Was ist das? - FaTaLisTiCz_Fx Fx29SheLL v2.0.09.08
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angreifer
apache
feedback
ftp
hintergrund
http
index
info
installation
jemand
kontrolle
output
server
shell
suchbegriff
suche
tag
trojaner
webseite
zugriff
-
Hallo,
Eben gerade wurde ich angefragt was FaTaLisTiCz_Fx Fx29tag/shell">SheLL v2.0.09.08 ist.
Nachdem einige Suchanfragen wie:
Google Suchbegriffe:
"security info processes mysql eval encoder mailer milw0rm md5-lookup toolz kill-shell feedback update about ftp-brute" #172
Google Suchbegriffe:
"fatalisticz_fx fx29shell v2.0.09. filetype:php"
auf die Webseite eingingen.
Weis da jemand mehr darüber, worum es sich hierbei handelt?
mfg: ellogro2009
Beitrag zuletzt geändert: 9.9.2012 12:45:10 von ellogro2009 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Das ist wie der Name schon sagt eine "Shell"...
Damit lässt sich ein infizierter Server per GUI fernsteuern. -
Es handelt sich um eine Webseite auf der das CMS Wordpress installiert ist. In Piwik wurde dann festegestellt das jemand mehrfach mit diesem Suchbegriff auf diese Seite gelangt ist.
Eine Google-Suche nach "fatalisticz_fx fx29shell v2.0.09. filetype:php" ergab dann folgendes Ergebniss:
http://www.google.de/#hl=de&output=search&sclient=psy-ab&q=fatalisticz_fx+fx29shell+v2.0.09.+filetype:php&oq=fatalisticz_fx+fx29shell+v2.0.09.+filetype:php&gs_l=hp.3...2456.2456.0.4011.1.1.0.0.0.0.90.90.1.1.0...0.0...1c.2j1.GWxLWsuk4t4&pbx=1&fp=1&biw=1680&bih=904&bav=on.2,or.r_gc.r_pw.r_qf.&cad=b
Wenn man sich dann die besagte Seite im Google-Cache ansieht, sieht man das etwas auf der Webspace war:
http://webcache.googleusercontent.com/search?q=cache:EFBM0ST7ymkJ:www.technologiejunkies.de/wp-index.php%3Fact%3Dd%26d%3D%252Fmnt%252Fwebh%252Fc1%252F03%252F53257703%252Fhtdocs%252FWordPress_01%252Fwp-content+fatalisticz_fx+fx29shell+v2.0.09.+filetype:php&cd=10&hl=de&ct=clnk&gl=de
Eine Suche in dem entsprechenden Verzeichniss ergab keinen Erfolg.
mfg: ellogro2009 -
Ui, welche Wordpressversion wird denn verwendet, und welche Piwik Version?
Da ist jemand bei euch eingebrochen und hat dieses Skript installiert. Damit lässt sich der Server über ein Webinterface komplett fernsteuern. Man kann halt wirklich alles mit dem Server machen, alles zumindest, was vom Apache-User aus geht. So kenne ich das.
Ich denk mal auf r00tsecurity.org würde man dazu noch Infos finden, aber das Problem dazu ist, dass dieses Script von Google entdeckt wird, und dafür auf soooo vielen angegriffenen Websites dieses Script noch als existent sieht, meist ists schon gelöscht, dass man dazu wenig Infos findet.
Wie gesagt: Dein Webspace bzw Server wurde wohl geknackt, prüfe im Hintergrund, ob irgendwelche neuen Perl, Python oder Rubyscripte laufen, neue Software gestartet wurde, die nicht hingehört (falls zugriff darauf), und aktualisiere auf jedenfall deine Wordpress installation. Version 3.4.2 ist vor ein paar Tagen mit wichtigen Fixes gekommen, das ist immer wichtig. Piwik sollte auch stehts aktuell gehalten werden, auch hier könnten Angreifer reinkommen.
Liebe Grße -
Es handelt sich dabei nicht direkt um meine Webspace ^^
Bei der WordPress Version handelt es sich um die 3.4.1 und bei Piwik um 1.8.2-1.
Wordpress lässt sich nicht updaten da dies über das Controlpanel von Strato installiert wurde und Strato noch keine neue Version bietet.
Das man Worpress normal nicht so installieren sollte ist mir bekannt, aber ich habe die Installation auch nicht durchgeführt.
mfg: ellogro2009
Beitrag zuletzt geändert: 9.9.2012 14:20:24 von ellogro2009 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
