In meinen Serverlogs finde ich mehrfach verschiedene Zugriffe von Seiten wie:
abc.com/wp-admin/casquebeatspascher.php
xyz.de/typo3conf/casquebeatspascher.php
zyx.com/wp-includes/casquebeatspascher.php
aabbcc.de/casquebeatspascher.php
auch eine cheapbeatsuk.php findet man in asdf.com/wp-content/cheapbeatsuk.php, wird derselbe hack sein.
bei Zugriff auf diese Seiten bekommt man immer ‚Beats Pas Cher,Casque Beats Solo,Casque Beats Studio‘ mit der url fr-casquebeatspascher.com zu sehen.
Ich denke die Seiten mit solch einer Weiterleitung sind wohl gehackt worden und haben eben diese casquebeatspascher.php in irgendeinem Verzeichnis. Remote File Inclusion, das Hochladen und Ausführen von Dateien, geschieht wohl meist durch ungenügend eingeschränkte Nutzer-Rechte, frei beschreibbare Verzeichnisse oder unsicher SQL Codes.
Auf Webservern sollte im www oder public_html-Verzeichnis der Webserver nur Leserechte bekommen, der FTP-Nutzer (mit sicherem Passwort), also meist ich selbst, sollte lesen und schreiben können. Infos dazu gibt’s mehr als nötig, ich möchte jetzt nicht per ‚copy und paste‘ das noch kopieren.
Solange meine Seite nicht auf diese Art infiziert, kann ich ja noch ruhig schlafen.
I also find casquebeatspascher.php in my log files!