Keek
Aktives Mitglied
Thread Starter
- Dabei seit
- 01.07.2010
- Beiträge
- 2.862
- Reaktionspunkte
- 1.389
Hallo zusammen,
mein Hoster (all-inkl.com) hat mir gerade in einer netten Mail mitgeteilt, dass Vieren (die hier: 4444!) gefunden worden sind.
Die Log-File sagt folgendes aus:
Ergibt es Sinn, dass scheinbar ein "php Wurm" in einem Ordner für Logfiles gefunden wurde indem lediglich Archive (.gz) liegen? Entpacke ich (lokal, nicht online) ein "nicht infiziertes" Archiv liegt ja auch lediglich ne Textdatei (ohne Dateiendung) drin.
Soll ich mal in eine der "infizierten" Logfiles schauen?
Darüber hinaus stelle ich soeben fest, dass das ja schon recht alte Logfiles sind
Danke und Gruß
Keek
*Den Accountnamen überall in abc umbenannt.
mein Hoster (all-inkl.com) hat mir gerade in einer netten Mail mitgeteilt, dass Vieren (die hier: 4444!) gefunden worden sind.
Bei einem routinemäßigen Virenscan wurden in Ihrem Account abc* (abc.de) Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Die Liste der Dateien finden Sie in Ihrem FTP-Account unter: /www/htdocs/abc/logs/viren_log_2016_02_18.html
Die Log-File sagt folgendes aus:
Code:
16:32:33 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-19.gz (chown: abc.abc | last change: 2015-12-20 01:35:25.294511446 +0100 | last mod.: 2015-12-20 01:14:37.642240282 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-19.gz (chmod: 200)
16:32:33 php_worm_2.UNOFFICIAL gefunden in /www/abc/abc/logs/access_log_2015-12-21.gz (chown: htdocs.abc | last change: 2015-12-22 01:08:05.337387797 +0100 | last mod.: 2015-12-22 00:47:00.057213635 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-21.gz (chmod: 200)
16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-16.gz (chown: abc.abc | last change: 2015-12-17 00:45:00.446678172 +0100 | last mod.: 2015-12-17 00:21:52.455331660 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-16.gz (chmod: 200)
16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-15.gz (chown: abc.abc | last change: 2015-12-16 01:33:23.015038498 +0100 | last mod.: 2015-12-16 01:09:24.775854321 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-15.gz (chmod: 200)
16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-17.gz (chown: abc.abc | last change: 2015-12-18 00:56:40.044905099 +0100 | last mod.: 2015-12-18 00:31:41.770268314 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-17.gz (chmod: 200)
16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-20.gz (chown: abc.abc | last change: 2015-12-21 00:38:44.948225215 +0100 | last mod.: 2015-12-21 00:16:30.492509352 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-20.gz (chmod: 200)
Ergibt es Sinn, dass scheinbar ein "php Wurm" in einem Ordner für Logfiles gefunden wurde indem lediglich Archive (.gz) liegen? Entpacke ich (lokal, nicht online) ein "nicht infiziertes" Archiv liegt ja auch lediglich ne Textdatei (ohne Dateiendung) drin.
Soll ich mal in eine der "infizierten" Logfiles schauen?
Darüber hinaus stelle ich soeben fest, dass das ja schon recht alte Logfiles sind
Danke und Gruß
Keek
*Den Accountnamen überall in abc umbenannt.