duni 10 Posted January 14, 2010 Report Share Posted January 14, 2010 Hi alle zusammen, heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt. Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen. Ich war heute wieder mal an dem Rechner um mal nachdem rechten zu schauen und habe bemerkt als ich im IE localhost eingegeben habe ,das F**k Webmaster stand und das der REchner gehackt wurde die index.php wurde verändert und mehrere neue Datein wurden hinzugefügt. Wie sollte ich jetzt weiter vorgehen wie kann ich die Lücke finden über die er die Daten auf den Rechner bekommen hat. Kann ich das überhaupt ??:confused: Quote Link to comment
Lian 2,415 Posted January 14, 2010 Report Share Posted January 14, 2010 heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.Wo steht der Server? Beim Provider oder bei Euch im Büro? In welchem Netz befindet er sich? Perimeter, DMZ - doch nicht etwa im LAN? Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen. XAMPP sollte übrigens nie von außen erreichbar sein: apache friends - xampp XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet. Quote Link to comment
nerd 28 Posted January 14, 2010 Report Share Posted January 14, 2010 Hi, wie Lian schon geschrieben hat solltest du erst mal klären wie der Angreifer in dein System gekommen ist und ob du für das Hosting von externen Diensten die richtige Umgebung hast (DMZ etc). Im nächsten Schritt sollte das System vollständig neu aufgesetzt werden! Du weißt nicht was der Hacker alles auf dem System gemacht hat. Daher ist es nicht damit getan die Lücke zu stopfen und einen virenscanner laufen zu lassen. Beim neu aufsetzen solltest du auf eine sichere Konfiguration achten. Quote Link to comment
Ivo 10 Posted January 14, 2010 Report Share Posted January 14, 2010 Ich wuerde zusaetzlich noch ein Image vom betroffenen System machen. So kann man spaeter in Ruhe nachforschen, was da los war. Quote Link to comment
frankko 10 Posted January 21, 2010 Report Share Posted January 21, 2010 Hallo duni, gestern bin ich bei der Analyse eines Trojaners auf einen Webserver gestossen, der eben nur PHP-Testscripte zeigte. Der Trojaner nimmt Kontakt zu einer vorgegebenen IP-Adresse auf, sendet Daten und lädt dann Dateien von diesem Server nach. da soll vermutlich ein neues Botnetz aufgebaut werden. Der Trojaner benutzt Port 9222. Falls das euer Server war, müßtet Ihr mittlerweile Informiert worden sein. Gestern war der Server noch erreichbar auf Port 9222. Schau doch mal nach, ob ihr auf dem Port Traffic habt. Gruß frankko Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.