Server gehackt

[Gelöschtes Mitglied 24]

Ich habe heute Veränderungen auf einer meiner Seite entdeckt. Es war jemand auf dem Server, hat die index kopiert, eine indexc und indexe eingefügt und ein paar txt Dokumente hinterlegt.
In die index wurde folgender Code eingefügt.

<?
import_request_variables("gp");
$tip = "ref....: ".getenv("REMOTE_ADDR")." ".$_SERVER['HTTP_ACCEPT_LANGUAGE']." ".getenv('HTTP_USER_AGENT')."\n";
$tip.= "________________\n\n";

if ($ip!="12.225.223.63")
{
$user = fopen("!indexclear.txt","a");
fputs($user,$tip."\n");
fclose($user);}
?>

In der !indexclear.txt steht so ein Mist

ref....: 84.24.122.145 nl-nl Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
________________


ref....: 62.195.223.139 en-IE Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; .NET4.0C; InfoPath.3)
________________


ref....: 81.207.135.144 nl,en-us;q=0.7,en;q=0.3 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0
________________


ref....: 81.207.135.144 nl,en-us;q=0.7,en;q=0.3 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0
________________

Vielleicht überfliegt ihr eure Server auch einmal nach verdächtigen Dateien.

 

[magan]

danke mal für den hinweis!

aber bischen mehr feedback auf dein posting hätte ich schon erwartet... 8)

 

[@ndy]

wehn interessiert den schon der server von enjoy ..... :mrgreen:

 

[Gelöschtes Mitglied 24]

Böse Menschen auf Enjoys Server = Enjoy ist traurig
Enjoy traurig = Traurige Texte :-(

 

[@ndy]

!indexclear.txt ist ein logfile.
da wurden zugriffe gelogt.

das wird scheinbahr damit gemacht:

import_request_variables("gp");
$tip = "ref....: ".getenv("REMOTE_ADDR")." ".$_SERVER['HTTP_ACCEPT_LANGUAGE']." ".getenv('HTTP_USER_AGENT')."\n";
$tip.= "________________\n\n";

ist ip if 12.225.223.63
http://www.utrace.de/?query=12.225.223.63

if ($ip!="12.225.223.63")

scheint er was ausgeben zu sollen...

ist das alles, was war in den txt dateien?

 

[Gelöschtes Mitglied 24]

Ja, die txt Dateien sehen alle so aus, mehr gibt es nicht. Vielleicht Vater Staat, denn laut Kolido kennt jemand mein Passwort ganz genau, welches an sich schon ziemlich lang und sicher ist.

 

[@ndy]

na das wuerd ich halt mal aendern, jetzt erst recht

 

[magan]

in welchem verzeichnis wurden die files verändert?

 

[Gelöschtes Mitglied 24]

Passwort ist natürlich geändert jetzt, es betrifft wohl auch nur das eine Web auf dem Server.
Die geänderten Dateien lagen im Verzeichnis html auf dem Server. Meine alte Index wurde in index.html_ umbenannt und es wurden ein paar Dateien hinzugefügt.

 

[susi2]

schau mal dein cgi verzeichnis nach
REMOTE_ADDR, = IP des besuchers ermitteln
HTTP_ACCEPT_LANGUAGE = bestimmte spache bzw. IP nummern weiterleiten
theoretisch müsste auf deinem server irgndwo ne ellenlange liste mit IP nummern rumliegen

 

[Bronco]

http://www.heise.de/security/artikel/Passwoerter-unknackbar-speichern-1253931.html?artikelseite=3

Sehr interesanter Artikel wenn Ihr eure Passwörter richtig verschlüsseln wollt. Dies betrifft aber jetzt nur eure Benutzer Passwörter eurer CMS oder Blog Systeme. Die Passwörter auf eurem System solltet Ihr euch auch danach ansehen, wenn was nützt ein sicherer User Zugang wenn das Admin Passwort nicht sicher ist.