duni 10 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi alle zusammen, heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt. Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen. Ich war heute wieder mal an dem Rechner um mal nachdem rechten zu schauen und habe bemerkt als ich im IE localhost eingegeben habe ,das F**k Webmaster stand und das der REchner gehackt wurde die index.php wurde verändert und mehrere neue Datein wurden hinzugefügt. Wie sollte ich jetzt weiter vorgehen wie kann ich die Lücke finden über die er die Daten auf den Rechner bekommen hat. Kann ich das überhaupt ??:confused: Zitieren Link zu diesem Kommentar
Lian 2.478 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 heute wurde bei uns in der Firma ein Rechner im Netzwerk gehackt.Wo steht der Server? Beim Provider oder bei Euch im Büro? In welchem Netz befindet er sich? Perimeter, DMZ - doch nicht etwa im LAN? Also wir haben auf einem Rechner im Netzwerk ein xampp installiert und dieses xampp wird benutzt um PHP scripte zu testen. XAMPP sollte übrigens nie von außen erreichbar sein: apache friends - xampp XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi, wie Lian schon geschrieben hat solltest du erst mal klären wie der Angreifer in dein System gekommen ist und ob du für das Hosting von externen Diensten die richtige Umgebung hast (DMZ etc). Im nächsten Schritt sollte das System vollständig neu aufgesetzt werden! Du weißt nicht was der Hacker alles auf dem System gemacht hat. Daher ist es nicht damit getan die Lücke zu stopfen und einen virenscanner laufen zu lassen. Beim neu aufsetzen solltest du auf eine sichere Konfiguration achten. Zitieren Link zu diesem Kommentar
Ivo 10 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Ich wuerde zusaetzlich noch ein Image vom betroffenen System machen. So kann man spaeter in Ruhe nachforschen, was da los war. Zitieren Link zu diesem Kommentar
frankko 10 Geschrieben 21. Januar 2010 Melden Teilen Geschrieben 21. Januar 2010 Hallo duni, gestern bin ich bei der Analyse eines Trojaners auf einen Webserver gestossen, der eben nur PHP-Testscripte zeigte. Der Trojaner nimmt Kontakt zu einer vorgegebenen IP-Adresse auf, sendet Daten und lädt dann Dateien von diesem Server nach. da soll vermutlich ein neues Botnetz aufgebaut werden. Der Trojaner benutzt Port 9222. Falls das euer Server war, müßtet Ihr mittlerweile Informiert worden sein. Gestern war der Server noch erreichbar auf Port 9222. Schau doch mal nach, ob ihr auf dem Port Traffic habt. Gruß frankko Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.