Werd ich gehackt?

Azi hat gesagt.:
Hi,

das ist r57shell, wenn die auf deinem Server liegt, wurdest du sehr sicher gehackt.

Lösche diese und am Besten stellst du die Seite erstmal offline, such nach der Sicherheitslücke, beheb diese, und dann kannst du die Seite wieder online stellen.

Viel Glück!

Azi

P.S.: Wär das nicht besser im Security-Forum aufbewahrt?
Zum Vergrößern anklicken....


die liegt ja nicht auf meinem server, sondern wird per GET an meine index.php gehängt
 
Na denn achte darauf, dass die Dateien, die per GET übergeben werden, auf deinem Server liegen.
Das kannst du z.B. erreichen, indem du an der Stelle, an der du $_GET['deinParameter'] benutzt, ein "./" vorne dranhängst.

Azi

P.S.: Stell am Besten auch allow_url_fopen in der php.ini auf "off"
 
Zuletzt bearbeitet:
gut, werd ich mal drauf achten.

aber was genau macht denn dieses script? mein php reicht noch nicht aus um da durchzusteigen...
 
Das Script bietet dem Hacker eine Art Verwaltungstool für deinen Server:
Er kann je nach Konfiguration Befehle ausführen, Dateien anschauen, hochladen, ändern, löschen... Mehr als dem Webmaster lieb ist.

Also, viel Glück nochals. Wenn du die Lücke nicht behoben bekommst, kann ich dir gern helfen.

Azi
 
Azi hat gesagt.:
Das Script bietet dem Hacker eine Art Verwaltungstool für deinen Server:
Er kann je nach Konfiguration Befehle ausführen, Dateien anschauen, hochladen, ändern, löschen... Mehr als dem Webmaster lieb ist.

Also, viel Glück nochals. Wenn du die Lücke nicht behoben bekommst, kann ich dir gern helfen.

Azi
Zum Vergrößern anklicken....

ich weiß ja gar nicht ob ich überhaupt ne lücke habe, ich weiß nur das sie es versucht haben, aber nicht ob es geklappt hat.
Sonst hab ich nichts ungewöhnliches gemerkt, es fehlt nichts, es ist nichts zuviel und verändert wurde auch nichts.

simplexml-load-file und file_get_contents gehen nicht mehr wenn ich allow_url_fopen aus mache, darauf möcht ich eigentlich nicht verzichten...

naja, mal schaun was in den nächsten tagen noch passiert, ich geh erstmal davon aus das sie es nicht geschafft haben.

gruß Schiwi
 
Wenn die das Script bei dir auf den Server geladen bekommen haben dann hat es geklappt und genau das ist die Sicherheitslücke ;)
 
Poste uns doch mal hier den Teil wo dein Content eingebunden wird.
Der Hacker hier anscheinend auf diese Stelle abgesehen.
 
Zuletzt bearbeitet:
danke Lenox fürs aufmerksamme lesen, ich hatte bereits geschrieben das der code nicht auf meinem server ist.

meinst du sowas, merzi?

PHP: 
if ($_GET['seite'] == "") {

	if (file_exists("/var/www/$monat.html")) {
	include ("/var/www/$monat.html");
}
}

if ($_GET['seite'] == "Januar") {

	if (file_exists("/var/www/Januar.html")) {
	include ("/var/www/Januar.html");
}
}
usw.
 
War der Code auch vorher so?
Wird der Parameter $_GET['seite'] auch woanders benutzt?
Ist der Paramter, wo das böse Script angehangen wird, auch $_GET['seite']?
 
In meinem PHP-Honeypot laufen täglich viele, viele solcher Versuche ein. Soweit ich nachvollziehen konnte gehört der ganze Spaß zu einem Botnetz. Die infizierten Server liegen weltweit auf jeglichem Webspace dessen PHP-Scripte externe Dateien einlesen lassen.
Mir ist sogar schon der Webserver einer italienischen Web Security Firma aufgefallen, denen war das nicht aufgefallen bis ich mal ne Mail schrieb :-)

Achja, falls jemand Interesse hat ... Ich habe sicher schon 30-40 unterschiedliche PHP-Backdoors/Trojaner/Shells/usw gesammelt
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück