Server kompromittiert (c99shell) - was tun?
Hallo liebe Mitadministratoren,
ich betreue die Website eines Kunden, die bei euserv gehostet wird. Heute erhielt ich einen Anruf, dass ein Zugang zu seiner Seite nicht mehr möglich ist. Ich warf einen Blick auf seine Site und stelle fest, dass statt des üblichen Internetauftritts das Webfrontend einer phpshell mit dem Namen "c99shell" geöffnet wird. Ich habe mir einen kurzen Überblick verschafft, was das Ding leisten kann und bin entsetzt! Hier ein Screenshot: Natürlich habe ich sofort die komplette Site von einem Backup auf den Server zurückgespiegelt, doch das hilft nichts - vermutlich ist auch nicht nur der Account meines Kunden betroffen, sondern der gesamte Server.
Hat jemand einen Vorschlag, was ich jetzt auf die Schnelle tun könnte (außer den Hoster davon zu informieren)?
ich betreue die Website eines Kunden, die bei euserv gehostet wird. Heute erhielt ich einen Anruf, dass ein Zugang zu seiner Seite nicht mehr möglich ist. Ich warf einen Blick auf seine Site und stelle fest, dass statt des üblichen Internetauftritts das Webfrontend einer phpshell mit dem Namen "c99shell" geöffnet wird. Ich habe mir einen kurzen Überblick verschafft, was das Ding leisten kann und bin entsetzt! Hier ein Screenshot: Natürlich habe ich sofort die komplette Site von einem Backup auf den Server zurückgespiegelt, doch das hilft nichts - vermutlich ist auch nicht nur der Account meines Kunden betroffen, sondern der gesamte Server.
Hat jemand einen Vorschlag, was ich jetzt auf die Schnelle tun könnte (außer den Hoster davon zu informieren)?
Please also mark the comments that contributed to the solution of the article
Content-Key: 99248
Url: https://administrator.de/contentid/99248
Printed on: May 4, 2024 at 09:05 o'clock
10 Comments
Latest comment
Ich tippe auf eine Sicherheitslücke in der Webapplikation deines Kunden, oder wenn es sich um eine VServer handelt, wurde dieser ggf. eine Weile nicht aktualisiert. Dafür ist bei VServern der Mieter verantwortlich und nicht das hostende RZ. Haben zumindest die meisten VServer-Anbieter so in ihren AGB stehen.
Was dich in erster Linie jetzt interessieren sollte ist die Ursache.
Wenn du die Moeglichkeit hast dann versuche an die Logs zu kommen.
Desweiteren solltest du bevor du dein Images wiederverwendest es ueberpruefen und die ausgenutzte Schwachstelle finden. Anderfalls ist es eine Sache von Minuten bis der Server wieder owned ist.
Wenn du die Moeglichkeit hast dann versuche an die Logs zu kommen.
Desweiteren solltest du bevor du dein Images wiederverwendest es ueberpruefen und die ausgenutzte Schwachstelle finden. Anderfalls ist es eine Sache von Minuten bis der Server wieder owned ist.
Du kannst den Jungs von Warrior-Tuerk nicht an den Karren fahren, warum das so ist, kannst Du bei guten Tuerkischkenntnissen auf folgender Seite herausfinden:
1. Cyber-Warrior Net
2. CYBEr Warrior
Das es moeglich war die C99 auf den Host hochzuladen spricht in diesem Fall nicht gerade fuer die Qualitaet des Anbieters.
Saludos
gnarff
1. Cyber-Warrior Net
2. CYBEr Warrior
Das es moeglich war die C99 auf den Host hochzuladen spricht in diesem Fall nicht gerade fuer die Qualitaet des Anbieters.
Saludos
gnarff