ich wollte Euch nur wissen lassen, dass mein Server durch ein Uploadscript gehackt wurde. Hier mal die Info von meinem Hoster:
Gesteuert wurden die hochgeladenen Dateien dann von folgender Adresse aus:Offensichtlich wurde ein PHP-Shell Script Namens r57 durch die Attachement Funktion Ihres FAQ System auf Ihren Webspace geschleust. Durch dieses konnten dann weitere Dateien eingeschleust werden.
Daher befinden sich im Verzeichnis /html/phpmyfaq/attachments noch weitere bösartige Dateien.
*ttp//://secretagent.by.ru
Vielleicht blockiert ihr diesen Server bei Euch um auf Nummer sicher zu gehen.
Diese Dateien wurden dann genutzt um DoS Attacken auf andere Server innerhalb des ServerCenters durchzuführen. Dies wiederum führte dazu, dass das komplette ServerCenter für 30min nicht am Netz war.
Ich weiß zwar, dass ich eine 1.6er Version benutzt habe aber nun nicht welche. In welchen Dateien kann ich (vielleicht als Kommentar) die eingesetzte Version der FAQ finden?
Werden innerhalb der FAQ die Dateizugriffe protokolliert, damit ich die problematische Datei weiter eingrenzen kann? Im Augenblick weiß ich nicht wie sie Scripte über die FAQ uploaden konnten.
Welche Dateien werden bei uploads aufgerufen? Dann würde ich da mal nach Zugriffen suchen.
Kann ich irgendwo die Zugriffe auf uploads nachvollziehen um zu sehen ob es eine Attacke mittels eines ausgespähten Passworts oder ob es ein Hack der Uploadfunktion war?
Die Ergebnisse würde ich Euch dann zur Verfügung stellen damit ihr solche Probleme vermeiden könnt.
Wenn ich etwas neues erfahre, lass ich es euch wissen.
Sorry, that I don't write in english, but at the moment my brain is burning .