Datei ftpchk3.php im root
hallo,
habe bei 2 meiner joomlaseiten die datei "ftpchk3.php" im root gefunden
in beiden logdateien der jeweiligen seiten taucht die homepage
"mtl3d.de" auf - ist eine fragwürdige seite.(hab ich gleich über bot-trap blockiert)
mich würds interessieren ob noch jemand im root eine datei "ftpchk3.php" gefunden hat.
lg
Zu joomla gehört sie nicht.
Was steht denn drin?
in der datei steht nur
"<? echo("OK"); ?>"
Seltsam. Sieht nach irgendwie nach einem Test aus ob es möglich ist php Dateien anzulegen und aufzurufen. Die Datei kann von irgendeinem Script / Komponente angelegt worden sein oder von einer Fremden Person. Überprüf mal Deine Logfiles nach Verdächtigem.Zitat von maverik
hatte die datei bei 2 meiner webspaces drauf ..löschen brachte nix am nächsten tag
war die datei wieder am server
nach untersuchung der logfiles war immer www.cazoodle.com mit im spiel
hab jetzt den cazoodle bot und auch die ip über die htaccess gesperrt
und nun ist erstmal ruhe die dateien bleiben nach dem löschen jetzt auch gelöscht
Nein, Du bekämpfst wie viele hier nur die Symptome ohne die Ursache zu kennen.
Ruhe ist erst wenn Du weißt wie genau die Daten auf den Server kamen, d.h durch welche Schwachstelle im System es dem Angreifer gelang diese Datein dort zu plazieren.
Wenn der nun eine andere IP verwendet was machst Du dann?
Wenn jemand anderes die zweifelsohne vorhandene Lücke nutzt um ganz andere Dinge anzustellen?
Dein erster Beitrag über dieses Problem war am 02.06.07. Nun haben wir den 07.06.07.
Das sind mindestens 4 Tage Zeit das Problem zu suchen und zu beheben oder andere Maßnahmen zu Ergreiffen falls Dir das nicht möglich ist. Eine solche Maßnahme wäre das offline nehmen des Webpacketes / Servers (ich meine nicht die offline Version von joomla).Informiere auch Deinen Hoster über das Problem.
Ich und bestimmt auch einige andere in diesem Forum helfen Dir gerne weiter das Problem zu finden wenn Du es selbst nicht gefunden hast, dazu musst Du aber mehr Infos rausrücken. Das wären z.B. die Versionen Deiner Software, Logfiles, deine php Einstellungen usw.
Meistens findet man diese Schwachstellen innerhalb von Minuten in den Webserver Logfiles. (such mal nach =http, wget, curl, mosconfig_)
Edit:
Den text jetzt bitte nicht falsch verstehen.
Nur so ein Hinweis: Ich bin kein jurist, wenn Du aber weißt das Du eine Sicherheitslücke hast und solange nichts dagegen unternimmst kannst Du unter Umständen auch dafür Haftbar gemacht werden und dich evtl. sogar Strafbar machen. Und in 96 Stunden könnte man eine Menge Unfug mit einem gecrackten Server anstellen.
hallo habe ja eingangs gesagt das die datei auf 2 webspaces zu finden war
den 2. webspace habe ich dann komplett gelöscht und nur eine index.html war auf dem server und dennoch wurde die datei wieder angelegt
fazit es hat nix mit joomla zu tun
das blockieren mit der htaccess hat wirkung gezeigt bis dato ist nix mehr passiert
ich seh das als erstschutz bis der hoster mir konkrete antwort schickt ...danach breinige ich die htaccess wieder
dem hoster hab ich schon ne mail geschickt
mfg
Wenn das so ist bleibt Dir wohl nichts anderes übrig als auf eine Reaktion des Hosters zu warten. Wenn der sich allerdings 4 Tage Zeit lässt oder es in 4 Tagen nicht hinbekommt seine Server zu sichern würde ich mir gedanken machen...
Also die ftpchk3.php kenn ich in Verbindung mit dem Virus Bagle.
Nach einer Infektion auf einem Desktop-Rechner und anscheinendem Abhören des FTP-Zugangs wurde u.a. diese Datei auf den Server hochgeladen, aber sofort wieder gelöscht. Auch diverse Perlskripte, die vermutlich andere FTP-Zugänge auf dem Server in Erfahrung gebracht hatten.
Ich nehme an, du hast als erstes den FTP-Login geändert?
Ich nehme an, du hast gesehen, dass der Thread ca. 1.5 Jahre alt ist?
Gruß, Dennis
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen