Categories
Linux

http://x9y.ru:8080/ts/in.cgi?pepsi120

Hmm. Gerade finde ich in einer index.php ein IFRAME mit der Adresse “http://x9y.ru:8080/ts/in.cgi?pepsi120” steht. Wie kommt das da rein?

Bin jetzt erstmal auf der Suche:

find / -name index.php -exec grep -RH "http://x9y.ru:8080/ts/in.cgi?pepsi120" {} \;

10 replies on “http://x9y.ru:8080/ts/in.cgi?pepsi120”

keine Sorge ;)

Es scheint so, als wären ganz normale FTP-Connects aus einem Botnetz (versch. IPs) mit korrekten Zugangsdaten an das (eine) Hosting gelangt.

Wir hatten ähnliches Problem, ich vermute es liegt an der Sicherheitslücke bei PHPMyAdmin (manuelle Installation, nicht über PLESK)…bei mir waren bei 2 Hostings auch fast alle Files nach dem Body-Tag mit dem exakt gleichen Iframe gebrandmarkt. Hat jemand rausgefunden, was genau dahinter steckt resp. was genau das Iframe macht?

Hi, konntest Du denn im FTP-Log nichts finden? Bei mir ist es definitiv per FTP gekommen. Wie kommst du denn auf den phpMyAdmin?

weil ca 300 hostingaccounts und nur gerade die 2 betroffen waren, wo phpmyadmin lokal installiert war…hast du den auch phpmyadmin drauf?

achja und auf beiden war auch noch ne joomla seite drauf…evtl. hats auch damit zu tun…resp. kommt die lücke von daher…glaube aber vom neuen phpmyadmin-sicherheitsleck…

Nee, phpMyAdmin war nicht drauf – Joomla auch nicht. Bei mir war es per FTP mit successful logins. Kannst Du nicht auch mal im FTP-Log nachschauen?

habe noch was rausgefunden…das skript sucht nach üblichen begriffen wie template, cms etc. und verändert nur jeweils die files die in nach solchen begriffen benannten ordnern stecken…sehr speziell…

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.