehler auszuschliessen kann ich den Hoster nicht verurteilen, wie gesagt war er über die letzten Jahre immer kooperativ und persönlich erreichbar.
Die meisten Vorschläge von:

hatte ich im voraus schon gemacht.
z.B. 1) 2) 4) 5)
beide configure.php hatten chmod 444
nicht benötigte Admins sind gelöscht
lange Passwörter wurden verwendet

... aber sicherlich dürfte nicht alles optimal sein, da sonst ja kein Angriff stattgefunden hätte. Daher muss ich nach dem Angriff noch einiges Ändern.

Das Kreditkartenmodul wird nicht benutzt.

Abschliessend würde ich webchills bitten sich die Seite anzuschauen, da ich nicht sagen kann, ob es am Hoster an mir oder am Shop lag, wobei ich nicht vermute, daß die Version 1.3.9h unsicher ist.

Nochmals ganz herzlichen Dank an alle.