Heute morgen gab es Post von google – unsere Seite würde des Phisings verdächtig!?
We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.
Nachdem wir die Mail von google erhalten hatten, dass unser Server schadhafte Dateien beherbergt und wir die prüfen sollen, haben wir einige Malware-Dateien gefunden, die wohl speziell für OSCommerce programmiert wurden.
Damals wurde ja unser Server / Datenbank dank einem Loch in einem OS Commerce Umfragetool gehackt. Die Pollbooth.php flog danach raus.
Allerdings haben wir wohl vier Dateien übersehen, welche der Hacker abgelegt hat, damit er seine Mails versenden konnte und um weiter Zugriff auf den FTP zu erhalten. So konnte er uns wohl noch einen Paypal Phising Ordner “unterschrieben” (www.paypal.com.au) um Paypal Accounts in Australien auszuspähen.
Wer also einen OSCommerce Shop hat oder jemand kennt der einen hat, sollte unbedingt nach diesen Dateien Ausschau halten. Liegen meistens im images-Verzeichnis:
crypt.php
cmd1.php
cmd11.php
mail11.php
www.paypal.com.au
www.paypal.com.au.zip
Unbedingt umgehend löschen und alle FTP Passwörter ändern!
Danach ist Ruhe im Karton.
Wer nach den /images/mail11.php oder eben den anderen Dateien googelt wird sehen, wieviele Shops betroffen sind oder waren….
