你好 Roger,

Bei einer Attacke werden im TMP-Verzeichnis mit den Benutzerrechten des
Webserver-Users (www) Dateien abgelegt entpackt(!) und ein zweiter
Webserver gestartet.

Wie meinst du das, ein zweiter Webserver wird gestartet? Auf welchem Port
lauscht dieser?

Dieser dient dann wohl zum auskundschaften weiterer IP-Adressen. Nun ist
hier die Frage nicht, was man damit anrichten kann, sondern wie ich das
verhindern kann.

Zuerst muss du herausfinden, wie dieser zweite Webserver auf den Server
kommt. Ist es ein Kunde? Ist es ein unsicheres Script?

Im Kundenfall: da wuerde ich hoechstens rechtlich gegen vorgehen. Im Falle
einer Sicherheitsluecke: _dringend_ fixen!

Dabei interessiert es mich brennend, wie man so einen zweiten Server
einfach so installieren kann. Das muss doch schon eine gewisse
Sicherheitslücke sein, die wir die haben!

Das herauszufinden ist deine Aufgabe :)

再见,
 CK