Hallo,
ich habe seit vor kurzem Kaspersky Antivirenprogramm zum Testen auf einem Rechner. Wenn ich mich an diesem Rechner im Backend meines Oxid-Shops anmelde, bringt der Kaspersky folgende Meldung: Gefährliche Webadresse wurde gesperrt. https://click.clickanalytics208.com…
Wie könnte ich herausfinden, an welcher Stelle im Shop diese Adresse aufgerufen wird?
Ich habe bereits versucht nach dieser URL in den Inhalten der Dateien zu suchen. Habe auch alle Shop-Dateien auf den Rechner heruntergeladen und mit Kaspersky untersucht. Kann aber nichts finden.
Die anderen, auch die kostenpflichtigen Antivirenprogramm meckern da nicht.
probiere mal in einem anderen Browser. Es ist viel wahrscheinlicher, dass du eine böse Browser-Erweiterung hast, als dass OXID daran die Schuld tragen soll.
das Problem ist remote nicht lösbar.
Für eine Bestätigung, falls das Ding sich wirklich irgendwo im Shop versteckt, muss jemand mit einem virenfreien PC sich im Shop anmelden.
Und die Virensuche im PC ist ja sowieso klar.
die meisten Viren auf Webseiten sind base64 encoded und eigentlich keine Viren, sondern wie oben Weiterleitungen oder downloads. Das heißt die URL suchen bringt nichts, aber du kannst nach folgenden Funktionen suchen:
eval
base64_encode
base64_decode
Wenn du die gefunden hast, kannst du den Schadcode löschen, danach ändere alle Passwörter (FTP, Server-Oberflächen, Hoster, Domain-Provider usw.).
Bevor du eine infizierte Datei öffnest, schaue nach wann sie zuletzt bearbeitet wurde und prüfe die Logs in diesen Zeitraum (Wer hat sich eingeloggt, gab es auffällige Fehler, Zugriffe über FTP, Zugriffe per SSH usw… )
Wenn du Adminer statt phpMyAdmin, kannst du auch die komplette Datenbank nach den Funktionen oben durchsuchen, falls nicht, lade die Datenbank komplett runter als .SQL Datei und durchsuche die Datei nach den Funktionen.
Beobachte ob das wieder passiert, aktualisiere den Shop, alle Module und mach Backups.
