Werd ich gehackt?

[Schiwi]

Moin leute,

wenn ich so die logs von meiner Webseite durchgehe, finde ich oft Einträge wie diesen hier,

87.238.28.137 - - [06/Feb/2008:05:34:13 +0100] "GET /index.php?page=schnipp? HTTP/1.1" 200 13917 "-" "libwww-perl/5.79"

in der Textdatei steht dann ein PHP Code, versteht jemand den Code und kann mir sagen was die vorhaben und wie ich mich schützen kann?

Sowas find ich immer wieder in meinen logs, so lang wie dieser war aber bisher noch kein Code.

[Link entfernt von Maik, da offensichtlich ein Virus]


Ich wollt den Code erst hier einfügen, waren aber zuviele Zeichen...

Gruß Schiwi

 

[shader09]

wenn ich den Link anklicke, Meldet sich mein AntiVir.

 

[shader09]

Hab da mal noch Frage zu,
speicherst du jeden Besucher deiner Seite oder machst du ein LOG nur
bei Anmeldungen.

 

[merzi86]

Bindest includest du die Seite, die per ?page weitergegeben wird?
Wenn ja hast du ein Schutz, der verhindert, das man von außen Seiten einbinden kann

 

[Gumbo]

Schützen kannst du dich, indem du verhindest, dass diese Quellcode auf deinem Server ausgeführt wird. Dazu reicht es die Werte des „page“-Arguments zu prüfen und nur erlaubte Werte zuzulassen.

 

[Navy]

Welche Art von Server nutzt Du (OS, Webserver, Datenbank, PHP-Version, etc)?

Kommen diese vermeintlichen Angriffe oft hintereinander? Hast Du dich schon mal mit der Absicherung von (Web)Servern auseinander gesetzt?

 

[Schiwi]

wenn ich den Link anklicke, Meldet sich mein AntiVir.

[Link entfernt von Maik, da offensichtlich ein Virus]

komisch, ist doch nur ne *.txt mit phpcode inside ... ?

ich hab
allow_url_include Off

in der php.ini, wollt aber nochmal nachfragen ob das reicht.

Was der code darin genau macht hat wohl keiner von euch rausfinden können?
das interessiert mich nämlich hauptsächlich

 

[Flex]

Die Meldung von AntiVir wäre natürlich interessant, wobei ich vermute, dass es sich um eine Art von PHP Shell Virus handelt.

Könntest du mir die .txt vielleicht einmal zeigen?
http://paste.flexmex.net
Da könntest du es kurz hochladen.

 

[Schiwi]

Die Meldung von AntiVir wäre natürlich interessant, wobei ich vermute, dass es sich um eine Art von PHP Shell Virus handelt.

Könntest du mir die .txt vielleicht einmal zeigen?
http://paste.flexmex.net
Da könntest du es kurz hochladen.

http://paste.flexmex.net/pastebin.php?show=56

bidde sehr

 

[Azi]

Hi,

das ist r57shell, wenn die auf deinem Server liegt, wurdest du sehr sicher gehackt.

Lösche diese und am Besten stellst du die Seite erstmal offline, such nach der Sicherheitslücke, beheb diese, und dann kannst du die Seite wieder online stellen.

Viel Glück!

Azi

P.S.: Wär das nicht besser im Security-Forum aufbewahrt?