[quote name='Grogi' post='10709' date='11.08.2006 - 10:41']Es handelt sich dabei um eqdkp (Irgend so ein Punktesystem), und zwar um die Datei c99safemod.php.
Es war nicht möglich, Dateien auszulesen, sondern nur vorhandene Dateien mit anderem Inhalt zu überschreiben. Überschrieben wurde die erste Datei (index.php), es kam beim Aufruf ein fremder Inhalt.
Andere Daten wie beispielsweise die Datenbank wurden nicht ausgelesen oder beschädigt.[/quote]
Hi!
Zum einen sind die Dateien mal wieder ausgetauscht worden und zum anderen ist das C99 nicht "irgendein Script" sondern ein Root-Kit. Wir haben in unserem Clan (für die die´s nicht kennen: quasi ein Verein von "zocksüchtigen" Computerfreaks <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/biggrin.png' class='bbc_emoticon' alt='
' /> ) mal das gleiche Problem gehabt. Uns wurde das Script über eine Grafik versteckt unter gejubelt. Äußerlich DURCH NICHTS ZU ERKENNEN hat sich bei einem Klick auf die Grafik das Script automatisch mit Root-Rechten auf dem Server installiert - egal ob Windows oder Linux-Server und egal welche Forensoftware o.ä.. Danach lies sich das Script über eine entsprechende PHP-Datei aufrufen und man hatte u.A. einen Dateiexplorer zur Verfügung und die VOLLSTÄNDIGE Gewalt über den Server. Das Script war leicht zu löschen, aber die Ursache woher es kam nur schwer zu finden. Es wurde vom Server gelöscht und 3 Tage später war er schon wieder gehackt und das Script schon wieder da.
Wenn nur die index.html gelöscht/geändert wurde kannst Du noch von Glück reden bzw. der Hacker wollte wie bei uns tatsächlich nur auf eine Sicherheitslücke aufmerksam machen. Durch das Script hat man wie gesagt vollen Root-Zugriff auf alle Daten! Wo die Sicherheitslücke genau liegt (PHP, Apache o.ä.) kann ich Dir leider auch nicht sagen. <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/sad.png' class='bbc_emoticon' alt='
' />
Sollte es wieder das C99 sein kannst Du das Problem auf jeden Fall relativ einfach umgehen indem Du ALLE Bilderuploads (also auch Avatare etc.) verbietest bzw. nur für registrierte User zulässt. Dann musst Du "nur noch" die infizierte Datei finden löschen...
Viel Erfolg und ich hoffe Dir damit ein wenig geholfen zu haben,
Carsten