Viele haben gefragt, wie man überprüfen kann, welche Verbindungen Tools aufbauen. Hier ist eine detaillierte Schritt-für-Schritt-Anleitung , um dies selbst herauszufinden. Methode 1: Analyse mit VirusTotal Schritte: Öffnet https://www.virustotal.com . Ladet die .exe- oder .dll-Datei eures Tools hoch. Wartet auf die Analyseergebnisse. Wechselt zum Tab "Behavior" (oder "Verhalten" ). Prüft den Abschnitt "Network Communication" oder "Contacted Domains" . Methode 2: Wireshark (Fortgeschritten) Installation: Ladet Wireshark von https://www.wireshark.org herunter. Installiert es auf einem Testsystem (nicht auf Produktiv-Servern!). Analyse: Startet Wireshark und wählt die aktive Netzwerkschnittstelle aus. Beginnt die Aufzeichnung. Startet das zu prüfende Tool. Beendet die Aufzeichnung nach 2–3 Minuten. Filtert die Ergebnisse mit: Code: http.request or tls.handshake.type == 1 . Methode 3: Process Monitor (Windows) Download: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon Vorgehen: Öffnet Process Monitor und setzt den Filter auf den Prozessnamen eures Tools. Aktiviert die Option "Show Network Activity" . Startet das Tool und beobachtet die Netzwerkverbindungen. Worauf ihr achten solltet Verdächtig Normal • Verbindungen zu unbekannten ausländischen Servern • Häufig wechselnde IP-Adressen • Kontakte zu bekannten C&C-Servern • Upload großer Datenmengen • Bekannte CDNs (z. B. Cloudflare, Akamai) • Offizielle API-Endpunkte eures Shops Methode 4: Online-Sandbox-Analyse Kostenlose Dienste: Hybrid Analysis: https://www.hybrid-analysis.com Cuckoo Sandbox: https://cuckoo.cert.ee ANY.RUN: https://any.run (teilweise kostenpflichtig) Diese Dienste führen das Tool in einer isolierten Umgebung aus und zeigen alle Aktivitäten, einschließlich Netzwerkverbindungen. Wichtige Warnzeichen Best Practices Testet Tools immer in einer virtuellen Maschine (VM) oder Sandbox. Verwendet Tools niemals direkt auf Produktivsystemen. Überwacht regelmäßig aktive Netzwerkverbindungen. Führt eine Liste aller verwendeten Tools und deren Verbindungen. Pflegt eine Whitelist vertrauenswürdiger Domains. Anleitung: Query Monitor (WordPress) und Symfony Profiler (Shopware) nutzen Query Monitor für WordPress Installation : Im WordPress-Admin unter Plugins > Neu hinzufügen nach "Query Monitor" suchen, installieren und aktivieren. Verwendung : Nach Aktivierung siehst du eine Debug-Leiste (nur für Admins). Klicke auf HTTP API Calls , um ausgehende HTTP-Anfragen zu prüfen. Check: Ziel-URLs (unbekannte Domains oder Parameter wie ?redirect= ). Statuscodes (z. B. 404 oder 500). Anfragende Skripte (Plugins/Themes). Verdächtiges finden : Achte auf fremde URLs oder verdächtige Anfragen. Prüfe die Quelle (z. B. welches Plugin/Theme). Symfony Profiler für Shopware Aktivierung : In der Entwicklungsumgebung (nicht Produktion!) den Profiler aktivieren. In config/packages/dev/profiler.yaml sicherstellen: Code: framework:profiler:collect: true Zugriff : Öffne https://deine-shopware-url.de/profiler[/i ] oder nutze die Debug-Leiste (Entwicklungsumgebung). [*] HTTP-Requests prüfen : Im Profiler unter Requests ausgehende Anfragen checken (z. B. API-Calls, externe Skripte). Achte auf: Unbekannte URLs. Anfragen von unsicheren Plugins/Modulen. [*] Analyse : Finde die Quelle der Anfrage (z. B. Modul/Dienst). Suche in den PHP-Dateien nach verdächtigem Code.