MyBB.de Forum

Normale Version: Spammails durch Sicherheitslücke des Forums versendet
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Hi,
1und1 hat meinen Account gesperrt, weil massenweise Spammails durch das Forum versendet wurden. Irgendwer hat da wohl Spamscripte installiert. Was mache ich jetzt, um das in Zukunft zu verhindern? 1und1 gibt nur allgemeine Ratschläge... Hier ein Ausschnitt der Email an mich:


Ihr 1&1 Webspace (Vertragsnummer: ******) ist über eine Sicherheitslücke in
Ihrer Software von außen angegriffen worden.

Infolge des Angriffs wurden:

- automatisch Spam-E-Mails von dem folgenden Script versendet:

~/***/uploads/sn.php total: 16777 permissions: 755
mails sent in current week: 16777

- die folgenden schädlichen Dateien auf Ihren Webspace geladen:

~/***/uploads/set.php (c99shell) | 17/Jan/2008:00:21:44

Nachdem wir die oben genannten Dateien deaktiviert haben, entsperren wir Ihren
1&1 Webspace. Die Sperre war zum Schutz unserer Infrastruktur notwendig. Bitte
haben Sie dafür Verständnis.

Gehen Sie nun wie folgt vor:

1. Folgendes unsichere Skript hat den Angreifern als Einfallstor gedient.
Ersetzen Sie es durch eine aktuellere und abgesicherte Version:

***.com /forumdisplay.php $sortby,fid,order,datecut
***.com /member.php $uid,action
***.com /calendar.php $day,type,year,month
***.com /showthread.php $mode,tid,action
***.com /usercp2.php $fid,type,tid
***.com /newreply.php $tid,pid
***.com /memberlist.php $order,page,by
***.com /misc.php $fid,xoopsConfig[language],hid
***.com /newthread.php $fid
***.com /sendthread.php $tid
***.com /online.php $sortby
***.com /page.php $action
***.com /printthread.php $tid
***.com /search.php $sid

2. Untersuchen Sie Ihren Webspace auf fremde Dateien, die während des Angriffs
abgelegt wurden. Löschen Sie diese unverzüglich.
Hinweis: Bevor Sie die Dateien löschen, die wir deaktiviert haben, müssen Sie
sich wieder Zugriffsrechte daran erteilen. Hinweise dazu finden Sie hier:
http://hilfe-center.1und1.de/hosting/hom...rer/9.html

WICHTIG: Angriffe dieser Art gefährden Ihren 1&1 Webspace, prüfen Sie daher
bitte in Zukunft regelmäßig die Sicherheit Ihrer Software. Gerne beraten und
unterstützen wir Sie bei der Lösung einzelner Probleme. Die Absicherung der von
Ihnen verwendeten Software beruht jedoch auf Ihrer alleinigen Verantwortung.
Ich denke du verwendest nicht die aktuelle Version der Software. Ein Update wäre sinnvoll...
Sorry, du hast Recht. Hätte ich mir auch denken können... Danke
Das Problem ist bekannt. Hier wurde eine Sicherheitslücke ausgenutzt, die in der aktuellen Version nicht mehr existiert. Im Ordner "uploads" dürfen sich keine PHP-Dateien befinden.
Kleine Anmerkung dazu: Zu meiner Schande muss ich gestehen, dass ich auch nicht so ganz "up to date" bin (wird sich aber mit Erscheinen der 1.4 wieder ändern Wink)

Seit Anfang Februar habe ich - um solchen Fällen vorzubeugen - die Freeware CTXtra installiert: www.ctxtra.de.

Vergeht seitdem kaum ein Tag, an dem nicht mehrere Angriffe erfolgreich geblockt werden. Vielleicht ist das auch was für Dich, solange Du (noch) nicht updaten willst; wobei eine aktuelle Version natürlich immer besser ist.
date gerade up, mal sehn obs reibunglos funktioniert. aber danke für den tipp. gibts denn mit dem ctxtra irgendwelche probleme mit blocken von nicht-feindlichen aktivitäten?