Jump to content

Webserver gehackt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi alle zusammen,

 

heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.

 

Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen.

Ich war heute wieder mal an dem Rechner um mal nachdem rechten zu schauen und habe bemerkt als ich im IE localhost eingegeben habe ,das F**k Webmaster stand und das der REchner gehackt wurde die index.php wurde verändert und mehrere neue Datein wurden hinzugefügt.

 

Wie sollte ich jetzt weiter vorgehen wie kann ich die Lücke finden über die er die Daten auf den Rechner bekommen hat. Kann ich das überhaupt ??:confused:

Link to comment
heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.
Wo steht der Server? Beim Provider oder bei Euch im Büro? In welchem Netz befindet er sich? Perimeter, DMZ - doch nicht etwa im LAN?

 

Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen.

XAMPP sollte übrigens nie von außen erreichbar sein:

apache friends - xampp

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet.
Link to comment

Hi,

 

wie Lian schon geschrieben hat solltest du erst mal klären wie der Angreifer in dein System gekommen ist und ob du für das Hosting von externen Diensten die richtige Umgebung hast (DMZ etc).

 

Im nächsten Schritt sollte das System vollständig neu aufgesetzt werden! Du weißt nicht was der Hacker alles auf dem System gemacht hat. Daher ist es nicht damit getan die Lücke zu stopfen und einen virenscanner laufen zu lassen. Beim neu aufsetzen solltest du auf eine sichere Konfiguration achten.

Link to comment

Hallo duni,

 

gestern bin ich bei der Analyse eines Trojaners auf einen Webserver gestossen, der eben nur PHP-Testscripte zeigte. Der Trojaner nimmt Kontakt zu einer vorgegebenen IP-Adresse auf, sendet Daten und lädt dann Dateien von diesem Server nach. da soll vermutlich ein neues Botnetz aufgebaut werden.

 

 

Der Trojaner benutzt Port 9222.

 

Falls das euer Server war, müßtet Ihr mittlerweile Informiert worden sein. Gestern war der Server noch erreichbar auf Port 9222. Schau doch mal nach, ob ihr auf dem Port Traffic habt.

 

 

 

Gruß

frankko

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...