Ergebnis 1 bis 9 von 9

Thema: Fremdzugriff auf Webspace, 2 Dateien zu viel

  1. #1

    Fremdzugriff auf Webspace, 2 Dateien zu viel

    ich wurde Ende Juni von meinem alten Hoster gesperrt, weil plötzlich mein VMS1.2 den Server zu stark belastet hat. Jetzt bin ich also umgezogen und bin noch der einzige Nutzer des Servers. Und jetzt geht das trotzdem wieder von vorn los.

    Beim Durchschauen der Dateien fielen mir die 2 PHP Dateien main.php und socket.php im Hauptverzeichnis auf. Ich weiß, dass die nicht zum VMS gehören und ich hab die da auch nicht hin.

    Ich vermute, dass es irgendein Hackerzeugs ist

    nur leider hab ich nicht genug Ahnung von PHP, um es zu verstehen
    deshalb wäre ich sehr dankbar, wenn sich jemand findet, der sich die Dateien mal anschaut und mir dann grob sagt, was die machen und ob das mit der extremen Serverbelastung zusammenhängen kann

    die Dateien will ich nicht öffentlich anbieten, deshalb gibts die nur per PN


    Danke schonmal im Voraus

    LG
    Skipper
    XtremLose 300-500 Lose pro Bettelaufruf bei nur 1 Stunden Reload
    WebAdMan Online Werbe Management System

  2. #2
    Benutzer
    Registriert seit
    16.04.2009
    Beiträge
    34
    Du kannst doch die Dateien einfach mal vom Quelltext her posten, dann wird dir sicherlich sehr schnell jemand Helfen können. Notfalls schick Sie mir via PN, dann kann ich dir auch ungefähr sagen was die machen und was nicht...

  3. #3
    Zitat Zitat von MerekFynn Beitrag anzeigen
    Du kannst doch die Dateien einfach mal vom Quelltext her posten, dann wird dir sicherlich sehr schnell jemand Helfen können. Notfalls schick Sie mir via PN, dann kann ich dir auch ungefähr sagen was die machen und was nicht...
    die Codes sind fürs Forum zu groß, weil die main.php über 200KB groß ist

    PN kommt gleich
    XtremLose 300-500 Lose pro Bettelaufruf bei nur 1 Stunden Reload
    WebAdMan Online Werbe Management System

  4. #4
    Benutzer
    Registriert seit
    16.04.2009
    Beiträge
    34
    Zitat Zitat von skipper Beitrag anzeigen
    die Codes sind fürs Forum zu groß, weil die main.php über 200KB groß ist

    PN kommt gleich
    Also die Dateien sehen für mich arg danach aus als ob dein Server als "Proxy" verwendet wird. Zumindest steht in einer der beiden Dateien drin das gewisse Ports geöffnet werden sollen und Login Daten. Lösch die Dateien einfach mal, und schau ob Sie wiederkommen...

  5. #5
    Zitat Zitat von MerekFynn Beitrag anzeigen
    Also die Dateien sehen für mich arg danach aus als ob dein Server als "Proxy" verwendet wird. Zumindest steht in einer der beiden Dateien drin das gewisse Ports geöffnet werden sollen und Login Daten. Lösch die Dateien einfach mal, und schau ob Sie wiederkommen...
    danke erstmal für deine Hilfe

    die Dateien sind seit heute Nachmittag gelöscht und bis jetzt noch nicht wieder da ... ich hoffe mal das bleibt so


    wenn man mal nach "Milw0rm" googlet, was ja in der main.php vorkommt, bekommt man nicht gerade beruhigende Ergebnisse
    XtremLose 300-500 Lose pro Bettelaufruf bei nur 1 Stunden Reload
    WebAdMan Online Werbe Management System

  6. #6
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Da du ja der einzige auf dem Server bist, sollte sich ja nachvollziehen lassen (Logs) ob es BruteForce Attacken auf den FTP gab.

    Dann kann es noch sein, das dein lokaler PC infiziert ist, gibt da massig Viren, die sich an dein FTP Programm "dranhängen" und die Dateien beim übertragen manipulieren können.

    Was aber am schlimmsten wär, ist natürlich eine Lücke in deinem Script, welche dann ja immer wieder ausgenutzt werden kann.

    Deswegen am besten mal das ganze Script prüfen, bzw. alle Addons.

    Oder die beiden Dateien anlegen ohne Inhalt und alle Rechte von den Dateien entfernen, so dass sie nur noch vom Haupt-Admin-Account bearbeitet werden können. (Unter Linux meist "root", und wenn der/die da Zugriff haben, dann #*~. )

    Btw:
    Welcher FTP Server wird da verwendet?
    (Steht meist wenn man sich einloggt in den ersten Zeilen)
    Weil für die meisten gibt es effektive Schutzmaßnahmen gegen BruteForce, nur sind die meist nicht aktiviert)
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  7. #7
    Benutzer
    Registriert seit
    16.04.2009
    Beiträge
    34
    Milw0rm ist eine Exploit Plattform die sich ausschließlich mit Sicherheitslücken in Programmen und Scripten beschäftigt. Wenn Sie also immer da sind wo du auch bist, unabhängig vom Hoster dann behaupte ich einfach mal gibt es ein Exploit für eines deiner verwendeten Scripte...

