Hello,

Schritt 2: Analysiere, wie diese Datei entstanden ist. Sichere sämtliche Serverlogfiles extern (downloaden) und analysiere sie. Parallel wäre ein Codeaudit nicht verkehrt, angefangen mit der Prüfung, ob für die eingesetzten Versionen verwendeter Software und -bibliotheken Sicherheitslücken berichtet wurden.

Dazu schaue Dir insbesondere alle Zeilen an, die kein GET enthalten, sondern vermutlich POST.

Es ist auch wahrscheinlich, dass ein nicht vernünftig abgesichertes Upload-Modul für Bilder, Dateien o.ä. für die Lücke verantwortlich ist.

In welchem Verzeichnis / welchen Verzeichnissen wurde denn diese true.php gefunden?

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg