Servus,
einem Bekannten wurde jetzt das zweite mal innerhalb 4 Wochen auf das Controlpanel seines Hosters zugegriffen.
Lt. Seitenbetreiber kann der nicht nachvollziehen, wie der ins Ssystem kam - außer halt mit einem PWD. Da mehr oder weniger Zeitgleich seine Rechner zu Hause mit einem Verschlüsselungstrojaner überrollt wurden, gehe ich aktuell davon aus, dass die immer noch Zugriff auf sein System haben und daher das neue Passwort übernommen haben.
Ich habe jetzt ihm geraten, dass ich die PWD von meiner Kiste aus ändere, was ich auch gemacht habe. Was mir aufgefallen ist, "meinen"
ftp-Zugang zur Seite hat der Angreifer gelöscht und einen "Default" Zugang angelegt. das Passwort habe ich schon geändert. Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch.
Ich werde jetzt noch die pwd der Emailaccounts ändern - Datenbanken sind keine angelegt - hat jemand ne Idee, was ich ggf. übersehen habe / noch überprüfen könnte?
Grüße