Hallo zusammen,

ich habe auf meinem Webspace bei 1blue eine Datei mit dem Namen sniffer.php entdeckt, die nicht von mir stammt. Hierfür wurde am 20.5. ein Verzeichnis eik angelegt und die Datei dort hineinkopiert. Ebenfalls wurde die Datei robots.txt im Wurzelverzeichnis meines Webspaces erstellt. Alles passierte nachts gegen 2 Uhr.

Bin neu hier, daher meine erste Frage, ob es ok ist, wenn ich die PHP-Datei hier hochlade?

Es würde mich interessieren, wie so etwas auf meinen Webspace kommen kann? Das Kennwort hatte ich vor kurzem erst gegen ein sehr sicheres geändert und Dateien transferriere ich per SFTP.
Interessant wäre auch zu erfahren, was das Script macht, aber dafür müsstet Ihr es Euch ansehen, denke ich.

Vielleicht kann mir jemand weiterhelfen.

Danke und viele Grüße

Bernd

Ich würde es anschauen, falls du es hochladen darfst.

Sorry, die Datei hieß nicht sniffer.php, sondern sniff.php.

Anbei die Datei als zip.

Danke.

Jo, ist ein Virus

Hatte ich mir fast gedacht.

Macht dann vielleicht Sinn, wenn einer der Admins den Anhang löscht, oder? Ich kann es leider mit meinen Berechtigungen nicht mehr.

Und wie kommt so ein Müll dann auf meinen Webspace? Jemand eine Idee bzw. wie ich mich schützen könnte?

Ist 28x verschlüsselt und schaltet den Errorreport aus damit man in den LogFiles nichts sieht. Es ist damit möglich PHP Befehle auf deinem Server auszuführen und PHP Dateien Verschlüsselt hochzuladen.

Die Datei sollte einem Nutzer nichts ausmachen, ist ein PHP Script, der nur mit PHP ausgeführt werden kann.