Hallo Gemeinde,
zuerst einmal möchte ich mitteilen, das wir keine Magento Spezialisten sind.
Wir hatten jetzt einen Hilferuf, dass alle Verzeichnisse im Magento www eines Partner verschlüsselt wurden. Weiterhin enthält jedes Verzeichnis die Datei README_FOR_DECRYPTION.txt mit der Zahlungsaufforderung von Summe x über Bitcoin, um die Files wieder zu decrypten.
Ähnliche Fälle kenne ich nur von Windows Systemen. Hierbei handelt es sich aber um ein brandaktuelles Ubuntu.
Falls es weitere Fälle gibt, bitte meldet euch bei mir, auch wenn ihr keine Lösung habt. Wenn WIR eine Lösung finden sollten, werde ich jeden über die Lösung sofort informieren.
Falls jemand Erfahrung hat und uns helfen kann (Kosten können erstattet werden), meldetet euch bitte ebenso. Weitere Details auch gern per PN.
Gruß und Dank im Voraus
Jörg
Hallo,
Dieses thema hat 2 Komponenten.
1. Technisch
Bitte schauen Sie in Ihren Backuzps nach. Möglicherweise gibt es noch ein unverschlüsseltes backup.
Wenn das der fall ist lässt sich der shop (mit etwas aufwand) wiederherstellen.
2. Rechtliches
Nehmen Sie kontakt mit der Polizei auf.
Grundsätzlich rate ich zu der Verhaltensweise: "Nie mit verbrechern verhandeln"
Das ist auch das was ich online immer zu dem Thema lese. Die Polizei kann hier sicher besser helfen.
Viel Erfolg.
Bitte sagen Sie uns wie sie sich verhalten haben und ob es erfolgreich war.
Danke
Hallo Sebastian,
danke für die schnelle Meldung am Sonntag.
zu 1.
Wir haben das Backup schon am Donnerstag (Mitwoch war der erste Angriff) einegspielt und noch einmal alle Patches einegspielt, die wir gefunden haben.
Danach war der Server genau 2 Stunden online und wieder gehackt. Anschließend haben wir erneut das Backup eingespielt und alle Rechte und Besitzer von Verzeichnissen noch mal überprüft und gegebenfalls geändert. Sollte wohl das Problem lösen.
Gestern (Samstag) gegen 10°° Uhr haben wir den Server wieder ans Netz genommen. Leider wurde der Server in der Nacht zum Sonntag erneut gehackt. Es hat nur etwas länger gedauert.
Wir haben jetzt ein Backup der betroffenen Verzeichnisse nach unseren Änderungen und ich könnte den Server wieder online stellen. Dies wird aber das Problem nicht lösen.
zu 2.
Die Cyber Crime Task Force unseres LKA's wurde bereit beim ersten mal informiert, wir warten auf Antwort. Morgen setze ich mich mit dem BKA in Verbindung.
Das kompomitierte Verzeichnis (magento/ ) habe ich gesichert und werde es bei Bedarf zur Verfügung stellen.
Weiterhin haben meine Recherchen ergeben, dass viele Server betroffen sind, auch etliche in Deutschland. Bei Google einfach den Namen des Erpresserfiles eingeben: README_FOR_DECRYPTION.txt. Es sind meist Magento Server.
Ok,
Bin gespannt was die Task Force dazu sagt.
Ich glaube den server sollten sie als verloren ansehen. Nichts ist dort mehr sicher.
Ich denke Sie müssen die Seite auf einem anderen Server installieren
haha, ok
letzte woche haben die also eine anleitung bei youtube hochgeladen?
Damit dürfte die identität wohl einigermaßen geklärt sein.
Glaub' ich nicht, für nen Zehner finde ich (fast) überall auf der Welt jemanden der das im Internetcaffee für mich erledigt :-(
Hello.
It just happen to me now.
I have 3 magento websites, all patched and I am dealing with the same situation.
Any solution, or now it's better to run the backup?
Thanks
i think a rollback from backup is the ony way to deal with it.
Also i would recommend to consider the whole server as hacked. Rebuild your website on a different one.
Thanks.
I did all magento patches last week...
where can I find the "hole"?
An die Community!
Es ist gut, dass es diese Community gibt, wenn aber Leute die Plattform für Werbund nutzen und noch dazu ohne ewas dazu beizutragen, finde ich das nicht lustig!
Lest die Komentare von Herrn Keupner und besucht auf seiner Seite den Link: ....readme_for_decryption-eine-neue-erpressermethode-richtet-sich-gegen-magento/ --> ohne hilfreiche Information, bei Problemen soll man sich an die Firma wenden
Frechheit ohne gleichen !!!
Also wer helfen kann, gern. Ich möchte aber nicht für SEO mißbraucht werden. Wenn ich helfen kann auch gern.
Schönen rest Sonntag Abend
Jörg