[Gitarremann]

Also ich hab mir einen kleinen Onlinecounter für meine Seite gebastelt, wo ich auch sehe, welche Seiten die Leute aufrufen. Ich hab auch ne kleine Anzeige (nur für mich) wo gerade user sind und da sehe ich in der Anzeige eine Seite, wo einer sein soll, die gar keine Unterseite von meiner Seite ist. Ich kopier die URL mal aus Spaß in die Adresszeile und sehe folgenden Code:

Das ist mir aber gar nicht geheuer. Was will der?

[Witi]

Dateien werden angelegt, Dateien werden ausgeführt, es wird versucht eine Verbindung woanders wo anders aufzubauen, Serverinformationen werden ausgelesen, Mail wird verschickt.

Das alles klingt nach einem nicht sehr netten Script.

Ich werde das Script jetzt näher überprüfen, da es nur mit base64-Kodierungen arbeitet. Ggf. musst du damit rechnen, dass dein Server kompromittiert wurde.

Ich habe das Script vorsichtshalber aus deinem Beitrag entfernt, bevor irgendwelche Kiddies auf falsche Gedanken kommen...

[ph030]

@Witi, pm'st du mir das mal... (nu aber erstmal schnorcheln, nächtle)

[Witi]

genau, du Scriptkiddy

So...es geht doch nichts über eine abgeschottete VM-Umgebung

Das Script versucht u.a. folgende Server auf Port 8080 zu kontaktieren:

'mymusicplace.weedns.com'
'snes.dnip.net'
'xamyx.dnip.net'
'dns1.bpa.nu'
'dns3.bpa.nu'
'dns4.bpa.nu'
'dns2.bpa.nu'
'snes.opendns.be'
'nses1.dd.blueline.be'
'sunnyplaces.weedns.com'

Die ausdruckvollste Zeichenkette ist jedoch die hier:

Zitat

VERSION mIRC 6.25 BY Khaled Mardam-Bay

Willkommen in der Welt der Zombies!

Wenn das Script ausgeführt wurde, einer der Server erreichbar ist und deine PHP-Konfiguration nicht ordentlich erstellt wurde, kannst du sicher gehen, dass dein Server als Zombie missbraucht wird.

[Gitarremann]

Also es ist nicht auf meinem Rechner. Die Seite ist bei t-online gehostet. Ich hab auch täglich mehrere Versuche von Bots, sich in meinem Forum zu registrieren (Scheinen dieses Viagra-Bots zu sein, wie man sie aus phpBB-Foren kennt) aber die sind bislang alle fehlgeschlagen.