Aber wie es das perlskript, das eine kleine hintertür aufmacht schafft, sich bei der infekzjon in die crontab
einzutragen, bleibt offen. Das kann kein einfaches sicherheitsloch in wördpress oder joomla sein, wie golem mutmaßelt. Denn ein PHP-skript für so eine webseit läuft — wenn da nicht jemand ziemlich fatal konfiguriert hat — mit den rechten des websörvers unter dem technischen benutzer www-data
, der im dateisystem fast gar nichts dürfen sollte.
Wenn da nicht ein ganz übler fehler vorliegt, dann ist davon auszugehen, dass jemand mindestens mit normalen benutzerrechten diese schadsoftware selbst installiert. Was ich aus anderen kwellen als bei golem lese — danke, kwalitätsjornalismus — sieht so aus, als würden vollidjoten, die sich ein spämmskript für linux runterladen, gleich ein paar hintertürchen aufgemacht (seite 18 und 19 im verlinkten PDF). Finde ich ja im prinzip eine prächtige idee, aber nur, wenn man darüber nicht spämmt, sondern dem kriminellen, asozjalen vollidjoten seinen scheißsörver plattmacht. 👿
Sollte sich das als der einzige infekzjonsweg erweisen, besteht für die meisten menschen keine gefahr. Es kann aber auf gar keinen fall schaden, sich mal anzuschauen, was in der crontab
drinsteht — und wenn man schon dabei ist, gleich mal einen blick in die verzeichnisse /etc/cron.d
, /etc/cron.monthly
, /etc/cron.weekly
, /etc/cron.daily
, /etc/cron.hourly
zu werfen — früher war alles einfacher! — und auch mal in der /var/spool/cron/crontabs
nachzuschauen, ob eine verdächtige zeile in der crontab
eines anderen benutzers ist… na ja, was erzähle ich, der übliche kram eben!
(Dass ich dabei ganz nebenbei in den ruinen ein paar antike buffer einer älteren exim-versjon gefunden habe, die sich mit fast 450 MB breitschultrig auf die festplatte stellten und auf die seit 2009 nicht mehr zugegriffen wurde, ist ein anderes tema. Löschen ist immer noch der billigste festplattenspeicher. Man räumt viel zu selten richtig auf…)