Schadsoftware?!

Hallo ihr Lieben,

ich habe gerade eine Mail von meinem Hoster bekommen in der steht:

" auf Ihrem Account bzw. Speicherplatz befindet sich potentielle Schadsoftware und es besteht dringend Handlungsbedarf Ihrerseits.
Anbei finden Sie die möglicherweise infizierte(n) Datei(en). Es können weitere vorhanden sein:

httpdocs/sn/var/cache/production_201902250948/html/en/af/5a/856cb80282538265bec4705754beb874ee52fdf8666c7f69fed1872868d8: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/29/79/3b70135db1cc4425e3a9f550b3e5d7aaf00b1d68a53594d92459397973ea: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/4d/84/71e2a8939cf4c60266bb9fef261f0794279d39d06ccaad4f567c0acebd39: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/d8/e2/54cb831dee1f53faeed662683875e1b27fd4332d38a3c5972a0b95576872: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/b9/03/93e448ecc34b99412ac67cde98615a7deb4adbdb27ad05d825256feeb4de: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/60/85/2b394f7a438a0b78293d4c7020675210272c5357d463f377fb0eb583f87f: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND

Bitte prüfen Sie umgehend diese Datei(en) und entfernen Sie diese sofern diese nicht von Ihnen erstellt wurde(n) oder schädlich sind. Wenn diese Datei(en) nicht von Ihnen erstellt wurde(n), ist es wahrscheinlich, dass diese über eine Sicherheitslücke in Ihrer/Ihren Webseite(n) eingeschleust wurden. In diesem Fall sollten Sie auch unbedingt die Sicherheitslücke(n) in Ihrer Webseite finden und beseitigen. Sofern Sie ein CMS (z.B. Wordpress, Joomla) oder Shop-System einsetzen, sollten Sie dies sowie alle Module/Plugins stets aktuell halten und ggf. die Module/Plugins mit Sicherheitslücken deinstallieren bzw. entfernen.
Sollten Sie die möglicherweise vorhandenen Sicherheitslücken nicht schließen oder/und Schadsoftware nicht beseitigen, muss Ihr Account ggf. gesperrt werden, da wir uns klar von Webseiten distanzieren, die Schadsoftware enthalten oder aber Besucher der Webseiten schaden könnten.

 

Was kann man dort machen? Ich habe die Datein nun per Filezilla gelöscht.

Welche Shopware Version ist installiert?

Das sind ja nur die Dateien aus dem Cache. Wenn das kein False-Positive war, hängt irgendwo im Core/Theme/Datenbank der Schadcode - und der wird dann auch wieder im HTTP-Cache neu landen, wenn die betroffenen Seiten wieder aufgerufen und der Cache generiert werden. Klingt nach viel Arbeit… Wäre nützlicher gewesen, die betroffenen Datein vor dem Löschen lokal zu sichern, so hätte man feststellen können, welcher “Bereich” vom Shop betroffen ist.

Edit: Was für DB spricht: Der Hoster meckert ja “nur” den Web-Cache an, aber keine Core / Theme Dateien.

Installiert ist 5.5.7

Ich habe nach dem Löschen der Datein alle Caches gelöscht und im besagten HTML Cache ist nun im Moment überhaupt nichts mehr…wann wird dieser neu erstellt?

Vielen Dank

Wenn HTTP-Cache aktiviert ist, beim Seitenaufruf oder „Aufwärmen“ im Backend.

Neuste Meldung des Hosters:

Guten Tag
das Löschen von diesen Dateien alleine ist nicht ausreichend. Sie sollten die Sicherheitslücke finden und beseitigen, da Angreifer eventuell Daten Ihrer Webseite einsehen und abgreifen könnten.

Es wurden täglich neue Dateien gefunden und es werden vermutlich auch weitere gefunden werden, wenn die Ursache nicht gefunden und beseitigt wird.

httpdocs/sn/var/cache/production_201902250948/html/en/7b/9b/d27058def82b435a4b2063335f5022d6ee186589c348d6515317ebd864bc: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/29/f3/589b9241694ab9d1fad4ec57d5f52ac1915afdf667516ad064f93b00a6f9: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND
httpdocs/sn/var/cache/production_201902250948/html/en/5d/34/6e0e7be25e810de66770b37256a3f61ae52050b86e60e4c3d79962029474: Phishtank.Phishing.PHISH_ID_5802221-6892175-0 FOUND

Wir senden vorerst keine weiteren Informationen diesbezüglich. Sollten Sie an der Angelegenheit arbeiten, teilen Sie uns dies bitte mit.

 

Was kann ich denn nun tun?!

Du könntest mal den Inhalt der Datei mit uns teilen.

Nun, alles zu löschen und ein Backup draufzuspielen ist wohl nicht möglich ?

Und dann neue Passwörter erstellen.