Hallo,

auf meiner Webseite wurde auf eine PHP-Datei installiert. Ich benutze FPDF zur Erzeugung einer PDF-Seite aus einer MYSQL-Datenbank. Im Verzeichis ../font/makefont/cp1258.php?colegiojardimd welche die Schriftarten generiert bzw. zur Verfügugn stellt, lag diese cp1258.php plötzlich drinnen. Hier liegt eigentlich nur eine cp1258.map.

Meine Fragen:

Wie kann die da hin gelangen?

FTP-Passwort bekannt geworden? Fehlerhaftes Script vom FPDF?

Ich habe das Passwort bereits verändert und verwende jetzt nur noch SFTP.

Danke sagt der Ralf

was steht denn in der php-Datei drin? Vom Namen her (cp1258 ist eine Zeichen-Kodierung) hört es sich an als ob es zu fpdf dazu gehört.

Hi,

da steht nur ein Header drinnen. Also eine Weiterleitung zu einer Adresse mit einer exe-Datei. Diese ist dann das Fishing.

<?php header ("Location: http://www.danseavecnousbordeaux.com/V1/images/dslq2008/.../index.php");?>

Die cp1258.php gibt es eigentlich nicht. Nur die cp1258.map gibt es. Die cp1258.php wurde nachträglich auf dem Server abgelegt.

Ich würde den Server als komprommitiert ansehen. Backups machen, neu aufsetzen, auf mehr Sicherheit achten.

bringt mich .htaccess ... weiter?

Oder kann ich auch davon ausgehen das Zugansdaten bekannt geworden sind.

Die Rechte waren auf 0754 gesetzt.

TheDarkRose schrieb:

Ich würde den Server als komprommitiert ansehen. Backups machen, neu aufsetzen, auf mehr Sicherheit achten.

TheDarkRose schrieb:

Ich würde den Server als komprommitiert ansehen. Backups machen, neu aufsetzen, auf mehr Sicherheit achten.

Es macht aber wenig Sinn, den Server einfach genauso wieder aufzusetzen wie vorher. Schließlich wurde der ja durch irgendeine Sicherheitslücke komprimittiert. Wenn man diese Lücke nicht findet und abstellt, ist der Server nach Backup & Neuinstallation genauso angreifbar wie vorher, und wird möglicherweise sehr schnell wieder geknackt werden.

Deshalb sollte man vor einem Neuaufsetzen wenn möglich die Ursache finden.

Trotzdem ist ein Neuaufsetzen natürlich nötig - schließlich kann der Angreifer weitere Hintertüren im System versteckt haben.

Zum Thema: Welchen FTP-Server verwendest Du? In dessen Dokumentation solltest Du Infos dazu finden, ob & wo der Server log-Dateien speichert, Evtl. findest Du dort einen Hinweis darauf, wann die entsprechende Datei hochgeladen wurde. Im PHP-log könnten sich auch Hinweise finden, falls der Einbruck über PHP erfolgt ist.

So ein Mist,

gestern habe ich ein paar Verzeichnisse bereinigt und nur die nötigsten Dateien drauf gelassen. Die Dateirechte habe ich vergessen neu zu setzen.

Der gelöschte Ordner wurde wieder neu erstellt, und die Fishing-Dateien neu erstellt. Jetzt sind es schon zwei davon.

In der php.log im selben Verzeinis steht nix auffälliges. Ich schaue jetzt mal die anderen Log Dateien durch.

Wenn ich das Passwort vom FTP-Server geändert habe, welche Möglichkeiten gibt es noch Dateien auf den Server zu kopieren. Bitte helft mir mal.

Könnte eine PHP-Datei verändert sein?

Ich kopiere die jetzige Version mal auf meinen Rechner und vergleich mit dem letzten Backup bzw den Originalen.

So ein Mist.

Ich greife mit Linux und Filezilla auf den Server zu.

Kontrolliere mal deine auth.log, nicht das der Angreifer über SSH reinkommt.

So ich hab es

auf dem Server lag eine Datei, smilie.php .

Der Bertreiber vom Server, hat meine wieder Log gestartet. Die hatte ich mal gelöscht. Weis auch nicht warum. Aus dieser Log ging heute Früh hervor, dass diese Datei die gelöschten Verzeichnisse + Schad-Dateien wieder erstellt.

Hoffe das jetzt ruh ist. Danke an allen für die Tipps

Danke sagt der Ralf

nein, solange du nicht weißt wie diese datei da hinkommt, ist keine ruhe.

Ich denke das dieses Verzeichnis mit den Rechten etwas offen war. Sonnst wären andere "Domain-Verzeichnisse" auch betroffen gewesen. Warum nur Zimmer verwüsten wenn man schon mal im Hause ist. Wird mir eine Lehre sein.

Im Anhang mal die PHP für welche die sich mit PHP auseinander setzen. Hab diese Datei mal im Localhost laufen lassen. Damit existiert ein Dateimanager auf dem Server. Deiser ist dann von außen aufrufbar und somit hat man dann die Localhost-Rechte.