Webseite gehackt?

Hallo,

ich habe ein Problem und bin nun seit zwei Tagen auf der Suche nach einer Lösung. Leider komme ich nicht mehr weiter.

Folgendes ist passiert:
Ich ahbe einen Onlineshop und am Mittwoch gegen halb 12 ist der Warenkorb komplett ausgefallen, es wurde eine 404 Seite angezeigt.
Nach 2 Stunden Recherche auf dem FTP ist mir aufgefallen, dass eine Kerndatei des Shops, die checkout.php in checkout.php.suspected umbenannt wurde.
Nachdem ich die Datei wieder umbenannt habe, ging auch der Shop wieder.
Ich meldete dies dem Hoster, welcher mir kurzerhand die Seite sperrte, da Schadcode gefunden wurde.
Ich habe dann sämtliche schädlichen Dateien entfernt und dies wurde vom Hoster neu geprüft. Es wurde kein Schadcode mehr gefunden und die Seite wurde nach 20 Minuten Sperrung wieder freigegeben.
Ich scante die Seite mit mehreren Tools und alles ist clean.

Am nächsten Morgen dann die Ernüchterung. Wieder ging der Warenkorb nicht. Ich sah, dass die checkout.php wieder umbenannt wurde.
Dies habe ich wieder geändert und es lief wieder.
Zusätzlich prüfte ich alle Dateien mit Schadcode, die ich am Tag zuvor entfernt habe. Diese waren alle weiterhin gelöscht bis auf eine Datei im Root Verzeichniss. Eine option.php mit kryptischen Code, den ich nicht lesen kann.

Ich habe die option.php gelöscht. Nach ein paar Stunden war sie wieder da. Wieder gelöscht, aber sie kam immer wieder. Nach Beobachtungen, wird diese datei alle 2 Stunden erstellt.
Die Datei checkout.php wird ca alle 12 Stunden, zwischen 11 und 11:30 und 23:00 und 23:30 Uhr umbenannt.

Wir haben einen Managed Server von HostEurope. Dort gibt man mir nur die Auskunft, dass man nicht weiß was dies verursacht.

Frage ist nun, kann mir jemand bei dem Problem helfen, ich komme leider nicht mehr wirklich voran.

Noch einmal zusammengefasst was ich beobachten konnte:
- Die option.php wird etwa alle zwei Stunden neu erstellt, wenn ich sie gelöscht habe.
- die checkout.php wird etwa alle 12 Stunden in checkout.php.suspected umbenannt.
- die sender.php wird alle 12 Stunden in sender.php.suspected umbenannt (diese Datei ist für den Newsletterversand vom Shop, welches nicht genutzt wird, hat keinen Einfluss auf den Bestellprozess)

Ich habe gemacht:
- Alle vom Hoster als schädlich deklarierten Dateien gelöscht
- Scan vom hoster und mit diversen Onlinetools - alles clean
- Download der Shopdateien und scanen mit Kaspersky - keine Ergebnisse
- Durchsuchen der Shopdateien nach Schnipsel des Codes der verseuchten options.php - keine Ergebnisse
- Google nach .php.suspected, die Ergebnisse mit dem gehackten Wordpressblogs bringen mich nicht voran
- Google nach dem Code aus der options.php brachte eine Seite zum Vorschein, wo der Code übersetzt wurde. Im Kommentar steht Albanian Hackers (also auf der Webseite wo man den Code übersetzen lassen kann), der Rest ist wirrer Quellcode
- die betroffenen Kerndateien des Shops wurden aus einem frischen Installationszip überschrieben - kein Erfolg



Ich freue mich auf eure Hilfen (bitte!)
 
