Phishingseite - eingepflanzt

Hallo zusammen,

heute mal mit einen besonders Interessanten Thema.
Mein kleinster VServer wurde "kompromittiert". (nix wichtiges nur Teamspeak *g)
Es wurde eine Seite eingepflanzt die genau das selbe macht wie diese hier:

[Blockierte Grafik: http://screen.siedler3.net/pics/thumbs/thumb_4ee5269d813b9.png]

Ich finde aber im Rettungssystem keinen Hinweis darauf wie es dazu kommen konnte.
Ich habe mich in den vergangenen Stunden intensiv darum bemüht herrauszufinden was geschenen ist, komme aber auf keinen grünen Zweig.

Wenn jemand solch eine Seite nochmal live sehen möchte einfach pm an mich *G

Das System besitzt wohl eine Besonderheit und zwar jene das dort eine zweite IP eingebucht wurde (über die der pishingseite erreichbar war)
nur das ich diese IP nicht kenne, bzw. auch in meinen Unterlagen keine Anforderung für dies finde ..... das muss ich noch klären *G

So ....

ich hab die Files gefunden welche den Terror verursacht haben, incl. der Mailadresse des Datensammlers.
Wie das in mein System kam weis ich allerdings immer noch nicht, nur das es wohl ein perl-script war.

Ich Such mal weiter.

Daten sind wohl keine gesammelt worden,denn:
- das System hat keinen Mailserver
- die Seite war nur 40h online, ehe sie entdeckt wurde

Zitat von wXXX

Wie hast du die seite entdeckt?

Durch eine Mail an Netcup, ich habe sie nachher gefunden.

Wo sind denn die ganzen Cracks ?
Keiner mehr nen Tip ?

Ich hebe die Logfiles auf und mache die Maschine anschließend Platt.
(die Scripte werde ich auch aufheben, wenn jemand mal schauen mag)