Host gehackt, MySQL backup zurückspielen?

[Crypted]

Das komische ist einen Tag davor hat sich ein User in meinem Blog (Wordpress, auf dem neusten stand + alles pluguins aktuell!) angemeldet, der erste LOL. Hab mich gefreut, am nächsten Tag dann kam die Email von meinem Provider wegen meinem vServer. Heute hab ich nochmals eine bekommen, scheint wohl ein bisschen verspätet zu sein, denn der server ist total platt und off:

Sehr geehrter Kunde,

wir wurden darauf aufmerksam gemacht, dass von Ihrem VServer Attacken ausgehen.

Folgende Nachricht hat uns erreicht:

---
[...]

http://mediaportalx.de/blog/wp-content/ ... aa/bid.php



Here ai send you source cod from malicios scripts:

...
function loading1($emd, $itemd) {


set_time_limit(0);
flush();
usleep(50000);

$xemd = "madme-".$emd;

$les = get_between($xemd, 'madme-','@');
$mak = $les."</td><td align=center> - </td><td>";
$agent = "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.4) Gecko/20030624
Netscape/7.1 (ax)";
$LOGINURL = "http://mediaportalx.de/blog/wp-content/ ... aa/bid.php";
$POSTFIELDS = '&nr='.$itemd;
$reffer = "http://mediaportalx.de/blog/wp-content/ ... aa/bid.php";

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$LOGINURL);
curl_setopt($ch, CURLOPT_USERAGENT, $agent);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$POSTFIELDS);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_REFERER, $reffer);
$result = curl_exec ($ch);

//$user = get_between($result, '.0</td></tr><tr><td>', '</td>');
$pret = get_between($result, $mak, '</td>');

curl_close ($ch);



echo "E-mail : ".$emd." - Pret: ".$pret." - Item: ".$itemd;
echo "<br>------------------<br>";
[...]
---

Wir gehen davon aus, dass Sie dies nicht mutwillig getan haben. Scheinbar ist es Dritten gelungen, vermutlich über ein unsicheres
Webscript,
Daten in Ihren Account zu übertragen, die nun für böswillige Zwecke verwendet werden.

Wir bitten Sie inständig, die Dateien umgehend aus Ihrem Account zu löschen. Außerdem bitten wir um Beseitigung der "Sicherheitslöcher"
in Ihren Scripten.

Wir behalten uns vor Ihren Account kurzfristig zu sperren, um einen weiteren Mißbrauch zu vermeiden.

Mit freundlichen Grüßen

Ihr Abuse-Team
[netclusive] internet broadcasting GmbH

Ich gehen davon aus der dieser neu angemeldete User dies eingeschleust hat.

Code von der bid.php:

Code: Select all

<table align=left><tr><?
if($_SERVER[REQUEST_METHOD] == 'POST'){
$url = 'http://ebay.auction.co.kr/ebay/getAllBidder.php?ItemID=';
$body = file_get_contents($url.trim($_POST[nr]));
$bidders = explode("target='_getuser'>", $body);
$prices = explode("<td>HighestBid</td><td>", $body);
echo "<td>Bidder</td><td align=center> - </td><td>Pretz</td></tr>";
flush();
for($i=1;$i<count($bidders);$i++){
$bidder = explode('</a></td>', $bidders[$i]);
$price = explode('</td>', $prices[$i]);
echo '<tr><td>'.$bidder[0].'</td><td align=center> - </td><td>'.$price[0].'</td></tr>';
flush();
}
echo '</table>';}else{?>
<form method=post action="">
<input type=text name=nr>
<input type="submit" value="Vezi Bidderi">
</form>
<?}?>

[juergen]

da gehste in die php.ini und schaltest den CURL Krams aus (deaktivieren) und gut . Also falls/wenn die Kiste wieder läuft. Was meinst du damit dass der Server nimmer läuft ? Der läuft auf jeden Fall ! Hast du ihn in einen Rescue mode geschickt oder nur den Apachen ausgeschaltet ? Die Krux ist, dass fast jeder Port seinen Dienst hat, und nur weil 80 nicht mehr erreichbar ist, kann man nicht schließen daß die Kiste schläft.

[Crypted]

Der ist runtergefahren. Leute ich bin kein totaler n00b... (Vorhin war er paar min on weil ich was nachgeschaut und getestet habe)

Danke, werd ich dann mal machen wenn mein neues OS drauf ist. Ich warte auf den Provider.