09.05.2008, 09:37
| #11 (permalink) |
| PostRank: 0  Registriert seit: 07.04.2008 Ort: Köln
Beiträge: 5
| Nach einer ersten Auswertung kamen die Angreifer bei uns über eine alte (vergessene) phpbb Installation ins Haus. Durchgeführt wurde der Angriff mit einem User-Agent libwww-perl, der bisher noch nicht auf unserer globalen deny list stand. Es wurde dabei eine (bekannte) Sicherheitslücke im alten phpbb ausgenutzt, die es dem Angreifer erlaubt hat eine eigene PHP-Datei von einem fremden Server nachzuladen. Dieses nachgeladene PHP-Script hat dann die im letzten Posting beschriebene iframer.pl auf den Server gelegt und diese ausgeführt. Der Fehler lag also letztlich auf unserer Seite, da das alte Forum nicht gepatcht wurde. Diesmal sind wir verhältnismäßig glimpflich davon gekommen, aber dies sollte nicht nur für uns eine Lehre gewesen sein: Immer alles updaten!!! |
|  |
|
13.05.2008, 16:36
| #12 (permalink) |
| PostRank: 3  Registriert seit: 13.07.2006
Beiträge: 114
| Siehe News bei Heise: heise online - Erneuter Massenhack von Webseiten |
|
| |
 |
| Lesezeichen |
| Themen-Optionen | |
| Ansicht | |
| |
Linear-Darstellung
