Moin, moin....
sagen wir mal so: die heutigen Cracker sind eben keine Script-Kiddies mehr, sondern mitunter höchstfähige Leute mit einem enormen kriminellen Potential, der die Sicherheitsindustrie ohnehin immer hinterherlaufen wird. Du kannst eigentlich nur versuchen, es den Nachahmungstätern etwas schwerer zu machen, auf dass sie die Lust an Dir verlieren, weil es bei Dir zu lange dauert und irgendwo bestimmt ein paar weniger abgeschirmte Rechner rumdümpeln! Ich galube einfach, wenn einer von denen, die Ahnung haben, auf Deinen Rechner raufwollen, dann werden sie es auch schaffen, irgendwie. Nur lohnt es sich halt nicht für die, tagelang einen einzigen Rechner zu knacken, denn Kohle machen sie nur mit ganzen Bot-Netzen!
Obwohl sie mir z.B. den r57shell-Trojaner (ein in php geschriebens Script) untergejubelt haben, muss ich neidvoll anerkennen, dass das Teil genial ist.
Zurück zur Sache:
sicherheitskritische php-Scripte sollten mit
allow_url_fopen=Off
register_globals=Off
safe_mode=On
nicht mehr ganz so eine dramatische Rolle spielen.
In "selbstangelegte" CHMOD777 tmp Ordner vielleicht noch 'ne .htaccess
<Files *>
Order Allow,Deny
Deny from All
</Files>
Den Rest (vielleicht zur späteren Analyse) auf Heimrechner sichern und auf dem Server löschen.
Alle Passwörter ändern (ist bei/für Confixx 'n bisschen besch..., da nur über die/in der Datenbank, dann in der settings.inc.php und confixx_main.conf) und sich fortan dadurch von SSL und autorespond verabschieden, da die "alten" Passwörter auch noch in den entsprechenden .pl Dateien liegen (oder kennt jemand einen Weg, die da auch ändern zu können?)
Sofern noch Confixx 3.1 läuft, sofort auf 3.3.1 updaten (in 3.1 soll's 'ne Lücke geben!) oder wenigstens den Hotfix für 3.1 ausführen!
Tip am Rande: CHMOD für Ordner /confixx/html/include/template/templates_c kontrollieren (der hatte bei mir 777 und beinhaltete den Trojaner r57shell.php)
hatte den damals gelöscht, nach dem Update war er wieder da (der Ordner, nicht der Trojaner
) und hatte prompt wieder CHMOD 777. Keine Ahnung, wozu der gut sein soll, aber S4Y meinte auf Nachfrage, der würde gelegentlich von confixx benötigt, aber 755 reicht auch.
Am besten den tmp- und .error-Ordner gleich mitkontrollieren (in tmp hatte ich eine Kopie des .error-Ordners und im eigentlichen .error-Ordner einen Backdoor.Iroffer Trojaner! Bei mir hat sich halt fast alles innerhalb von Confixx abgespielt! Ausserhalb dessen (mit Ausnahme einer vom r57-Trojaner angelegten Datenbank, die man nur über phpmyadmin sehen konnte) habe ich nichts gefunden. Mich haben sie mehr oder weniger kurzzeitig als IRC- und Bittorrent-Schleuder benutzt. Evtl. noch als Spammailer auf web0 (das Postfach hatte als einziges vollen Schreibzugriff für alle Benutzer (im Normalzustand nur für den Besitzer).
Nach Ausführen sämtlicher o.g. Punkte (ohne Neu-Installation!) sieht's derzeit ruhig im Karton aus! Ich kontrolliere im Moment allerdings mindestens 3x täglich mit SSH Secure File Transfer Client meine Inhalte auf dem Server, ob sich etwas verändert hat (Schreibberechtigungen, neue (suspekte?) Ordner usw.) und im Nachgang mit Putty die Eigentumsrechte. Mühselig... aber würde ich auch mit einem neuaufgesetzten System genauso machen. Nur dass ich mich bislang davor gedrückt habe, alle meine Kunden neu anzulegen, Datenbanken neu einzuspielen usw. usf.
Wie gesagt, bei mir sieht's so aus, als seien sie über Confixx nicht hinausgekommen.... Toi, toi, toi....
Greetz
DB