Zitat von »dazzen«

An Deiner Stelle würde ich mal ins Verzeichnis content gucken. Bei mir hatte der nette Hacker dort sein Script abgelegt (was ja auch logisch ist, wenn er die Schwachstelle im Article ausgenutzt hat). Wenn in den Verzeichnissen download oder images außer der index.php noch irgendwelche php Dateien liegen, dann ist es sicher der "Crack". Wenn Du Dir die mysteriöse php Datei dann runterladen willst, springt der Virenscanner sofort an: Wurm bla bla blubb. Also lieber gleich löschen.

Weiterhin solltest Du Dir Gedanken über die Schreibrechte auf Deinem Webspace machen.
Ich könnte mir auch vorstellen, dass er das Teil durch den Avatarupload hochgeladen hat, also auch mal ins Avatarverzeichnis gucken....

Für nähere Details kannst Du Dir ja die Exploitbeschreibung angucken; den Quellcode poste ich lieber nicht, da die Kiddies damit schon viel zu viel Blödsinn machen. Achja, die nächste Stufe ist dann, dass die Shell in ein Bild verpackt wird. Also alles schnell Dicht machen...

C Ya

DaZZeN