Virus im Account

Shopware 5
1

Hallo Leute,
ich habe heute von meinem Provider die untenstehende Info erhalten.

„Wir wurden darüber informiert, dass Ihre Domain schädliche oder bösartige Inhalte wie Malware oder Phishing-Seiten aufzeigt oder auf solche weiterleitet.“

Weiter wurde ich gewarnt www.xxxxxxx.de/account aufzurufen.

Ich hatte dieses Problem noch nie. Hat da einer einen Plan, wie ich da vorgehen muss um das Problem zu lösen?
Bevor ich mich da nämlich in sinnlos Aktionen verkünstele, die alle nichts bringen, weil ich davon keinen Plan habe, frage ich lieber vorher.

Ich bitte um Eure Hilfe.
Gruß Joachim

SW 5.6.9

2

Hallo @utuz,
hast du genauere Informationen zum Provider bekommen um was es genau geht? Falls nicht würde ich da erstmal genauer nachfragen, aber nicht auf die E-Mail antworten, sondern selbst eine Mail an die „support/info@“ oder wie auch immer schicken - Nicht das die Mail das Pishing ist … ;).

Was bekommst du für eine Warnung wenn du den Link aufrufst?
Was hast du aktuell für eine PHP-Version am Laufen? Bei welchen Hoster bist du?

Viele Grüße
Marco Schäfer

1 „Gefällt mir“
3

Hallo Marco,
bei mir ist das was kompliziert. Also nicht einfach zu beantworten.
Meine Shop URLs habe ich von Ionos. Die kommen alle aus alten Hosting Verträgen.
Meine Shops dagegen liegen auf einem dedicatet Server bei Server4you.
Die URLs habe ich entsprechend auf die IP vom Server eingestellt.
Klappt seit Jahren ganz gut.
Was in diesem Zusammenhang nicht ganz so hundert prozent funktioniert ist die Verwendung meiner Hauptmail, die noch über Ionos läuft. Weil manche Bestellbestätigungen beim Kunden ankommen und manche nicht. Ich hatte bisher noch nicht den Nerv und die Zeit mich damit auseinanderzusetzen.

Tatsächlich habe ich nicht auf diese Mail geantwortet, allerdings halte ich die für echt. Da stehen meine tatsächlichen Vertragsdaten drin. In sen gefährlichen Mails ist dem nicht so.

Nun habe ich zwischenzeitlich auf meinen Server mal ein Virus Tool über meine Shops laufen lassen, das nur identifizuiert, aber sonst keine Lösung anbietet. Das hat tatsächlich in diesen betroffenen Shop, allerdings nur in der subdomain Pishing gefunden.
Ich habe den Subdomain Shop im Moment deaktiviert.
Das ist allerdings keine Dauerlösung.

Hatte die untenstehende Passage aus der Mail unten eingefügt. Beim erstenmal wurden irgendwelche Bilder mit importiert, die in der Mail selbst nicht sichtbar sind.
Deshalb habe ich den Text jetzt erstmal in einen Editor und dann hier noch noch mal eingefügt.

Die folgenden Maßnahmen sind notwendig, um die Sicherheit Ihres IONOS Vertrages wiederherzustellen:
Entfernen Sie betroffene Dateien und Dienste.
Bitte analysieren Sie welche Dienste, Software und Dateien durch Dritte auf Ihren Server gespeichert oder verändert wurden. Entfernen Sie diese bzw. korrigieren Sie die vorgenommenen Änderungen innerhalb von 48 Stunden.
Schützen Sie sich vor zukünftigen Angriffen.
Halten Sie das Betriebssystem und die eingesetzte Software auf Ihrem Server stets aktuell.
Ändern Sie außerdem alle Passwörter, die auf Ihrem Server gespeichert sind oder waren (z. B. für Mail-Server, externe Dienste, Datenbanken). Mit hoher Wahrscheinlichkeit wurden diese von den Angreifern entwendet.

Wir freuen uns, gemeinsam mit Ihnen für die Sicherheit in Ihrem Vertrag zu sorgen.

Ich benutze noch PHP 7.4.33. Das liegt daran, das ich SW5 nicht auf ein höheres Lever Updaten kann. Das ist eine der großen Schwächen von SW.
Unabhängig davon, werde ich im laufe des Jahres auf SW 6 unsteigen. Allerdings erst dann, wenn meine Warenwirtschaft entsprechend aufgerüstet ist.

Den Link habe ich nicht angeklickt. Das mache ich höchst ungerne.

Gruß Joachim

4

Hallo Joachim (@utuz),

kannst du uns bitte mal die betroffenen Dateien (Scan) nennen?

