Moin!

wir haben ein akutes Problem an den Backen...

Auf unserem Server befindet sich plötzlich eine Datei namens true.php über die anscheinend ungewünschte Aktionen ausgeführt werden.

Ja, irgendwo auf deinem Server ist eine Sicherheitslücke, die diesen Angriff erlaubt.

Finde die Lücke und schließe sie.

Schritt 1: Ändere alle Passwörter, die Zugang zum Server verschaffen, auf zufällige Werte mit MINDESTENS 10 Zeichen Länge. Keepass wäre ein geeignetes Programm zur Erzeugung und Verwaltung von deinen Passwörtern.

Schritt 2: Analysiere, wie diese Datei entstanden ist. Sichere sämtliche Serverlogfiles extern (downloaden) und analysiere sie. Parallel wäre ein Codeaudit nicht verkehrt, angefangen mit der Prüfung, ob für die eingesetzten Versionen verwendeter Software und -bibliotheken Sicherheitslücken berichtet wurden.

- Sven Rautenberg