Conentido hacked by TURKISH DEFACERS!

[emergence]

also welche version setzt du nun genau ein ?
noch immer eine 4.6.4 ? oder hast du schon ein update auf die 4.6.8.4 vorgenommen ? (konnte ich nicht wirklich feststellen, wie ich mir das hier durchgelesen hab)

falls es immer noch die 4.6.4 ist -> das hier beachten
http://contenido.org/forum/viewtopic.ph ... highlight=
oder ein update vornehmen...

weiters...
welche config.php wurde den nun genau geändert ?
contenido/includes/config.php oder
die config.php des jeweiligen mandanten...

ähm im apache access log steht wirklich nichts drinnen ?

[rezeptionist]

Ja er hat auf unseren Rat hin die 4.6.8.4 Installiert.
http://contenido.org/forum/viewtopic.php?t=12924

[emergence]

aso...
hab den anderen thread zwar gelesen, hab aber irgendwie keine verbindung zwischen den beiden threads erkennen können... ist wohl noch zu früh...

[Maribeauli]

@firstlevel,

das waren mit Sicherheit keine Kiddy.

Beginnt das Script so und ist ca. 81 kb groß:

Code: Alles auswählen

<?
@session_start();
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@error_reporting(0);
#####cfg#####
# use password  true / false #
$create_password = true;
$password = "aaa";    // default password for xxxxxxx, you can change it.

# UNIX COMMANDS
# description (xxx) command
...

Du solltest
1.) nach einer nachgeladenen Backdoor mit geöffnetem Socket suchen
2.) prüfen ob nicht Massenmail von dem Server/mit einem Script versendet wurden
3.) sehr genau prüfen ob sich nur "deine" Dateien auf dem Server befinden und nicht ein paar "Gast-Dateien"

Sollte es nicht das o.g. Script sein würde ich dieses Script gerne haben wollen.
Dazu würde ich dir eine PM mit einer Mail-Adresse an die das Script gehen soll, senden.