Server schreibt in andere Dateien

[webhoster.de]

Wir beobachten so etwas auch ab und zu. Ich vermute in diesem Fall, dass dein Arbeitscomputer infiziert ist und FTP Passwoerter ausspioniert.
Hin und wieder tritt dieses Problem bei Kunden auf, die z.B. auf unterschiedlichen Servern FTP Zugaenge besitzen und alle Accounts dieses Kunden infiziert werden.

Es gibt auch verschiedene Server die geknackte FTP Accounts ueberpruefen und zu einem spaeteren Zeitpunkt diese Daten verwenden um Spamsoftware oder andere Dateiveraenderungen aufzuspielen.

Check mal deine FTP Logs nach diesen IPs 91.121.91.142 109.230.220.244, dann siehst du vermutlich auch einige Eintraege.

[Content]

Hi,

ip habe ich ja oben gepostet, 91.121.91.142 war es.

Ich habe den Code entfernt, Rechner formatiert und FTP Passwörter geändert. Außerdem habe ich den Zugang gesperrt derzeit per FTP.


Wichtig war für mich nur das die Dateien selber kein Trojaner/Virus sind/waren, sodass ich die Dateien unbedenklich auf meinen neuen PC downloaden konnte.


Ich weiß aber nicht, ich habe ja oben geschrieben das ich eval benutzte ob es nicht allgemein auch eine Sicherheitslücke ist eval zu verwenden. Ich kenn aber keine alternative.

[webhoster.de]

Hi,

Ich habe den Code entfernt, Rechner formatiert und FTP Passwörter geändert. Außerdem habe ich den Zugang gesperrt derzeit per FTP.

Wichtig war für mich nur das die Dateien selber kein Trojaner/Virus sind/waren, sodass ich die Dateien unbedenklich auf meinen neuen PC downloaden konnte.

Ich weiß aber nicht, ich habe ja oben geschrieben das ich eval benutzte ob es nicht allgemein auch eine Sicherheitslücke ist eval zu verwenden. Ich kenn aber keine alternative.

ok habe ich nicht gesehen =)

Das Kennwort wird sicherlich auf einem deiner Computer "gesnifft" worden sein. Ueber diese IP werden die Daten ja mittels Kennwort vom Server heruntergeladen und wieder geuploadet. Der "Hack" erfolgte somit nicht ueber Dein Script, sondern durch das Abfangen von FTP Kennwörtern.
Wenn Du das System schon neu aufgesetzt hast, solltest Du darauf achten, dass du keine Software installierst, die aus unsicheren Quellen stammt.

Sperre einfach alle ovh Ips fuer den FTP Zugang (weil die auf Hinweise nicht reagieren) und kontrolliere regelmaessig die Logfiles nach verdaechtiger Aktivitaeten.

Sinnvoll waere auch eine Limitierung des FTP Zugangs zu deiner IP Adresse.

[Content]

Hi,

erstmal vielen Dank für deine Bemühungen.

Sinnvoll waere auch eine Limitierung des FTP Zugangs zu deiner IP Adresse.

Halte ich auch für sinnvoll und wurde sofort umgesetzt.

Liebe Grüße

[DenisKlimek]

Moin,

bin nach etwas Recherche noch auf zwei weitere IP Adressen und einem Forum gestoßen.

86.122.187.22
81.17.27.238

bestblackhatforum.com vermutlich sind dort die FTP Logins gedealt worden... habe nach den weiteren Absicherungen wiederholte Zugriffsversuche festgestellt und auf diese IP's dann gestoßen.