Jemand versucht ein Skript auf meinen Server einzuschleusen

Peggy · Beitrag von **Peggy** » 04.02.2008 12:19

phpBB 2.0.22
------------------------------

Huhu,

seit ein paar Tagen bekomme ich hin und wieder nicht zustellbare Emails. Vielleicht mag mir jemand erklären, was da vor sich geht... Ich vermute jemand oder etwas (ein nicht funktionierendes Skript auf einem anderen Server) versucht bei mir Code auszuführen, schätzungsweise um über meinen Server Spam zu versenden. Vielleicht kann mir jemand einen Tipp geben, wie ich verfahren soll. Soll ich z.B. die Webmaster der Domains (siehe Email-Texte) anschreiben? Es ist immer die gleiche Email-Adresse, die nicht stimmt. Die URLs/Server, über die das fehlerhafte Skripte ausgeführt wird, sind immer andere....

Ich kopiere mal Beispiele dieser nicht zustellbaren Mails hier rein:
(meine Server-Details mit **** unkenntlich gemacht)

<bp135@bigfoot.com>: host mail-kr.bigfoot.com[211.115.216.222] said: 550 This
account is not allowed...bp135@bigfoot.com (in reply to RCPT TO command)

--------------------------------

Reporting-MTA: dns; ****.de
X-****-de-Queue-ID: 8839FDBC5B4
X-****-de-Sender: rfc822; ****@****.de
Arrival-Date: Mon, 4 Feb 2008 05:51:37 +0100 (CET)

Final-Recipient: rfc822; bp135@bigfoot.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mail-kr.bigfoot.com
Diagnostic-Code: smtp; 550 This account is not allowed...bp135@bigfoot.com

MySQL Error : Query Error
Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.elettrodataservice.it/foto_a ... a/iyegimi/, 15' at line 1
Date : 04 Feb 2008 5:51
IP : 222.231.24.105
Browser : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.4.6
OS : Linux
Server : Apache
Server Name : peggy-para.de

MySQL Error : Query Error
Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.obrasmecanicasch.com/omch/img/itofu/viroja/, 15' at line 1
Date : 04 Feb 2008 11:15
IP : 211.63.1.142
Browser : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.4.6
OS : Linux
Server : Apache
Server Name : peggy-para.de

MySQL Error : Query Error
Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.felixtorresycia.com/admin/correo/enaq/ecib/, 15' at line 1
Date : 04 Feb 2008 11:15
IP : 211.63.1.142
Browser : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.4.6
OS : Linux
Server : Apache
Server Name : peggy-para.de

MySQL Error : Query Error
Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.soeasywebsite.com/soeasycasino/ixu/xotem/, 15' at line 1
Date : 04 Feb 2008 5:51
IP : 222.231.24.105
Browser : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.4.6
OS : Linux
Server : Apache
Server Name : peggy-para.de

MySQL Error : Query Error
Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'http://www.spoddyland.co.uk/scans/youne ... ettinginhe' at line 1
Date : 04 Feb 2008 5:51
IP : 222.231.24.105
Browser : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Referer :
PHP Version : 4.4.6
OS : Linux
Server : Apache
Server Name : peggy-para.de

Balint · Beitrag von **Balint** » 04.02.2008 15:30

Hallo!

Du hast eine Vielzahl von MODs installiert: http://www.peggy-para.de/hacks_list.php

All diese MODs können Sicherheitslücken enthalten, die sich negativ auf den Server auswirken. Ich kann mir gut vorstellen, das du nur die erfolglosen Skripte mitbekommst und dein Server längst den Spam umherschleudert. Wie sehen denn die Serverlogs aus? Und der Traffic?

Das Album und die Linkliste sind z.B. heiße Kandidaten. Welche phpBB-Version setzt du ein, ist es vielleicht sogar eine Abwandlung von phpBB+ ?

Viele Grüße,
Bálint

Peggy · Beitrag von **Peggy** » 04.02.2008 16:11

Habe ein normales phpBB, selbst gemodded und geupdated.

Traffic ist normal konstant wie immer ... ich sehe in meiner Statistik auch genau, wieviel Traffic für web, FTP und Mail verbraucht wird. Da ist alles normal.

Mein Hoster würde mich auch informieren, wenn es da Unauffälligen gäbe. Ich war einmal wegen Krankenhausaufenthalt 1 Monat ohne Internet und als ich dann zu Hause war, habe ich innerhalb eines Tages ca. 120 Emails beantwortet, die angefallen sind. Da hat sich beim Hoster sofort bei mir gemeldet, weil der Verdacht auf Spamversand bestand.

Was die Linkliste betrifft, da bin ich die einzigste die diese Art von Link-Mod hat. Album hatte ich erst geupdated. Nun gut, möglich ist hier natürlich alles.

Ja, habe jetzt mal in das heutige Log geschaut... und zu der Zeit, als die Fehler-Mails bei mir ankamen, gibt es Auffälligkeiten. Habe hier mal den entsprechenden Abschnitt als txt:
http://home.arcor.de/immun/Peggy/accesslog_040208.txt
Sieht so aus, als würde jemand unter Umgehung des Logins versuchen Beiträge mit Spam-URLs ins Forum und in den Kalender (cal_lite) zu posten.

Ich hatte seit Einbau des Humanizer-MODs keine Spamposting/Spamuser mehr.