Fremdzugriff auf Webspace, 2 Dateien zu viel

[skipper]

ich wurde Ende Juni von meinem alten Hoster gesperrt, weil plötzlich mein VMS1.2 den Server zu stark belastet hat. Jetzt bin ich also umgezogen und bin noch der einzige Nutzer des Servers. Und jetzt geht das trotzdem wieder von vorn los.

Beim Durchschauen der Dateien fielen mir die 2 PHP Dateien main.php und socket.php im Hauptverzeichnis auf. Ich weiß, dass die nicht zum VMS gehören und ich hab die da auch nicht hin.

Ich vermute, dass es irgendein Hackerzeugs ist

nur leider hab ich nicht genug Ahnung von PHP, um es zu verstehen
deshalb wäre ich sehr dankbar, wenn sich jemand findet, der sich die Dateien mal anschaut und mir dann grob sagt, was die machen und ob das mit der extremen Serverbelastung zusammenhängen kann

die Dateien will ich nicht öffentlich anbieten, deshalb gibts die nur per PN


Danke schonmal im Voraus

LG
Skipper

[MerekFynn]

Du kannst doch die Dateien einfach mal vom Quelltext her posten, dann wird dir sicherlich sehr schnell jemand Helfen können. Notfalls schick Sie mir via PN, dann kann ich dir auch ungefähr sagen was die machen und was nicht...

[skipper]

Du kannst doch die Dateien einfach mal vom Quelltext her posten, dann wird dir sicherlich sehr schnell jemand Helfen können. Notfalls schick Sie mir via PN, dann kann ich dir auch ungefähr sagen was die machen und was nicht...

die Codes sind fürs Forum zu groß, weil die main.php über 200KB groß ist

PN kommt gleich

[MerekFynn]

die Codes sind fürs Forum zu groß, weil die main.php über 200KB groß ist

PN kommt gleich

Also die Dateien sehen für mich arg danach aus als ob dein Server als "Proxy" verwendet wird. Zumindest steht in einer der beiden Dateien drin das gewisse Ports geöffnet werden sollen und Login Daten. Lösch die Dateien einfach mal, und schau ob Sie wiederkommen...

[skipper]

Also die Dateien sehen für mich arg danach aus als ob dein Server als "Proxy" verwendet wird. Zumindest steht in einer der beiden Dateien drin das gewisse Ports geöffnet werden sollen und Login Daten. Lösch die Dateien einfach mal, und schau ob Sie wiederkommen...

danke erstmal für deine Hilfe

die Dateien sind seit heute Nachmittag gelöscht und bis jetzt noch nicht wieder da ... ich hoffe mal das bleibt so


wenn man mal nach "Milw0rm" googlet, was ja in der main.php vorkommt, bekommt man nicht gerade beruhigende Ergebnisse

[jpwfour]

Da du ja der einzige auf dem Server bist, sollte sich ja nachvollziehen lassen (Logs) ob es BruteForce Attacken auf den FTP gab.

Dann kann es noch sein, das dein lokaler PC infiziert ist, gibt da massig Viren, die sich an dein FTP Programm "dranhängen" und die Dateien beim übertragen manipulieren können.

Was aber am schlimmsten wär, ist natürlich eine Lücke in deinem Script, welche dann ja immer wieder ausgenutzt werden kann.

Deswegen am besten mal das ganze Script prüfen, bzw. alle Addons.

Oder die beiden Dateien anlegen ohne Inhalt und alle Rechte von den Dateien entfernen, so dass sie nur noch vom Haupt-Admin-Account bearbeitet werden können. (Unter Linux meist "root", und wenn der/die da Zugriff haben, dann #*~. )

Btw:
Welcher FTP Server wird da verwendet?
(Steht meist wenn man sich einloggt in den ersten Zeilen)
Weil für die meisten gibt es effektive Schutzmaßnahmen gegen BruteForce, nur sind die meist nicht aktiviert)

[MerekFynn]

Milw0rm ist eine Exploit Plattform die sich ausschließlich mit Sicherheitslücken in Programmen und Scripten beschäftigt. Wenn Sie also immer da sind wo du auch bist, unabhängig vom Hoster dann behaupte ich einfach mal gibt es ein Exploit für eines deiner verwendeten Scripte...

Ich denke kaum das es für das VMS selbst ein Exploit gibt, denn milw0rm beschäftigt sich eher mit größeren Programmen die weiter verbreitet sind als dinge wie dem VMS...

Ich hab vorhin auf der Seite auch mal gesucht, aber leider nichts gefunden zum VMS, also musst du etwas anderes auf deinem Space haben bzw der Hoster ist nicht Safe genug...

[skipper]

Da du ja der einzige auf dem Server bist, sollte sich ja nachvollziehen lassen (Logs) ob es BruteForce Attacken auf den FTP gab.

Dann kann es noch sein, das dein lokaler PC infiziert ist, gibt da massig Viren, die sich an dein FTP Programm "dranhängen" und die Dateien beim übertragen manipulieren können.

das lässt sich jetzt schlecht nachvollziehen, weil das schon beim alten Hoster passiert ist und die Dateien einfach übernommen hab

ich hab mal in meinen Backups gestöbert und festgestellt, dass es schon im Backup von April drin war ... und das war das erste Backup der Dateien was ich von der Seite gemacht hab, also kann es schon seit Weihnachten drauf sein
die massiven Probleme gingen aber erst am 29.6. los

Ich denke kaum das es für das VMS selbst ein Exploit gibt, denn milw0rm beschäftigt sich eher mit größeren Programmen die weiter verbreitet sind als dinge wie dem VMS...

Ich hab vorhin auf der Seite auch mal gesucht, aber leider nichts gefunden zum VMS, also musst du etwas anderes auf deinem Space haben bzw der Hoster ist nicht Safe genug...

also ich weiß ja nicht auf welchen Seiten du warst, aber mir gehören nur webadman.de und xtremlose.de und die haben beide das VMS1.2 als Grundscript

ich hab mir heute die main.php nochmal angeschaut und befürchte, dass es nicht um mein Script geht (weil die Dateien ja schon vorhanden sind), sondern um das OS (Linux) auf dem Server


... ich hab ja immernoch die Hoffnung, dass es nach dem erneuten Serverumzug morgen früh wieder funktioniert

[MerekFynn]

also ich weiß ja nicht auf welchen Seiten du warst, aber mir gehören nur webadman.de und xtremlose.de und die haben beide das VMS1.2 als Grundscript

ich hab mir heute die main.php nochmal angeschaut und befürchte, dass es nicht um mein Script geht (weil die Dateien ja schon vorhanden sind), sondern um das OS (Linux) auf dem Server


... ich hab ja immernoch die Hoffnung, dass es nach dem erneuten Serverumzug morgen früh wieder funktioniert

Ich habe bei Milw0rm auf der Seite nach einem Exploit für das VMS gesucht, allerdings keines gefunden. Ich schätze auch mal das es an irgendeiner Software auf deinem Server liegt. Linux, der FTP, die Datenbank, irgendwie sowas wird es sein. Deine beiden Dateien sind ein kompletter Proxy Server, mit dem man eine menge Traffic verursachen kann. Normalerweise müsste dein Hoster sowas aber bemerken anhand der allgemeinen Serverlogs...