Heute morgen gab es Post von google – unsere Seite würde des Phisings verdächtig!?
Wir haben kürzlich entdeckt, dass einige Seiten auf Ihrer Website aussehen wie ein möglicher Phishing-Angriff, in denen die Nutzer sind aufgefordert, vertrauliche Informationen wie Anmeldeinformationen oder Bankdaten aufgeben. Wir haben die verdächtigen URLs von Google.com Suchergebnissen entfernt und haben zeigt eine Warnseite für Benutzer, die diese URLs in bestimmten Browsern begonnen, die Anti-Phishing-Daten von Google erhalten.
Nachdem wir die Mail von google erhalten hatten, dass unser Server schadhafte Dateien beherbergt und wir die prüfen sollen, haben wir einige Malware-Dateien gefunden, die wohl speziell für OSCommerce programmiert wurden.
Damals wurde ja unser Server / Datenbank dank einem Loch in einem OS Commerce Umfragetool gehackt. Die Pollbooth.php flog danach raus.
Allerdings haben wir wohl vier Dateien übersehen, welche der Hacker abgelegt hat, damit er seine Mails versenden konnte und um weiter Zugriff auf den FTP zu erhalten. So konnte er uns wohl noch einen Paypal Phising Ordner „unterschrieben“ (www.paypal.com.au) um Paypal Accounts in Australien auszuspähen.
Wer also einen OSCommerce Shop hat oder jemand kennt der einen hat, sollte unbedingt nach diesen Dateien Ausschau halten. Liegen meistens im images-Verzeichnis:
crypt.php
cmd1.php
cmd11.php
mail11.php
www.paypal.com.au
www.paypal.com.au.zip
Unbedingt umgehend löschen und alle FTP Passwörter ändern!
Danach ist Ruhe im Karton.
Wer nach den /images / mail11.php oder eben den anderen Dateien googelt wird sehen, wieviele Shops betroffen sind oder waren….
