Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert sind; Die von diesem Forum gesetzten Cookies düfen nur auf dieser Website verwendet werden und stellen kein Sicherheitsrisiko dar. Cookies auf diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Was das?
#9
[quote name='Grogi' post='10709' date='11.08.2006 - 10:41']Es handelt sich dabei um eqdkp (Irgend so ein Punktesystem), und zwar um die Datei c99safemod.php.

Es war nicht möglich, Dateien auszulesen, sondern nur vorhandene Dateien mit anderem Inhalt zu überschreiben. Überschrieben wurde die erste Datei (index.php), es kam beim Aufruf ein fremder Inhalt.



Andere Daten wie beispielsweise die Datenbank wurden nicht ausgelesen oder beschädigt.[/quote]



Hi!



Zum einen sind die Dateien mal wieder ausgetauscht worden und zum anderen ist das C99 nicht "irgendein Script" sondern ein Root-Kit. Wir haben in unserem Clan (für die die´s nicht kennen: quasi ein Verein von "zocksüchtigen" Computerfreaks <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/biggrin.png' class='bbc_emoticon' alt='Big Grin' /> ) mal das gleiche Problem gehabt. Uns wurde das Script über eine Grafik versteckt unter gejubelt. Äußerlich DURCH NICHTS ZU ERKENNEN hat sich bei einem Klick auf die Grafik das Script automatisch mit Root-Rechten auf dem Server installiert - egal ob Windows oder Linux-Server und egal welche Forensoftware o.ä.. Danach lies sich das Script über eine entsprechende PHP-Datei aufrufen und man hatte u.A. einen Dateiexplorer zur Verfügung und die VOLLSTÄNDIGE Gewalt über den Server. Das Script war leicht zu löschen, aber die Ursache woher es kam nur schwer zu finden. Es wurde vom Server gelöscht und 3 Tage später war er schon wieder gehackt und das Script schon wieder da.

Wenn nur die index.html gelöscht/geändert wurde kannst Du noch von Glück reden bzw. der Hacker wollte wie bei uns tatsächlich nur auf eine Sicherheitslücke aufmerksam machen. Durch das Script hat man wie gesagt vollen Root-Zugriff auf alle Daten! Wo die Sicherheitslücke genau liegt (PHP, Apache o.ä.) kann ich Dir leider auch nicht sagen. <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/sad.png' class='bbc_emoticon' alt='Sad' />

Sollte es wieder das C99 sein kannst Du das Problem auf jeden Fall relativ einfach umgehen indem Du ALLE Bilderuploads (also auch Avatare etc.) verbietest bzw. nur für registrierte User zulässt. Dann musst Du "nur noch" die infizierte Datei finden löschen...



Viel Erfolg und ich hoffe Dir damit ein wenig geholfen zu haben,

Carsten
Zitieren


Nachrichten in diesem Thema
Was das? - von churchi - 10-08-2006, 21:36
Was das? - von Loddar M - 10-08-2006, 21:43
Was das? - von frankydean - 10-08-2006, 22:02
Was das? - von ebi - 10-08-2006, 23:08
Was das? - von Daniel - 11-08-2006, 00:23
Was das? - von Daniel - 11-08-2006, 10:41
Was das? - von RoadRunner - 14-08-2006, 00:26
Was das? - von CrazySloter - 22-08-2006, 13:10
Was das? - von DarkSoul - 03-09-2006, 23:58
Was das? - von Daniel - 04-09-2006, 18:54
Was das? - von DarkSoul - 04-09-2006, 21:10
Was das? - von Daniel - 04-09-2006, 21:13

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste