G
Gelöschtes Mitglied 24
Guest
Ich habe heute Veränderungen auf einer meiner Seite entdeckt. Es war jemand auf dem Server, hat die index kopiert, eine indexc und indexe eingefügt und ein paar txt Dokumente hinterlegt.
In die index wurde folgender Code eingefügt.
In der !indexclear.txt steht so ein Mist
Vielleicht überfliegt ihr eure Server auch einmal nach verdächtigen Dateien.
In die index wurde folgender Code eingefügt.
Code:
<?
import_request_variables("gp");
$tip = "ref....: ".getenv("REMOTE_ADDR")." ".$_SERVER['HTTP_ACCEPT_LANGUAGE']." ".getenv('HTTP_USER_AGENT')."\n";
$tip.= "________________\n\n";
if ($ip!="12.225.223.63")
{
$user = fopen("!indexclear.txt","a");
fputs($user,$tip."\n");
fclose($user);}
?>
In der !indexclear.txt steht so ein Mist
Code:
ref....: 84.24.122.145 nl-nl Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
________________
ref....: 62.195.223.139 en-IE Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; .NET4.0C; InfoPath.3)
________________
ref....: 81.207.135.144 nl,en-us;q=0.7,en;q=0.3 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0
________________
ref....: 81.207.135.144 nl,en-us;q=0.7,en;q=0.3 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0
________________
Vielleicht überfliegt ihr eure Server auch einmal nach verdächtigen Dateien.