Serverlog prüfen
- Kategorie: gehackt?
- Erstellt: Donnerstag, 17. Januar 2013 21:00
- Zuletzt aktualisiert: Donnerstag, 17. Januar 2013 22:43
- Geschrieben von Martina Major
Da ich nun wusste, wann die Datei auf den Server gekommen war, konnte ich in den ServerLogs die entsprechende Zeit eingrenzen:
41.129.177.66 - - [14/Jan/2013:13:37:22 +0100] "GET //components/com_garyscookbook/img_pictures/belo-130-HP-0.php ... 41.129.177.66 - - [14/Jan/2013:13:37:52 +0100] "POST //components/com_garyscookbook/img_pictures/belo-130-HP-0.php HTTP/1.1" 200 557 ...
Die Datei belo-130_HP-0-php hat per "POST" die Datei xb.php hochgeladen.
41.129.177.66 - - [14/Jan/2013:13:38:35 +0100] "GET //components/com_garyscookbook/img_pictures/xb.php HTTP/1.1" 200 4679 ...
Die Datei xb.php wurde dann mit diversen Verzeichnissen getestet.
Ca. 3 Minuten später war die bel.php im Images-Verzeichnis und wurde auch sofort abgerufen.
Stellt sich noch die Frage, wie ist doe belo-130-HP-0.php auf den Server gekommen?
Wann? Am 12.01.2013 um 22:03 mit einem Eintrag eines Rezeptes wurde ein Bild hochgeladen.