Trotzdem: Das Problem von Craxx und das aktuelle mit dem Backup-Tool hat nichts miteinander zu tun, schätze ich.
Es tritt nur zeitnahe auf, zufällig.
Da bin ich mir nicht (mehr) sicher.
Als ich gestern nach der z.php gesucht habe sind mir die Seiten in arabischer Schrift aufgefallen.
Der exploit kommt ebenfalls aus diesem Lager.
Deswegen habe ich ja nach den Experten gefragt ob man irgendwie erkennen kann ob das backup-Script verwendet wurde.
Aber so wie ich das exploit-Script mit dem Form-Befehl interpretiere läuft es nur auf Server die von Außen den Zugriff auf Server-Scripte zulassen (so wie früher der Zugriff auf php-Mail-Scripte als open-relay möglich war)
Eigentlich sollte mit deaktiviertem allow_url_fopen kein Zugriff mehr möglich sein.
WebsiteBaker Community Forum
