Scar4U.de

ertu20 · Anmeldedatum: 24.03.2007 Beiträge: 8

Hallo,

habe letztens ein Backup von meinen Serverdaten gezogen und bei einer Datei meckerte mein Antivirprog.

Im Verzeichnis /httpdocs/Scarbook/smilies ist ein Verzeichnis "plekih".
Die Scripte in diesem Verzeichnis habe ich mir angeguckt. Das Script dient dazu email Adressen zu grabben.

Ich wills löschen aber kanns nicht weil der User von diesem Verzeichnis ein anderer ist.

Ich stell das mal hier zum download bereit. Aber vorsicht ist ein Wurm drin, der aber schon unbenannt und unschädlich gemacht wurde.

.. url ..

Wie kann ich dieses Verzeichnis löschen???

*edit* url wurde entfernt.

Christian · Verfasst am: 24.03.2007, 16:23 Titel:

den link zur datei habe ich zur sicherheit entfernt. mit dem script könnte sonst auf dem server/webspace viel schaden angerichtet werden.

mein viren programm meldet: LINUX/Procfake. also sollte der für windows systeme relativ harmlos sein.

- auf diesen virus muss unbedingt der hoster aufmerksam gemacht werden -

da die dateien vermutlich direkt über php erstellt wurden, können sie vermutlich in diesem fall auch nur mit php gelöscht werden. script-user ist "wwwrun", also der apache-standard-user.

allgemein kann man sich entweder ein script suchen, mit dem man über php dateien/verzeichnisse löschen kann oder man gibt dem hoster bescheid, dass der die dateien löscht. letzteres ist hier unbedingt zu empfehlen.

----

entweder wurde das skript über eine php-sicherheitslücke oder das script selbst eingeschleust. ich tippe zwar eher auf php, aber zur sicherheit sollte auch direkt das ganze script aktualisiert werden.

siehe: http://www.scar4u.de/scripts/scarbook/index.html

----

noch mal als hinweis: unbedingt den hoster informieren. evt ist weit mehr vom server betroffen als man auf den ersten blick erkennt.
_________________
BackTix.de - Textlink Marktplatz
Mit BackTix.de wird Ihnen ein guter Marktplatz für den Textlink Kauf und Backlink Verkauf zur Verfügung gestellt.

ertu20 · Anmeldedatum: 24.03.2007 Beiträge: 8

Ich werde mal den Hoster bitten dieses Verzeichnis zu löschen.
Danke für die Antwort Scar.

Christian · Verfasst am: 27.03.2007, 12:44 Titel:

mich würde interessieren was der hoster dazu sagt. wenn möglich einfach mal ein kurzes feedback hier im forum oder per kontakt-formular geben. thx
_________________
BackTix.de - Textlink Marktplatz
Mit BackTix.de wird Ihnen ein guter Marktplatz für den Textlink Kauf und Backlink Verkauf zur Verfügung gestellt.

ertu20 · Anmeldedatum: 24.03.2007 Beiträge: 8

Habe zuerst ein mail geschrieben, genau so wie dus mir erklärt hast und habe diese Antwort bekommen:

ertu20 · Anmeldedatum: 24.03.2007 Beiträge: 8

Alles schön geklappt, wie bei jedem Film auch hier ein HAPPY END,...

Dankeschön für deine Hilfe, aber kann da jeder sein script reinlegen wie er lustig ist ohne dass ich es löschen kann ???

Wie kann ich mich besser für die nächste attacke bewaffnen?

Hast du eine Idee wie die das machen???

Könnte ja eventuell auch böse enden, was zum glück hier nicht der Fall war,...

Christian · Verfasst am: 31.03.2007, 11:52 Titel:

hm, also in meinen augen ist das kein vollständiges happy-end.

es könnte nur dann eines sein, wenn wirklich im scarbook v1.2 eine lücke war die in v1.3 nicht mehr existiert (was durch die komplette neuprogrammierung gut denkbar ist).

ich vermute eher weiterhin einen bug im php oder einem anderen skript. in jeden fall scheint der hoster nicht auf das eigentliche problem zu reagieren. letzteres ist leider typisch für massen-hoster, wie evanzo.

grundsätzlich würde ich raten, alle skripte zu kontrollieren und auch via google suchen, ob sicherheitslücken bekannt sind. ansonsten hilft nur prophylaktisch backups anlegen.

wenn die nur den chmod zurück setzen, kann man sich den kontakt praktisch sparen und direkt ein skript suchen was genau das macht.
_________________
BackTix.de - Textlink Marktplatz
Mit BackTix.de wird Ihnen ein guter Marktplatz für den Textlink Kauf und Backlink Verkauf zur Verfügung gestellt.

oolicks_rNb · Anmeldedatum: 21.10.2009 Beiträge: 3

allgemein kann man sich entweder ein script suchen, mit dem man über php dateien/verzeichnisse löschen kann oder man gibt dem hoster bescheid, dass der die dateien löscht. letzteres ist hier unbedingt zu empfehlen. da die dateien vermutlich direkt über php erstellt wurden, können sie vermutlich in diesem fall auch nur mit php gelöscht werden. script-user ist also der apache-standard-user.