AddType application/x-httpd-php .gif

Rolandooo · **Rolandooo** » 16.12.2021, 00:09 **AddType application/x-httpd-php .gif**

Hallo
obiges war im "root" Pfad zum htdocs/ Verzeichnis in einer .htaccess Datei geschrieben und im images Verzeichnis lag eine satshell.gif, die erst durch Öffnen mit einem Texteditor einen php Code freigab. Ich habe den Code und könnte den Posten. Wer oder was hat das in mein Rootverzeichnis gelegt ? Ich kann das leider nicht interpretieren. Es könnte Schadcode sein ? Ist das hier interessant oder soll ich den Beitrag wieder löschen. Was könnte der Code machen ?

Ein kleiner Teil des Scriptes beschreibt sowas ?

<tr><td $hsplit><table><tr><td $vsplit><b>  STNC WebShell v$version  </b></td><td>id: ".cmd("id")."<br>uname: ".uname()."<br>your ip: ".$_SERVER["REMOTE_ADDR"]." - server ip: ".gethostbyname($_SERVER["HTTP_HOST"])." - safe_mode: ".((safe_mode_is_on()) ? "on" : "off")."</td></tr></table></tr></td><tr><td colspan=2 $hsplit><center><form method=post>".hidden("action","save").hidden_pwd()."<textarea cols=120 rows=16 wrap=off name=data>";
Danke
Roland

**Hanzo2012** » 16.12.2021, 07:05 **AddType application/x-httpd-php .gif**

Es tut mir leid, aber jemand hat definitiv deinen Server gehackt und dieses Script (eine sogenannte Web Shell) dort platziert, um beliebige Kommandos auf deinem Server auszuführen. Z. B. können Daten gestohlen, manipuliert oder gelöscht werden, oder dein Server wird zu einem Botnet hinzugefügt und fährt dann auf Kommando Angriffe auf andere Server.

Alle Daten/Dateien, die sich auf deinem Server befinden, musst du als potenziell manipuliert oder gestohlen betrachten. Wenn dort Kundendaten liegen, insbesondere Namen, Adressen, E-Mail-Adressen, Telefonnummern, Kreditkartennummern etc., dann musst du laut Gesetz die Kunden über einen möglichen Diebstahl ihrer Daten informieren. Tust du das nicht, drohen harte Strafen, sollten die Daten irgendwo veröffentlicht werden und herauskommen, dass du davon hättest wissen müssen, aber nichts getan hast (siehe z. B. hier).

Was ist jetzt zu tun?

Nimm deinen Server sofort offline - auch wenn das bedeutet, dass deine Websites nicht erreichbar sind. Mache eine umfangreiche Sicherung sämtlicher Daten, um Spuren auswerten zu können, die der Angreifer hinterlassen haben könnte, wenn er unvorsichtig war, und um ggf. Beweise zu haben.

Während dein Server offline ist, musst du herausfinden, wie der Angriff gelungen ist, z. B. indem du sämtliche Log-Dateien auf verdächtige Aktivitäten untersuchst. Der Angriff kann z. B. über ein WordPress-Plugin passiert sein, das bekannte Lücken aufweist, oder prinzipiell über jede andere Software auf deinem Server, die Eingaben von außen entgegennimmt.

Anschließend spielst du ein Backup von vor dem Angriff ein und schließt die Sicherheitslücke, bevor du den Server wieder online nimmst. Auf gar keinen Fall nur die Lücke schließen und "gut is'", denn du weißt nicht, wo der Angreifer noch überall Hintertüren eingebaut haben könnte.

Wenn es sich um ein ernsthaftes Projekt handelt, dann suchst du dir am besten professionelle Hilfe von einer IT-Sicherheits-Firma.

Rolandooo · **Rolandooo** » 16.12.2021, 14:59 **AddType application/x-httpd-php .gif**

Danke Hanzo für die schnelle Antwort. Ich arbeite an einer Lösung. Der Schaden ist Gott sei Dank nicht hoch.

**Hanzo2012** » 16.12.2021, 15:05 **AddType application/x-httpd-php .gif**

Wenn du Hilfe brauchst, melde dich gerne.