    Ich denke kaum das es für das VMS selbst ein Exploit gibt, denn milw0rm beschäftigt sich eher mit größeren Programmen die weiter verbreitet sind als dinge wie dem VMS...

    Ich hab vorhin auf der Seite auch mal gesucht, aber leider nichts gefunden zum VMS, also musst du etwas anderes auf deinem Space haben bzw der Hoster ist nicht Safe genug...

  8. #8
    Zitat Zitat von jpwfour Beitrag anzeigen
    Da du ja der einzige auf dem Server bist, sollte sich ja nachvollziehen lassen (Logs) ob es BruteForce Attacken auf den FTP gab.

    Dann kann es noch sein, das dein lokaler PC infiziert ist, gibt da massig Viren, die sich an dein FTP Programm "dranhängen" und die Dateien beim übertragen manipulieren können.
    das lässt sich jetzt schlecht nachvollziehen, weil das schon beim alten Hoster passiert ist und die Dateien einfach übernommen hab

    ich hab mal in meinen Backups gestöbert und festgestellt, dass es schon im Backup von April drin war ... und das war das erste Backup der Dateien was ich von der Seite gemacht hab, also kann es schon seit Weihnachten drauf sein
    die massiven Probleme gingen aber erst am 29.6. los

    Zitat Zitat von MerekFynn Beitrag anzeigen
    Ich denke kaum das es für das VMS selbst ein Exploit gibt, denn milw0rm beschäftigt sich eher mit größeren Programmen die weiter verbreitet sind als dinge wie dem VMS...

    Ich hab vorhin auf der Seite auch mal gesucht, aber leider nichts gefunden zum VMS, also musst du etwas anderes auf deinem Space haben bzw der Hoster ist nicht Safe genug...
    also ich weiß ja nicht auf welchen Seiten du warst, aber mir gehören nur webadman.de und xtremlose.de und die haben beide das VMS1.2 als Grundscript

    ich hab mir heute die main.php nochmal angeschaut und befürchte, dass es nicht um mein Script geht (weil die Dateien ja schon vorhanden sind), sondern um das OS (Linux) auf dem Server


    ... ich hab ja immernoch die Hoffnung, dass es nach dem erneuten Serverumzug morgen früh wieder funktioniert
    XtremLose 300-500 Lose pro Bettelaufruf bei nur 1 Stunden Reload
    WebAdMan Online Werbe Management System

  9. #9
    Benutzer
    Registriert seit
    16.04.2009
    Beiträge
    34
    Zitat Zitat von skipper Beitrag anzeigen
    also ich weiß ja nicht auf welchen Seiten du warst, aber mir gehören nur webadman.de und xtremlose.de und die haben beide das VMS1.2 als Grundscript

    ich hab mir heute die main.php nochmal angeschaut und befürchte, dass es nicht um mein Script geht (weil die Dateien ja schon vorhanden sind), sondern um das OS (Linux) auf dem Server


    ... ich hab ja immernoch die Hoffnung, dass es nach dem erneuten Serverumzug morgen früh wieder funktioniert
    Ich habe bei Milw0rm auf der Seite nach einem Exploit für das VMS gesucht, allerdings keines gefunden. Ich schätze auch mal das es an irgendeiner Software auf deinem Server liegt. Linux, der FTP, die Datenbank, irgendwie sowas wird es sein. Deine beiden Dateien sind ein kompletter Proxy Server, mit dem man eine menge Traffic verursachen kann. Normalerweise müsste dein Hoster sowas aber bemerken anhand der allgemeinen Serverlogs...

Ähnliche Themen

  1. Dat. Dateien als Addon
    Von artemtyse im Forum [HD] Grafik, Server & Sonstiges
    Antworten: 3
    Letzter Beitrag: 05.03.2014, 21:04
  2. Fremdzugriff EF
    Von Tschaet im Forum Support zum VMSone
    Antworten: 17
    Letzter Beitrag: 25.04.2013, 14:24
  3. Mir fehlen Dateien!?
    Von Ibijrg im Forum Support zum VMSone
    Antworten: 4
    Letzter Beitrag: 04.04.2010, 09:19
  4. Dateien komprimieren
    Von dude32 im Forum [HD] Grafik, Server & Sonstiges
    Antworten: 4
    Letzter Beitrag: 02.09.2009, 11:51
  5. .gif dateien in menuhead
    Von pr2510 im Forum Support zum VMSone
    Antworten: 6
    Letzter Beitrag: 19.09.2007, 17:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •