Hallo duni,
gestern bin ich bei der Analyse eines Trojaners auf einen Webserver gestossen, der eben nur PHP-Testscripte zeigte. Der Trojaner nimmt Kontakt zu einer vorgegebenen IP-Adresse auf, sendet Daten und lädt dann Dateien von diesem Server nach. da soll vermutlich ein neues Botnetz aufgebaut werden.
Der Trojaner benutzt Port 9222.
Falls das euer Server war, müßtet Ihr mittlerweile Informiert worden sein. Gestern war der Server noch erreichbar auf Port 9222. Schau doch mal nach, ob ihr auf dem Port Traffic habt.
Gruß
frankko