Scar4U.de Foren-Übersicht Scar4U.de
Scar4u.de Support Forum
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

ein Wurm auf meinem Server im Smilie-Verzeichnis

 
Neues Thema eröffnen   Neue Antwort erstellen    Scar4U.de Foren-Übersicht -> ScarBook
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ertu20



Anmeldedatum: 24.03.2007
Beiträge: 8

BeitragVerfasst am: 24.03.2007, 14:00    Titel: ein Wurm auf meinem Server im Smilie-Verzeichnis

Hallo,

habe letztens ein Backup von meinen Serverdaten gezogen und bei einer Datei meckerte mein Antivirprog.

Im Verzeichnis /httpdocs/Scarbook/smilies ist ein Verzeichnis "plekih".
Die Scripte in diesem Verzeichnis habe ich mir angeguckt. Das Script dient dazu email Adressen zu grabben.

Ich wills löschen aber kanns nicht weil der User von diesem Verzeichnis ein anderer ist.

Ich stell das mal hier zum download bereit. Aber vorsicht ist ein Wurm drin, der aber schon unbenannt und unschädlich gemacht wurde.

.. url ..

Wie kann ich dieses Verzeichnis löschen???

*edit* url wurde entfernt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Christian
Scar4U


Anmeldedatum: 13.03.2006
Beiträge: 1018
Wohnort: Wiesbaden

BeitragVerfasst am: 24.03.2007, 17:23    Titel:

den link zur datei habe ich zur sicherheit entfernt. mit dem script könnte sonst auf dem server/webspace viel schaden angerichtet werden.

mein viren programm meldet: LINUX/Procfake. also sollte der für windows systeme relativ harmlos sein.

- auf diesen virus muss unbedingt der hoster aufmerksam gemacht werden -

da die dateien vermutlich direkt über php erstellt wurden, können sie vermutlich in diesem fall auch nur mit php gelöscht werden. script-user ist "wwwrun", also der apache-standard-user.

allgemein kann man sich entweder ein script suchen, mit dem man über php dateien/verzeichnisse löschen kann oder man gibt dem hoster bescheid, dass der die dateien löscht. letzteres ist hier unbedingt zu empfehlen.

----

entweder wurde das skript über eine php-sicherheitslücke oder das script selbst eingeschleust. ich tippe zwar eher auf php, aber zur sicherheit sollte auch direkt das ganze script aktualisiert werden.

siehe: http://www.scar4u.de/scripts/scarbook/index.html

----

noch mal als hinweis: unbedingt den hoster informieren. evt ist weit mehr vom server betroffen als man auf den ersten blick erkennt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
ertu20



Anmeldedatum: 24.03.2007
Beiträge: 8

BeitragVerfasst am: 25.03.2007, 21:51    Titel:

Ich werde mal den Hoster bitten dieses Verzeichnis zu löschen.
Danke für die Antwort Scar.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Christian
Scar4U


Anmeldedatum: 13.03.2006
Beiträge: 1018
Wohnort: Wiesbaden

BeitragVerfasst am: 27.03.2007, 13:44    Titel:

mich würde interessieren was der hoster dazu sagt. wenn möglich einfach mal ein kurzes feedback hier im forum oder per kontakt-formular geben. thx
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
ertu20



Anmeldedatum: 24.03.2007
Beiträge: 8

BeitragVerfasst am: 31.03.2007, 10:53    Titel:

Habe zuerst ein mail geschrieben, genau so wie dus mir erklärt hast und habe diese Antwort bekommen:

Zitat:

vielen Dank für Ihre Email.

Das von Ihnen verwendete Script hat Ihnen für die einzelnen Dateien die Userrechte entzogen und diese liegen nun beim System wwwrun.
Daher haben Sie nicht die Möglichkeit die Dateien z.B. über ein FTP Programm selber zu löschen.

Um die Dateien durch unsere Systemtechnik löschen zu lassen benötigen wir folgende Angaben von Ihnen. Per Fax 0421-24119950

Kundennummer:
Supportpasswort:
Domainpfad:
Zu löschende Dateien:
Mit Unterschrift des Account Inhabers

Sie erhalten nach vollzogener Löschung eine kurze Info.

Wir bitten um Verständnis.


Habe gemacht was die von mir wollten, dann habe ich dieses hier bekommen:

Zitat:

vielen Dank für Ihr Fax.
Wir haben die Rechte für das Verzeichniss zurückgesetzt. Sie können die Daten jetzt selber löschen.


Fuer weitere Fragen stehen wir Ihnen gern zur Verfuegung.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ertu20



Anmeldedatum: 24.03.2007
Beiträge: 8

BeitragVerfasst am: 31.03.2007, 10:59    Titel:

Alles schön geklappt, wie bei jedem Film auch hier ein HAPPY END,...

Dankeschön für deine Hilfe, aber kann da jeder sein script reinlegen wie er lustig ist ohne dass ich es löschen kann ???

Wie kann ich mich besser für die nächste attacke bewaffnen?

Hast du eine Idee wie die das machen???

Könnte ja eventuell auch böse enden, was zum glück hier nicht der Fall war,...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Christian
Scar4U


Anmeldedatum: 13.03.2006
Beiträge: 1018
Wohnort: Wiesbaden

BeitragVerfasst am: 31.03.2007, 12:52    Titel:

hm, also in meinen augen ist das kein vollständiges happy-end.

es könnte nur dann eines sein, wenn wirklich im scarbook v1.2 eine lücke war die in v1.3 nicht mehr existiert (was durch die komplette neuprogrammierung gut denkbar ist).

ich vermute eher weiterhin einen bug im php oder einem anderen skript. in jeden fall scheint der hoster nicht auf das eigentliche problem zu reagieren. letzteres ist leider typisch für massen-hoster, wie evanzo.

grundsätzlich würde ich raten, alle skripte zu kontrollieren und auch via google suchen, ob sicherheitslücken bekannt sind. ansonsten hilft nur prophylaktisch backups anlegen.

wenn die nur den chmod zurück setzen, kann man sich den kontakt praktisch sparen und direkt ein skript suchen was genau das macht.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
oolicks_rNb



Anmeldedatum: 21.10.2009
Beiträge: 3

BeitragVerfasst am: 22.10.2009, 02:25    Titel:

allgemein kann man sich entweder ein script suchen, mit dem man über php dateien/verzeichnisse löschen kann oder man gibt dem hoster bescheid, dass der die dateien löscht. letzteres ist hier unbedingt zu empfehlen. da die dateien vermutlich direkt über php erstellt wurden, können sie vermutlich in diesem fall auch nur mit php gelöscht werden. script-user ist also der apache-standard-user.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Scar4U.de Foren-Übersicht -> ScarBook Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de
 
Scar4U.de | Impressum | BackTix - Textlink Marktplatz