Een account gebruikte ineens meer diskspace dan hij/zij mocht gebruiken, blijkt er een iroffer fileserver te draaien. Word gebruikt om via IRC bestanden te downloaden. Heb kunnen achterhalen in welke irc server en channel het draait. Tot nu toe heeft het pas 20 gb dataverkeer gekost. De owner van alles is Apache waar ik nog niet helemaal achter ben is hoe ze het gelukt is om het te uploaden draaien. Tot nu toe niks aan de hand maar als ze dit kunnen starten zouden ze ook andere programmas moeten kunnen starten

safe mode aan staan in php ?

php_admin_flag safe_mode ON

Safe mode staat aan ja.

Wat je even zou kunnen proberen is het volgende:

Kijk even naar de creation date van het irc server programma ( ls -lc )
Vervolgens zoek je in de Apache access log welke pagina/scriptje er op dat tijdstip is opgevraagd.

en zou nog een keer voor de zekerheid controleren dat safe mode daadwerkelijk aan staat.

Heb safe_mode nagekeken en het staat wel degelijk aan. Zowel in php.ini als de custom httpd.conf files.

[ Defacing Tool Pro v2.5 public ] ?
by r3v3ng4ns - revengans@gmail.com

Dat is degene die het tootlje heeft geschreven waarmee de files zijn geupload.

Het werd geladen via : http://www.agatsuma.kit.net/blabla/vsf.vsf

Bedankt voor de hulp hopelijk hebben jullie er ook wat aan.

Ahh dit is vrij simpel, ergens in jouw scripts kun je dmv een $_GET een include oproepen waarbij je ook toestaat dat dit een url is. Doordat deze php code niet uitgevoerd wordt op de host maar bij jouw in de source geinclude wordt wordt hij ook uitgevoerd...

Ik heb de desbetreffende eigenaar van de site al verzwezen op het probleem. Zoekend op google kom je trouwens meer hits tegen op r3v3ng4ns .

r3v3ng4ns komt zelfs op wht voor
http://www.webhostingtalk.nl/showthread.php?threadid=73581

Ze hebben bij mij ook es wat geinstalleerd in /tmp .. Oorzaak was (en is meestal) phpBB .. dat buggy forum zou je moeten weren van elke server.

Inderdaad.

Ik raad iedereen het ook streng af als ze hosting advies etc vragen aan mij :D

Haha grappig. Nooit gedacht dat die irc-kiddies nog ooit zover zouden komen. Over het algemeen lopen ze achter de grote rest aan qua programmaatjes. Wel grappig wat je met die config van iroffer allemaal kunt doen trouwens ;)

allow_url_fopen = Off
safe_mode = On
register_globals = Off
magic_quotes_gpc = On
display_errors = Off

Paar settings die ik meteen ook heb nagekeken en goed gezet heb. ^^

Ach, ik update mijn PHPBB2 board redelijk. :p Ik vind het script wel interessant. Niet echt mooie code, maar het doet wat het moet doen. Ik ga er eens naar kijken denk ik :)

magic_quotes_gpc = On

Zou ik niet doen...dit kan veel dingen breken, en heeft ook alleen betrekking op database security voor luie scripters die niet netjes mysql_real_escape_string oid gebruiken.

@TS:
Maak een bestand aan met naam phpinfo.php. Zet daarin het volgende:
<?
phpinfo();
?>

Open de pagina en kijk of safe-mode aan staat. Ik denk dat je mogelijk je config file bijvoorbeeld op de verkeerde plaats hebt staan, dan gaat alles op default values. Draai je nog andere mods op je webserver, of hebben je klanten toegang tot CGI dingen?