Jump to content

Webserver gehackt

duni

Von duni
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

duni Apprentice

duni   10

Geschrieben
Geschrieben

Hi alle zusammen,

 

heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.

 

Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen.

Ich war heute wieder mal an dem Rechner um mal nachdem rechten zu schauen und habe bemerkt als ich im IE localhost eingegeben habe ,das F**k Webmaster stand und das der REchner gehackt wurde die index.php wurde verändert und mehrere neue Datein wurden hinzugefügt.

 

Wie sollte ich jetzt weiter vorgehen wie kann ich die Lücke finden über die er die Daten auf den Rechner bekommen hat. Kann ich das überhaupt ??:confused:

Link zu diesem Kommentar
Lian Grand Master

Lian   2.338

Geschrieben
Geschrieben
heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.
Wo steht der Server? Beim Provider oder bei Euch im Büro? In welchem Netz befindet er sich? Perimeter, DMZ - doch nicht etwa im LAN?

 

Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen.

XAMPP sollte übrigens nie von außen erreichbar sein:

apache friends - xampp

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet.
Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

wie Lian schon geschrieben hat solltest du erst mal klären wie der Angreifer in dein System gekommen ist und ob du für das Hosting von externen Diensten die richtige Umgebung hast (DMZ etc).

 

Im nächsten Schritt sollte das System vollständig neu aufgesetzt werden! Du weißt nicht was der Hacker alles auf dem System gemacht hat. Daher ist es nicht damit getan die Lücke zu stopfen und einen virenscanner laufen zu lassen. Beim neu aufsetzen solltest du auf eine sichere Konfiguration achten.

Link zu diesem Kommentar
frankko Rookie

frankko   10

Geschrieben
Geschrieben

Hallo duni,

 

gestern bin ich bei der Analyse eines Trojaners auf einen Webserver gestossen, der eben nur PHP-Testscripte zeigte. Der Trojaner nimmt Kontakt zu einer vorgegebenen IP-Adresse auf, sendet Daten und lädt dann Dateien von diesem Server nach. da soll vermutlich ein neues Botnetz aufgebaut werden.

 

 

Der Trojaner benutzt Port 9222.

 

Falls das euer Server war, müßtet Ihr mittlerweile Informiert worden sein. Gestern war der Server noch erreichbar auf Port 9222. Schau doch mal nach, ob ihr auf dem Port Traffic habt.

 

 

 

Gruß

frankko

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...