Der Kaspersky Virenscanner hat in meinem 3er-Shop im Ordner engine/Shopware/Plugins/Default/Backend/Menu eine Datei namens LICESNE.php gefunden und als Trojanisches-Programm namens „Backdoor.PHP.PhpShell.dj“ identifiziert. Wer kann was dazu sagen!?
Zeig doch mal den Inhalt. Viele Grüße
Hier ein Screenshot der ersten 71 von 1585 Zeilen als Bilddatei: Was sagen die Experten und wie kommt die Datei da hin!?
Sieht nach einer Web-Shell… Nicht gut.
Welche Möglichkeiten gibt es, den Urheber und die Absicht dieser Aktion ausfindig zu machen!?
Hi waldicom, kannst du etwas genauer dazu sagen? ich finde das thema sehr interessant, woran erkennst du das es ein webshell ist? Hab mal die Suche bemueht (nach der licesne.php), und sieht aus das ein Backdoor auf deinem Server installiert ist, mit dem der Hacker sämtlichen Zugriff auf deine Dateien hat, schau mal hier: http://blog.sucuri.net/2013/08/more-cre … typos.html (angabe ohne gewähr, bin kein profi) Wegen dem Urheber, da muesste man was in den Serverlogs sehen
Da hat Waldicom recht, es handelt sich dabei um die WSO Web Shell.
Wer Interesse an Informationen zu der “Shell” hat, sollte mal nach wsologin() googeln, aber aufpassen, auf welche Seiten er anschließend geht. Falls es ein Server ist, muss dieser auf jeden Fall “bereinigt” werden. Wie genau die Hacker auf den Server gekommen sind, lässt sich schwer sagen. Es könnte über andere Software auf dem Server und dort enthaltene Sicherheistlücken geschehen sein (oder in Shopware) oder über FTP und den eigenen Rechner…
Hi HTH, was richtet das Programm den aus? Greift es Daten ab? Grüße
An deiner Stelle würde ich hier ganz schnell Handeln, bevor es dein Provider macht. Wenn es sich dabei tatsächlich um eine Shell handelt, hast du ein Problem. Hier kommst du als Leihe nicht weiter. Kontrolliere mal per FTP alle Datein nach dem Änderungsdatum. Wenn du Datein findest die ein Datum besitzen was du nicht nachvollziehen kannst, lade dir diese Datei und guck dir diese ganz genau an. Es können auch Bilder sein, die eigentlich kein Bild sind sondern getarnte Scripts. Wenn dein Server nicht entsprechend Konfiguriert ist, kann der Angreifer die Kontrolle über die Maschine übernehmen und diese dann für alles mögliche missbrauchen. Bspw. als Daten und Virenschleuder, Teil eines Netzwerks um andere Systeme im Verbund / Netzwerk anzugreifen und das Opfer anhand der Masse an Anfragen lahm zu legen. Im schlimmsten Fall wirst du für entstandene Schäden haftbar gemacht. Wende dich an deinen Hoster, auch wenn er den Shop vom Netz nehmen wird. Gruß Gesendet von meinem iPhone mit Tapatalk
Der Virenscanner hatte nur diese eine Datei als kritisch erkannt, sie wurde mittlerweile gelöscht. Ein misstrauisches Gefühl bleibt.
Also ich würde das auch nicht auf die leichte Schulter nehmen. Ich hab grade gesehen das du auch ein 0 Communication Problem hast. Könnte das nicht auch in einen Zusammenhang stehen?
Nein, der Fehler tritt in einem anderen Shop mit anderer Domain auf.
Habe zwei weitere verdächtige Dateien gefunden. w.php und Un.php direkt im obersten 3.5.7er-Shopverzeichnis. Nachfolgend zwei Screenshots. Und wieder tritt der Name “FilesMan” auf.
Wie die vorredner schon gesagt haben, du hast da ein Problem. Ich wuerde dir ebenfalls dringend raten, einen zu beauftragen, der sich damit auskennt, um das System zu säubern, falls möglich, und die Tuer zu schliessen, die ja immer noch offen sein kann, denn du hast ja bisher nur die Hinterlassenschaften des Hackers gefunden, nicht seine Eingangstuer.
Wer kennt sich damit aus?
Übrigens hat die Kaspersky Internet Security Software in der neuesten Version obige Datei mit dem “FilesMan”-Inhalt NICHT erkannt !!!
Hallo, die Shell kommt oft nicht nur in der Form des entpackten Progamms, das vom Virenscanner gefunden wurde, sondern auch noch in einer codierten Version vor. Die wird “irgendwie” dekodiert und produziert dann die lauffähige Version. Das können verschiedene Dateiformate sein - wie schon gesagt: Google. Mit der Shell kann der Server remote gesteuert werden, sie ist praktisch wie eine ssh-Shell zu gebrauchen. Somit sind prinzipiell alle Daten des Servers in Gefahr. Man kann aber auch Programme auf dem Server installieren, die sich dann z. B. in einem Bot-Netz beteiligen. Der zweite Screenshot scheint doch zu einem Upload-Programm zu gehören. Der Virenscanner kann nicht alle Programme erkennen, die man verwenden kann, um verbotene Dinge zu tun. Einfach, weil sie unter Umständen auch dazu verwendet werden können, um legale Aufgaben zu erfüllen. Ein Server kann durchaus Emails verschicken, verschickt er aber einige Hundert Pishing-Mails, darf er das nicht. Der Virenscanner alleine kann nicht garantieren, dass der Rechner nach dem Löschen einer Datei “sauber” ist. Das Problem ist hier im Forum aber nicht lösbar, beauftrage eine Firma, die sich auf derartige Fälle spezialisiert hat. Viele Grüße HTH
Kleine Anmerkung, jeder weitere Betrieb ohne Problemlösung ist grob Fahrlässig. Ein kompromittierter Server kann dir das Genick brechen, das scheint dich nicht zu interessiere !? Server abstellen, Seite per DNS auf anderen Server, auf eine Wartungsseite leiten und das Ding untersuchen bzw. Wichtige Daten und Datenbank sichern. Server neu aufsetzen und DESINFIZIERTE Daten und Datenbank einspielen. Dabei ist Sorgfalt angesagt. Ein übersehendes .gif Bild und die Kiste ist wieder verseucht. Mehr Senf gebe Ich zu dem Thema nicht mehr ab. Es ist alles gesagt. Kontakt Daten findest du auf webgreat.de oder google nach “kompromittierter Server agentur” suchen. Da gibt es eine Handvoll. Gruß Gesendet von meinem iPhone mit Tapatalk