Unabhängig vom Fehler noch folgendes:
Hast du das Sicherheitsplugin von Shopware mit der aktuellsten Version für Shopware 5.6.x installiert ?

Hattest du das Update auf Shopware 5.7.x schonmal geprüft oder getestet?

Vielleicht könnte man durch das Sicherheitsupdate oder das Core-Update noch etwas Zeit „gewinnen“.

Tatsächlich habe ich nicht auf diese Mail geantwortet, allerdings halte ich die für echt. Da stehen meine tatsächlichen Vertragsdaten drin. In sen gefährlichen Mails ist dem nicht so.

Das glaube ich auch nicht, dennoch sollte man heutzutage leider immer mit sowas rechnen. Lieber einmal mehr geprüft als hinten raus Ärger.

Viele Grüße
Marco Schäfer

PS: Ich glaube nicht das es ein Virus ist! Es wird eine veraltete Datei/en sein vom Shopware 5.6.x.

5

Hallo Marco,
das PlugIn habe ich gleich jetzt installiert.
Ich habe bereits mehrfach ein Update versucht. Das hat jedesmal im Desaster geendet und dazu geführt, das ich nicht nur Kundendaten verloren habe sondern immer auch mehrere Tage Offline war. Wie gesagt, das ist eine ganz große Schwäche von SW. Zuviele Drittanbieter die Probleme machen können.
Was eben was seltsam ist, das es nur bei einer Subdomain angezeigt wird.
Ich habe einen Hauptshop an den 6 weitere Shops angeschlossen sind. Laufen also alle über den gleichen Dokumentenstamm.
Der Shop mit der Subdomein ist eingentlich nicht offiziell. Zwar online zu erreichen, aber nirgendwo angemeldet. Da entwickle ich seit langen einen neuen Shop. Warum da nun ausgerechnet im account was sein soll???
Danke für Deine Hilfe.
Gruß Joachim

6

Hallo Joachim (@utuz),

ohne die betroffenen Dateien und/oder der Fehlermeldung kann ich leider nicht weiterhelfen. Das wäre gerade ein raten, das bringt aber niemanden weiter.

Der Shop mit der Subdomein ist eingentlich nicht offiziell. Zwar online zu erreichen, aber nirgendwo angemeldet. Da entwickle ich seit langen einen neuen Shop. Warum da nun ausgerechnet im account was sein soll???

Vermutlich wird da die sicherheitsrelevante Stelle aufgerufen.

Ich habe bereits mehrfach ein Update versucht. Das hat jedesmal im Desaster geendet und dazu geführt, das ich nicht nur Kundendaten verloren habe sondern immer auch mehrere Tage Offline war.

Das ist natürlich überhaupt nicht schön. Hast du schonmal darüber nachgedacht dir dafür eine Unterstützung zu holen? Abgesehen davon würde ich immer raten ein solchen Update Versuch nicht unbedingt direkt im Livesystem durchzuführen (gerade da mehrere Shops/Domains an einem System hängen). Das Risiko ist wie du bemerkt hast doch recht groß.
Solche größeren Updates würde ich empfehlen immer vorab in einem Testsystem/Staging-System durchzuführen und auch ein Backup anlegen bevor der Vorgang am Livesystem wiederholt wird.
Mir ist klar das der Initialaufwand hierfür erstmal da ist, aber es ist deutlich sicherer und es wird der Ausfall über mehrere Tage vermieden.

Folgende Möglichkeiten sehen ich wie wir weiter machen können:

Wir können, wenn du die Fehlermeldungen und alle Informationen zusammenbekommst, gerne hier im Thread weitermachen und den Fehler versuchen mit dir gemeinsam zu finden und beheben. Mit den aktuell vorliegenden Informationen kommen wir nicht weiter (auch wenn deine Erklärungen zum Systemaufbau grundsätzlich relevant sein könnten).

Alternativ würde ich dir anbieten das wir zusammen bei dir einmal am System schauen - Ich würde dir anbieten kostenlos mit dir zusammen, über Teams Videocall und Bildschirmfreigabe, drüber schauen um zumindest erstmal die betroffene/n Datei/en zu finden. In diesem Fall können wir alles weitere dann auch zusammen besprechen.

Viele Grüße
Marco Schäfer

1 „Gefällt mir“
7

Hallo Marco,

nett von Dir mit Deinem Angebot.
Ich habe für mich beschlossen, zunächst mal den Subshop zu eliminieren.
Das stellt für sich für mich mal als das einfachste dar.
Kann natürlich sein, das sich das als Griff ins Klo herausstellt, ändert aber nichts am Ablauf.