Zuletzt bearbeitet:
- Welche Shop-Software in welcher Version nutzt du? Gibt es eventuell neuere Versionen? Wenn ja -> Updaten!
- Kannst du bitte die Links posten, die du bereits gefunden hast?
- Hast du SSH-Zugriff auf den Server? Wenn ja, dann durchsuche doch mal die Logs nach auffälligen Requests und Aktionen zum Zeitpunkt der Erstellung der option.php. Falls du keine Requests findest, wird der Schädling sich vermutlich schon im System befinden. Dann hast du zwei Möglichkeiten: "Search & Destroy" oder Neuinstallation des gesamten Systems (Empfohlen!) bzw. Herstellen eines Backups, indem diese Probleme noch nicht auftraten. Letztes kannst du mit ersterem kombinieren, indem du die Änderungen zwischen Backup und infizierter Maschine vergleichst und möglicherweise infizierte Dateien untersuchst oder sie hier zur Verfügung stellst.
- Die Umbenennung der beiden anderen Dateien ist vermutlich eine Aktion des Virenscanners, der alle 12 Stunden einmal die Festplatte scannt.
- Veranlasse bei Host Europe die Installation eines HIDS-Systems (Host Intrusion Detection System), das die Dateien hinsichtlich Veränderungen überwacht und jegliche Schreibzugriffe auf diese Dateien loggt. Ebenfalls sollte ein NIDS-System (Network Intrusion ...) installiert werden, das verdächtige Requests loggt und diese ggf. direkt dir oder einem Administrator meldet.
 
Zuletzt bearbeitet:
Hallo,

danke für deine Meldung.

- Shopware 4.3.6 - das ist die aktuellste version von Shopware 4. Gibt Shopware 5, doch ein Update darauf ist derzeit noch nicht möglich.
- zB hier https://wordpress.org/support/topic/link-templatephpsuspected oder php.suspected Hack oder hier auch sehr interessant linux - php file automatically renamed to php.suspected - Stack Overflow
- SSH Zugriff haben wir leider nicht. Ich bin die Logfiles auch durchgegangen, mir ist nichts aufgefallen, an der Masse ist es aber auch leicht etwas zu übersehen.

Wichtig: Normalerweise hätte zwischen 11 und 11:30 Uhr heute die Dateien wieder umbenannt werden müssen, dies blieb aus.
Auch die option.php ist seit gut 2,5 Stunden unverändert.

Ich hatte heute morgen (10 Uhr), eine leere option.php erstellt und die Rechte der Datei auf 000 gesetzt.
Dies war die letzte Änderung im gesamten Verzeichnis, also erst einmal eine gute Entwicklung. Allerdings möchte ich gerne den Part finden, der für die Erstellung der options.php verantwortlich ist.
 
Ok, das Problem scheint behoben zu sein.
Dadurch, dass ich die options.php mit 0 Rechten ausgestattet habe, kam es im Error Log zu Fehlermeldungen, da auf die Datei versucht wurde zuzugreifen.
Dies führte noch zu einer author.php in einem Wordpress-Template, wo gut versteckt noch Schadcode vorhanden.

Im Accesslog schaute ich noch nach ähnlichen aufrufen wie auf die author.php und options.php.
Es waren insgesamt 22 IP Adressen die diese Dateien aufruften, diese wurden alle mittels der htaccess blockiert, seit dem ist Ruhe.

Morgen werde ich schauen, ob neue IP Adressen versuchen auf die Dateien zuzugreifen.

Wie ist das beste Vorgehen jetzt eurer Meinung? Die Dateien sind alle gelöscht, wie halte ich den Traffic mit höchstwahrscheinlich wechselnden IP Adressen nun fern?

Beste Grüße
 
Du hast mehrere Möglichkeiten, z.B.
- htaccess
- NIDS mit Active Defense (z.B. Snort)
- fail2ban
- ...

Allerdings löst es das Problem nicht, dass bislang nicht bekannt ist, wie diese Dateien überhaupt angelegt wurden und ob sich dort möglicherweise noch andere Malware befindet, die der Angreiferin Zugriff auf das System ermöglicht. Bislang hast du nur Symptome bekämpft, nicht aber die Ursachen des Problems.

Auch kannst du dir nicht sicher sein, ob nicht noch andere Dateien in deinem shopware-System davon betroffen sind. Wenn die Administratoren nicht fähig sind, die Malware restlos zu entfernen, ist eine leider Neuinstallation unausweichlich. Darüber hinaus würde ich mich in diesem Fall auch gleich nach einem neuen Hoster umsehen.
 
Zuletzt bearbeitet:
Zurück
Oben