Hacked :(
Posted: 2008-03-06 12:45
Hallo zusammen,
ich habe ein kleines Problem. Auf unserem Server laufen ja ausser einem Chat noch ca. 20 Kundenwebseiten. Heute wurde ich darüber informieren, daß auf zwei der Seiten nun steht "hacked by".
Ich hab nun die Logs durchgeschaut und bislang nichts gefunden. Laut logs, wurde auf diesem Useraccount seit einigen Tagen nicht mehr eingeloggt.
Seltsamerweise habe ich in dem Verzeichnis von dem Chat folgedes entdeckt: "test" - da mich dies etwas verwunderte, habe ich mal geschaut was das ist und bin auf folgendes gestossen /var/www/vhosts/chat.de/web_users/test/pt-php UND e-greetings.php.
Wenn man die php mit einem Editor öffnet, bekommt man eine Spinnengrafik und natürlich eine Menge php-Code.
Erwähnt wird in dem Code ständig was von r57shell - ich gehe einfach mal davon aus, daß dies der ursprüngliche Name der Datei ist.
Ich verstehe allerdings nicht, wie diese Datei auf den Server kam.. wieso man überhauot ein Testverzeichnis erstellen konnte... UND der Chat hat von den angriffen nichts mitbekommen, also muss der Angreifer von dieser Datei aus quer über den ganzen Server in die anderen verzeichnisse gesprungen sein. Wie geht sowas und worauf sollte ich nun achten?
Danke für eure Tipps :(
ich habe ein kleines Problem. Auf unserem Server laufen ja ausser einem Chat noch ca. 20 Kundenwebseiten. Heute wurde ich darüber informieren, daß auf zwei der Seiten nun steht "hacked by".
Ich hab nun die Logs durchgeschaut und bislang nichts gefunden. Laut logs, wurde auf diesem Useraccount seit einigen Tagen nicht mehr eingeloggt.
Seltsamerweise habe ich in dem Verzeichnis von dem Chat folgedes entdeckt: "test" - da mich dies etwas verwunderte, habe ich mal geschaut was das ist und bin auf folgendes gestossen /var/www/vhosts/chat.de/web_users/test/pt-php UND e-greetings.php.
Wenn man die php mit einem Editor öffnet, bekommt man eine Spinnengrafik und natürlich eine Menge php-Code.
Erwähnt wird in dem Code ständig was von r57shell - ich gehe einfach mal davon aus, daß dies der ursprüngliche Name der Datei ist.
Ich verstehe allerdings nicht, wie diese Datei auf den Server kam.. wieso man überhauot ein Testverzeichnis erstellen konnte... UND der Chat hat von den angriffen nichts mitbekommen, also muss der Angreifer von dieser Datei aus quer über den ganzen Server in die anderen verzeichnisse gesprungen sein. Wie geht sowas und worauf sollte ich nun achten?
Danke für eure Tipps :(