Evtl wurde auch der FTP/SSH Zugang gehackt, bzw. via BruteForce das Passwort rausgefunden.
Dafür gibt es aber auch Logs, sprich der Hoster bzw. bei einem vServer/Server lässt sich das schon rausfinden.
Brute-Force Attacken bleiben nicht ungesehen, in dem Fall reicht es aber auch, Passwörter ändern, und alle Änderungen im Script rückgängig zu machen (und dann optional die Software gegen Brute-Force abzusichern).
Wenn es aber ein genereller Fehler im PHP-Script ist/war, dann bringt evtl. Rückgängig machen nicht viel, da derjenige dann morgen einfach die Lücke wieder ausnutzt.
Und aus den Access Logs bspw. SQL-Injections rauszulesen ist so nicht direkt möglich.
Da sollte mal jemand rüberschaun, der sich mit auskennt, man muss an sich nur alle dateien der Website in einem geeigneten Programm nach bestimmten Funktionsaufrufen, die potentiell gefährlich sind, durchsuchen lassen, und die dann alle im Kontext auf "Sicherheit" prüfen.
Evtl. mal allen Dateien die Rechte via FP entziehen, also nicht den Dateien, sondern dem User, der Gruppe und dem Rest der Welt.
Aber bitte nur machen, wenn man root Zugriff hat oder wen kennt, der das macht (Hoster).
Weil wenn nur noch "root" in die dateien schreiben darf (lese zugriff muss natürlich weiterhin bleiben), sollte der Angreifer weder per FTP noch durch eine Lücke im Script was ändern können.
Somit wäre die Gefahr vorerst gebannt, dann kann man langsam an die Fehlersuche rangehen (Problem wenn man Temporäre Daeien erstellen lässt/cache usw., aber man kann ja auch einzelne Ordner davon ausnehmen, und mal beobachetn, ob der da was reinschleusen kann. Zudem sollten das eh alles nur "nicht ausführbare dateien sein...)
Zitieren
