HILFE!!! Malware entfernen...

E

elcomportal

New Member
Hallo,
irgend ein Vollpfosten hat sich an meinem Server zu schaffen gemacht und in diverse PHP und html Dateien Code eingefügt.

Sieht etwa so aus (alle Zahlen geändert):
#c32346d#
echo(gzinflate(base64_decode("dgdsfsdgdsg....

Kann ich auf dem Server alle PHP und htm Dateien durchsuchen lassen und den entsprechenden Code entfernen lassen?

Auf dem Ding liegen sehr viele Dateien.

Wie kann ich nachkommen, wie der Idiot auf den Server eingebrochen ist?

VG
Torsten
 
elcomportal said:
Wie kann ich nachkommen, wie der Idiot auf den Server eingebrochen ist?
Click to expand...

Für viel Geld wird sich das eine Firma im IT Security Sektor sicherlich ansehen.


elcomportal said:
irgend ein Vollpfosten hat sich an meinem Server zu schaffen gemacht und in diverse PHP und html Dateien Code eingefügt.
Click to expand...

Bist du dir sicher dass deine Maschine auf dem neusten Stand war (in Sachen Updates / Security) und das deine Scripte dies ebenfalls waren?

Teile uns doch bitte folgende Informationen mit:

-Verwendetes OS mit Versionsnummer
-Verwendete Scripte
-Wie ist PHP eingebunden? (mod_php, fcgid, suphp, etc)

Wie sehen deine php.ini files aus bzw. wie siehte die möglicherweise eine aus?
 
elcomportal said:
irgend ein Vollpfosten hat sich an meinem Server zu schaffen gemacht und in diverse PHP und html Dateien Code eingefügt.
Click to expand...
Irgendein Vollpfosten hat aber vorher Deinen Server und die WebApps nicht ordnungsgemäss administriert. Darüber solltest Du mal nachdenken...

elcomportal said:
Kann ich auf dem Server alle PHP und htm Dateien durchsuchen lassen und den entsprechenden Code entfernen lassen?
Click to expand...
man grep
man sed

elcomportal said:
Wie kann ich nachkommen, wie der Idiot auf den Server eingebrochen ist?
Click to expand...
Indem Du einen ausführlichen Security Audit des gesammten Systems durchführst.


BTW: Wenn Deine Signatur im Zusammenhang mit Deinem gehackten System steht, dann solltest Du Dir auch mal darüber Gedanken machen, ob es wirklich Intelligent ist, sich ausgerechnet mit dieser Branche anzulegen...
 
Hi Joe User,

grep habe ich schon gefunden und benutze das gerade. Danke trotzdem.
Nein, das in meiner Signatur ist auf einem anderen Server.

VG
Torsten
 
Das Entfernen des Codes ist die leichte Übung, normalerweise würde ich die Webanwendungen auf dem Server löschen und sauber aus dem aktuellen eigenen Repository wiederherstellen.

Deutlich aufwendiger wird die Suche nach der Schwachstelle. Vorzugsweise wird das wohl eine der installierten Webanwendungen gewesen sein. Ein intensiver Blick auf access.log und error.log sollte hoffentlich ein paar Hinweise aufzeigen.
 
Dir ist schon klar, dass du, wenn du jetzt nur die Symptome behandelst, morgen am gleichen Punkt stehst, weil wieder alles überschrieben sein wird?
 
Ich hatte das auch bei 2 Kunden und da lag es am Rechner der Kunden, da war ein Trojaner drauf und hat das FTP-Passwort ausgelesen. Also schaue Dir besser mal Deinen Rechner an. Denn die haben es bei den Kunden immer wieder versucht. Erst als ich die FTP-Kennwörter geändert habe und die Rechner sauber waren lief das ganze ins leere und die haben irgendwann aufgehört.
 
You must log in or register to reply here.
Back
Top