Phishing Seite auf Server

W

webknecht

Registered User
Hallo zusammen,

bin mir nicht sicher, ob mein Problem hier hingehört, trotzdem:

bekam von S4Y den Hinweis, dass sich auf meinem Server eine AOL-Phishing-Seite installiert hat. Diese war auf dem Server im Verzeichnis srv/www/confixx/html tatsächlich vorhanden.
Hat jemand schon ähnliche Erfahrungen gemacht. Kann das etwa ein Confixx-Problem sein, da sich die Seite ja dort installiert hat.
Oder steckt da einfach nur ein anderes Sicherheitsproblem dahinter?
Wäre für jeden Hinweis dankbar
Gruss Webknecht
 
Hallo,

es gab in Confixx schon einige Sicherheitslücken, die setzten aber voraus daß man in Confixx eingelogt war um sie ausnutzen zu können. Wenn Du den Server alleine nutzt bzw den Mitbenutzern ganz sicher vertrauen kannst ist es unwahrscheinlich daß die Seite über Confixx reinkam.

Falls Du sie noch nicht gelöscht hast: Owner, Group und Rechte dieser Datei schreiben.
 
Ich würde dir empfehlen deine Daten zu sichern, Logfiles auszuwerten, alle Dienste einmal stoppen und dann letztendlich den Server neu installieren zu lassen. Da du dir nicht sicher sein kannst, wie viele Backdoors sich ein Eindringling noch gemacht hat. Wenn du dies nicht tust und dein Server weiterhin missbraucht wird, kann es sehr schnell passieren, dass du die umstrittenen 39 Euro Entsperrgebühr entrichten musst, weil S4Y deinen Server aufgrund von weiterhin vorhandenen Mängeln sperrt.
 
Schau auf den Timestamp der installierten Dateien und suche in allen access_log's zu diesem Zeitpunkt. Dann findest Du die Lücke.

huschi.
 
Hallo zusammen,

das Teil hatte tatsächlich root-Rechte, sowohl Besitzer als auch Gruppe. Werde jetzt erst mal die Log-Dateien sichten. Ich habe einige Joomla-Installationen auf dem Server laufen. Hab mich dort mal im Forum umgesehen, es scheint da bei einigen Komponenten massive Sicherheitsprobleme zu geben.
Hat in dieser Richtung schon mal jemand was erlebt???
 
Also an deiner Stelle würd ich das System neu aufsetzen, den Logs kannst du auf so nem kompromitieren System eigentlich nicht mehr trauen...
 
Hallo,

webknecht said:
das Teil hatte tatsächlich root-Rechte, sowohl Besitzer als auch Gruppe.
Click to expand...
dann kann es nicht über die Confixx-Oberfläche oder PHP eingebracht worden sein. Die Datei wurde von jemandem angelegt der Root-Rechte hatte.
Werde jetzt erst mal die Log-Dateien sichten.
Click to expand...
Sichten und sichern. Am besten Komplettbackup erstellen und downladen.
Dann Server neu aufsetzen.
 
You must log in or register to reply here.
Back
Top