Hallo,
ich habe ein Problem und bin nun seit zwei Tagen auf der Suche nach einer Lösung. Leider komme ich nicht mehr weiter.
Folgendes ist passiert:
Ich ahbe einen Onlineshop und am Mittwoch gegen halb 12 ist der Warenkorb komplett ausgefallen, es wurde eine 404 Seite angezeigt.
Nach 2 Stunden Recherche auf dem FTP ist mir aufgefallen, dass eine Kerndatei des Shops, die checkout.php in checkout.php.suspected umbenannt wurde.
Nachdem ich die Datei wieder umbenannt habe, ging auch der Shop wieder.
Ich meldete dies dem Hoster, welcher mir kurzerhand die Seite sperrte, da Schadcode gefunden wurde.
Ich habe dann sämtliche schädlichen Dateien entfernt und dies wurde vom Hoster neu geprüft. Es wurde kein Schadcode mehr gefunden und die Seite wurde nach 20 Minuten Sperrung wieder freigegeben.
Ich scante die Seite mit mehreren Tools und alles ist clean.
Am nächsten Morgen dann die Ernüchterung. Wieder ging der Warenkorb nicht. Ich sah, dass die checkout.php wieder umbenannt wurde.
Dies habe ich wieder geändert und es lief wieder.
Zusätzlich prüfte ich alle Dateien mit Schadcode, die ich am Tag zuvor entfernt habe. Diese waren alle weiterhin gelöscht bis auf eine Datei im Root Verzeichniss. Eine option.php mit kryptischen Code, den ich nicht lesen kann.
Ich habe die option.php gelöscht. Nach ein paar Stunden war sie wieder da. Wieder gelöscht, aber sie kam immer wieder. Nach Beobachtungen, wird diese datei alle 2 Stunden erstellt.
Die Datei checkout.php wird ca alle 12 Stunden, zwischen 11 und 11:30 und 23:00 und 23:30 Uhr umbenannt.
Wir haben einen Managed Server von HostEurope. Dort gibt man mir nur die Auskunft, dass man nicht weiß was dies verursacht.
Frage ist nun, kann mir jemand bei dem Problem helfen, ich komme leider nicht mehr wirklich voran.
Noch einmal zusammengefasst was ich beobachten konnte:
- Die option.php wird etwa alle zwei Stunden neu erstellt, wenn ich sie gelöscht habe.
- die checkout.php wird etwa alle 12 Stunden in checkout.php.suspected umbenannt.
- die sender.php wird alle 12 Stunden in sender.php.suspected umbenannt (diese Datei ist für den Newsletterversand vom Shop, welches nicht genutzt wird, hat keinen Einfluss auf den Bestellprozess)
Ich habe gemacht:
- Alle vom Hoster als schädlich deklarierten Dateien gelöscht
- Scan vom hoster und mit diversen Onlinetools - alles clean
- Download der Shopdateien und scanen mit Kaspersky - keine Ergebnisse
- Durchsuchen der Shopdateien nach Schnipsel des Codes der verseuchten options.php - keine Ergebnisse
- Google nach .php.suspected, die Ergebnisse mit dem gehackten Wordpressblogs bringen mich nicht voran
- Google nach dem Code aus der options.php brachte eine Seite zum Vorschein, wo der Code übersetzt wurde. Im Kommentar steht Albanian Hackers (also auf der Webseite wo man den Code übersetzen lassen kann), der Rest ist wirrer Quellcode
- die betroffenen Kerndateien des Shops wurden aus einem frischen Installationszip überschrieben - kein Erfolg
Ich freue mich auf eure Hilfen (bitte!)
ich habe ein Problem und bin nun seit zwei Tagen auf der Suche nach einer Lösung. Leider komme ich nicht mehr weiter.
Folgendes ist passiert:
Ich ahbe einen Onlineshop und am Mittwoch gegen halb 12 ist der Warenkorb komplett ausgefallen, es wurde eine 404 Seite angezeigt.
Nach 2 Stunden Recherche auf dem FTP ist mir aufgefallen, dass eine Kerndatei des Shops, die checkout.php in checkout.php.suspected umbenannt wurde.
Nachdem ich die Datei wieder umbenannt habe, ging auch der Shop wieder.
Ich meldete dies dem Hoster, welcher mir kurzerhand die Seite sperrte, da Schadcode gefunden wurde.
Ich habe dann sämtliche schädlichen Dateien entfernt und dies wurde vom Hoster neu geprüft. Es wurde kein Schadcode mehr gefunden und die Seite wurde nach 20 Minuten Sperrung wieder freigegeben.
Ich scante die Seite mit mehreren Tools und alles ist clean.
Am nächsten Morgen dann die Ernüchterung. Wieder ging der Warenkorb nicht. Ich sah, dass die checkout.php wieder umbenannt wurde.
Dies habe ich wieder geändert und es lief wieder.
Zusätzlich prüfte ich alle Dateien mit Schadcode, die ich am Tag zuvor entfernt habe. Diese waren alle weiterhin gelöscht bis auf eine Datei im Root Verzeichniss. Eine option.php mit kryptischen Code, den ich nicht lesen kann.
Ich habe die option.php gelöscht. Nach ein paar Stunden war sie wieder da. Wieder gelöscht, aber sie kam immer wieder. Nach Beobachtungen, wird diese datei alle 2 Stunden erstellt.
Die Datei checkout.php wird ca alle 12 Stunden, zwischen 11 und 11:30 und 23:00 und 23:30 Uhr umbenannt.
Wir haben einen Managed Server von HostEurope. Dort gibt man mir nur die Auskunft, dass man nicht weiß was dies verursacht.
Frage ist nun, kann mir jemand bei dem Problem helfen, ich komme leider nicht mehr wirklich voran.
Noch einmal zusammengefasst was ich beobachten konnte:
- Die option.php wird etwa alle zwei Stunden neu erstellt, wenn ich sie gelöscht habe.
- die checkout.php wird etwa alle 12 Stunden in checkout.php.suspected umbenannt.
- die sender.php wird alle 12 Stunden in sender.php.suspected umbenannt (diese Datei ist für den Newsletterversand vom Shop, welches nicht genutzt wird, hat keinen Einfluss auf den Bestellprozess)
Ich habe gemacht:
- Alle vom Hoster als schädlich deklarierten Dateien gelöscht
- Scan vom hoster und mit diversen Onlinetools - alles clean
- Download der Shopdateien und scanen mit Kaspersky - keine Ergebnisse
- Durchsuchen der Shopdateien nach Schnipsel des Codes der verseuchten options.php - keine Ergebnisse
- Google nach .php.suspected, die Ergebnisse mit dem gehackten Wordpressblogs bringen mich nicht voran
- Google nach dem Code aus der options.php brachte eine Seite zum Vorschein, wo der Code übersetzt wurde. Im Kommentar steht Albanian Hackers (also auf der Webseite wo man den Code übersetzen lassen kann), der Rest ist wirrer Quellcode
- die betroffenen Kerndateien des Shops wurden aus einem frischen Installationszip überschrieben - kein Erfolg
Ich freue mich auf eure Hilfen (bitte!)
Zuletzt bearbeitet: