Hallo,
unser Server wurde vorgestern gehackt.
Betroffen waren zwar nur 6 Sites (von ca. 60) auf dem Server und fast immer wurde nur die index.html ausgetauscht - aber der Fall hat etwas besonderes:
Die Hacker scheinen den Filemanager benutzt zu haben.
Es wurde auch nur jeweils 1 Versuch festgestellt, rein zu kommen - also 100% Trefferquote.
Nun kann es ja sein, dass die Passworte - aus welchen Gründen auch immer - bekannt waren - also habe ich die Passworte für alle Sites geändert - sowohl für den FTP-User als natürlich auch für das Login in das VHCS2.
Aber siehe da - gestern waren die Knülche schon wieder aktiv. Ich konnte gerade noch den FTP-Server runter fahren bevor noch mehr passierte.
Meine Frage:
Hat irgendjemand schon mal so etwas gehabt?
Hat der Filemanager möglicherweise ein Leck?
Im xferlog hatt ich in allen Fällen localhost.localdomain als referer stehen.
Ich bin dankbar für jede Information.
Thomas
unser Server wurde vorgestern gehackt.
Betroffen waren zwar nur 6 Sites (von ca. 60) auf dem Server und fast immer wurde nur die index.html ausgetauscht - aber der Fall hat etwas besonderes:
Die Hacker scheinen den Filemanager benutzt zu haben.
Es wurde auch nur jeweils 1 Versuch festgestellt, rein zu kommen - also 100% Trefferquote.
Nun kann es ja sein, dass die Passworte - aus welchen Gründen auch immer - bekannt waren - also habe ich die Passworte für alle Sites geändert - sowohl für den FTP-User als natürlich auch für das Login in das VHCS2.
Aber siehe da - gestern waren die Knülche schon wieder aktiv. Ich konnte gerade noch den FTP-Server runter fahren bevor noch mehr passierte.
Meine Frage:
Hat irgendjemand schon mal so etwas gehabt?
Hat der Filemanager möglicherweise ein Leck?
Im xferlog hatt ich in allen Fällen localhost.localdomain als referer stehen.
Ich bin dankbar für jede Information.
Thomas
