Serverhack ?ber Xtc M?glich.

[celeron]

Hallo,

heute Nacht wurde unser Server (1&1 ManagedServer) gehackt. Der Einstieg wurde lat Logdatei aus einem XTC Shop vorgenommen.

Bitte die XTC Admins mit mir in Verbindung zusetzen.

Hier scheint ein gro?es Sicherheitloch zu existieren.

Ich sende Euch dann die Logdatei zu.

Gru?
celeron

[celeron]

?ber die Datei GET /admin/includes/classes/spaw/spaw_control.class.php?spaw_root ist es dem Angreifer m?glich Zugriff auf den Server zu bekommen.

Soweit mal der letzte Stand.



Gru?
celeron

[Matthias]

HI,

meinen Shop hats auch mit erwischt, so wie es aussieht hat der Angreifer aber keinerlei Schaden gemacht sondern nur den Hinweis hinterlassen das er da war.

mfg Matthias

[celeron]

Schaden hat er bei uns in der Hinsicht auch nicht angestellt. Nur bei ?ber 100 Kundenseiten die Index.HTML Seite mit Seiner Visitenkarte ?berschrieben.

Gru?
celeron

[mobilland]

bei mir ist auch nichts passiert

[Smarti]

Hallo Leute

kann das sein das es was mit euren einstellungen von PHP zu tun hat

zb : open_basedir und Safe Mode off

gru?

Thomas

[dukie6666]

bei mir wurde die index.php mit einer leeren datei ersetzt

[xt:mzanier]

folgende zeile in die

/admin/includes/classes/spaw/spaw_control.class.php

Code:

if (preg_match("/http:\/\//i", $spaw_root)) die ("can't include external file");

vor den includes einf?gen.

ich bringe gleich ein fix f?r den editor.

[celeron]

Hallo,

kannst Du uns evt. kurz Beschreiben wie der Hacker vorgegangen ist. Au?er das er wahrscheinlich die Seiten ?ber dieses Forum gefunden hat.
Hat er mit einem Script schreibrechte in anderen Verzeichnissen bekommen !!

Sind die Einstellungen open_basedir und Safe Mode off mit diesem Problem auch in Verbindung zu setzen ?

Was macht deine Fixpackage dicht ?

Gru?
celeron

[xt:mzanier]

http://www.xt-commerce.com/modules/mydownl...p?cid=31&lid=85