@earl of midnight stimmt, da haben wir so manchen Server erst mal leer geräumt und alles neu und entvirt wieder hoch geschickt
@earl of midnight stimmt, da haben wir so manchen Server erst mal leer geräumt und alles neu und entvirt wieder hoch geschickt
ich hab mal die Google Suche nach: http://cima-afrique.org/_private/style.php
bemüht. Hier mal die Seiten die dazu ausgespuckt werden:
http://blog.unmaskparasites.com/2009...mblar-zombies/
http://blog.unmaskparasites.com/2009...jected-script/
http://cutephp.com/forum/index.php?showtopic=35676
http://badwarebusters.org/main/itemview/11643
Wenn ich zu diesem Thema auch noch:
http://www.arcor.de/content/pc_techn...n+Malware.html
nehme, handelt sich das um SQL-Injection....
In manchen Fällen ist sogar der Admin selber der "Schädling".
Wenn euer PC infizeirt ist, dann kann der lustige Dinge mit euren Dateien anstellen, die Ihr via FTP übertragt
(Abgesehen davon, dass die ja dann die FTP Zugangsdaten auch kennen).
Da hilft dann nicht mal Passwort ändern, weil da ja PC noch infiziert, bekommen die das neue Passwort ja gleich frei Haus geliefert...
Muss natürlich nicht sein, war aber schon oft so (daher würd ich das nicht ausschließen).
Wie man verhindern kann, dass die Dateien weiterhin verändert werden, hab ich ja vorher schon geschrieben, dafür gibt es ja (gehe mal von aus dass jeder der betroffenen Unix-basierten Server hat) die Rechteverwaltung auf Dateioperationen.
Sofern PHP bzw. FTP nicht unter root laufen (und dann könnt ihr euch auch gleich selbst ins Bein schießen), kann dann kein PHP Script noch ein User direkt via FTP die Dateien noch manipulieren.
Ihr zwar erstmal auch nicht, aber sohat man Zeit, Fehler+Lücken ausfindig zu machen.
Kleine Ankedote am Rande:
Hatte letztens jemand mit ähnlichen Symptomen, ich auch schon wild am Rätseln, bis ihm dann zufällig rausrutschte, dass er einen WebFTP Service die ganze Zeit benutzt hat
Klar, tolles Ding, an wildfremde Seiten im www FTP daten zu geben, damit die für Ihn Dateien, die er zu denen erst lädt, auf seinen Webspace hochladen
Seitdem muss er ohne FTP auskommen und "darf" alles über SVN machen
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
scheint als meinst du einen chmod 444 auf alle Dateien ;-)Zitat von jpwfour
Da das doch etliche nicht können stelle ich mir die Frage ob man solche Angriffe nicht mit z.Bsp.: http://phpids.org/ loggen / blocken könnte. Schließlich ist nicht jeder fähig so eine Lücke zu finden...
Berechtigungen
Zitieren