Ich bin ein Einzelkämpfer und deshalb muss ich mit meiner Ressource Zeit vorsichtig umgehen.
Natürlich könnte ich mir das auch machen lassen, aber dann bin ich nicht mehr Herr über das Geschehen und muss alles glauben was man mir sagt.
Es ist eh schon schwierig immer auf den neuesten Stand zu bleiben, wenn Du da aber mal eine Weile draußen bist ist es fast unmöglich den Anschluss zu halten.

Ich mache Onlinehandel schon fast 20 Jahre und wann immer ich mich in andere Hände begeben habe, hat es vergleichsweise wenig gebracht, von den Kosten rede ich da gar nicht.
Richtige für mich relevante Probleme musste ich fast immer alleine klären, da half selten ein Forum oder Tante Google, selbst Supports konnten nicht helfen.
Irgendwas war immer speziell und hat mich sinnlos Zeit und Nerven gekostet.
Genau aus diesem Grund bin ich dafür, das in Foren auch Lösungen gesammelt werden, damit man daran partizipieren kann.

Und natürlich mache ich immer Backups vor anstehenden Änderungen. Allerdings nicht immer vor jeder Shopaktualisierung.
Einzig was ich nicht mache, ist wenn ich was probieren will, das auf einem separaten Server zu testen. Der Aufwand ist mir einfach zu viel.
Unabhängig davon bin ich aus dem Alter raus, wo ich ständig was neues haben muss. Demzufolge ändere ich nur dann was, wenn es denn unbedingt sein muss.
Wenn was in die Hosen gegangen ist, dann meistens, weil ich irgendwas mal eben schnell machen wollte und dabei irgendwas vergessen habe, das dann zu einem Desaster geführt hat. Man ist eben auch vor der eigenen Dummheit nicht gefeit.

Was ich gerade feststellen kann ist, das ich vermehrt Zugriffe nur auf eine einzige Shopstartseite habe in der Hauptsache aus den Staaten und Canada wenige aus China. Das geht so seit zwei drei Tage und treibt meinen Traffic nach oben.
Ich kann nicht beurteilen ob das irgendwie gefährlich sein kann, aber nerven tut das schon.
Das könnte einen Zusammenhang mit dieser Pishing Infektion haben, die wohl kaskadenartig schadmails verbreitet hat.
Wenn Du dazu eine Idee hast?!

Noch mal wegen Deinem Angebot, wenn ich mein System auf SW 6 Updaten werde, kann es durchaus sein, das ich das Migrieren von jemanden anderen machen lasse.
Es gibt Dinge, da komme ich an meine Grenzen. Weniger bei den Großen Dingen als vielmehr bei kleinen Sachen.
Wenn Du daran Interesse hast, dann lasse mich das wissen.
Allerdings kann ich das erst in Angriff nehmen, wenn neben meiner Hardware auch meine Warenwirtschaft auf dem neuesten Stand ist.
Das ist für mich der erste Kraftakt und wird noch ein paar Monate dauern bis das soweit ist.

So das war es erstmal, mal sehen, ob mein Problem gelöst ist.

Gruß Joachim

8

Hallo Joachim (@utuz ),

grundsätzlich verstehe ich Deine Herangehensweise, das ist auch voll in Ordnung. Soll gerne jeder selbst machen wie es beliebt. Dafür gibt es ja das Forum wo man sich auch bei solchen Themen austauschen kann - In diesem Fall konnten wir mit den vorhanden Informationen leider nicht wirklich helfen.

Wegen der vermehrten Zugriffe aus China/Kanada. Es kommt schon sehr oft vor - Ich sag mal solange Dein Shop deswegen nicht down geht oder andere Probleme daher kommen kannst du das eigtl. „ignorieren“, auch wenns nervt. Ein Problem könnte es werden bei Spam z.B. über das Kontaktformular. Dann solltest du ggfls. eingreifen. Normalerweise sollte der Hoster in kritischen Fällen ebenfalls reagieren. Ich habe aber keine Erfahrung mit „Server4You“. Eventuell könnte es sinn machen wenn möglich da einmal anzurufen oder eine E-Mail hinzuschicken. Sie können das ganze besser einschätzen als ich.

Zur Shopware 6 Migration
Meine Kontaktdaten findest du in meinem Profil. Sollte dir noch etwas fehlen gib mir kurz per Privatnachricht bescheid.
Das du noch Vorlauf brauchst aufgrund verschiedener Systeme ist normal. Auch wenn ich dich hierbei unterstütze benötige ich in der Regel Vorlauf um dein aktuelles System genauer anzuschauen, einen Ablaufplan erstellen, da verschiedene Funktionen neu entwickelt werden müssen. Auf jeden Fall schaden hier ein paar Wochen Vorlauf nicht, desto genauer kann der Relaunch geplant werden.
Lass uns da gerne frühzeitig einmal austauschen.

Viele Grüße
Marco Schäfer