gelöschter Benutzer
Guest
G
Hallo Leute,
Bei einem Kunden von mir trat auf einmal ein PHP-Fehler auf, dass die Header schon gesendet wurden, was auf Zeichen außerhalb von PHP-Code hinweist.
Jetzt habe ich herausgefunden, dass einige PHP-Dateien heute verändert wurden. Anscheinend wurde also eingebrochen.
Wenn ich die Dateien herunterlade, werde ich wohl mit einem Vergleich zwischen der "Originalversion" des eingesetzten CMS und den "gehackten" Dateien den Code finden, der eingeschleust wurde. (Würde ich jetzt mit diff machen, hat wer ne andere Idee?)
Wie finde ich jetzt aber raus, woher der Code kam? Kann ich per FTP rechtssicher irgendwas archivieren, um ohne Beweise zu vernichten darauf zuzugreifen?
Leider habe ich nicht die Möglichkeit, per Shell auf das Dateisystem zuzugreifen und/oder mir ein Festplattenimage mit dd zu ziehen (Shared Hosting). Habe jetzt alle weiteren Untersuchungen erst einmal eingestellt.
Bei einem Kunden von mir trat auf einmal ein PHP-Fehler auf, dass die Header schon gesendet wurden, was auf Zeichen außerhalb von PHP-Code hinweist.
Jetzt habe ich herausgefunden, dass einige PHP-Dateien heute verändert wurden. Anscheinend wurde also eingebrochen.
Wenn ich die Dateien herunterlade, werde ich wohl mit einem Vergleich zwischen der "Originalversion" des eingesetzten CMS und den "gehackten" Dateien den Code finden, der eingeschleust wurde. (Würde ich jetzt mit diff machen, hat wer ne andere Idee?)
Wie finde ich jetzt aber raus, woher der Code kam? Kann ich per FTP rechtssicher irgendwas archivieren, um ohne Beweise zu vernichten darauf zuzugreifen?
Leider habe ich nicht die Möglichkeit, per Shell auf das Dateisystem zuzugreifen und/oder mir ein Festplattenimage mit dd zu ziehen (Shared Hosting). Habe jetzt alle weiteren Untersuchungen erst einmal eingestellt.