Forum verschickt Viren-E-Mails

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Aprilia-RS-125
Mitglied
Beiträge: 4
Registriert: 19.06.2003 02:59

Forum verschickt Viren-E-Mails

Beitrag von Aprilia-RS-125 »

mein forum (glaub 2.0.2) hat letztens einigen benutzern ihrendwelche komischen viren-e-mail geschickt

siehe thread http://forum.aprilia-rs-125.de/viewtopic.php?p=66677

kommen die e-mails überhaupt vom forum und was kann man degegen machen?
Benutzeravatar
Henne
Ehemaliges Teammitglied
Beiträge: 4520
Registriert: 04.01.2002 01:00
Wohnort: Lage (Lippe)
Kontaktdaten:

Beitrag von Henne »

Also ich kann mir schlecht vorstellen, dass das Board Viren E-Mails verschickt.
Wie soll das denn gehen?
Aprilia-RS-125
Mitglied
Beiträge: 4
Registriert: 19.06.2003 02:59

Beitrag von Aprilia-RS-125 »

frag ich mich ja auch gerade...
Walter aus Wien
Mitglied
Beiträge: 53
Registriert: 23.06.2003 22:20
Wohnort: Wien

Beitrag von Walter aus Wien »

Wird der "I-Worm.Sobig.F" durch Doppelklick aktiviert, so schreibt er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt er Einträge in der Registry ab.

Wie der "I-Worm.Sobig.A" durchsucht auch diese neue Variante den infizierten PC nach eMail-Adressen in den Dateien .DBX, .HLP, .MHT, .WAB, .HTML und versendet sich an diese mit seiner integrierten SMTP-Engine.

Die Absenderadresse wird ebenfalls aus den gefundenen eMail-Adressen entnommen - was eine Verfolgung des tatsächlichen Absenders erschwert.

also kann das Mail ja nur von einem Computer aus starten.
Gruß aus Wien sendet
Walter
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von PhilippK »

Ich würde mir den Thread ja gerne mal anschauen - nur extra registrieren werde ich mich deshalb nicht...
Bitte richte doch deshalb einen Testzugang ein (die Zugangsdaten entweder hier posten oder per PN)
Um genauer sagen zu können, was passiert sein könnte, müsste man schon die genaue Schilderung lesen können. Dass das Board selbst der Verursacher war, ist nahezu ausgeschlossen.

Linke Hand zum Gruß,

Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Aprilia-RS-125
Mitglied
Beiträge: 4
Registriert: 19.06.2003 02:59

Beitrag von Aprilia-RS-125 »

Benutzerneme: Test
Passwort: 1234
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von PhilippK »

Wie gesagt: das Forum ist da recht sicher nicht dran schuld.

Die entsprechenden E-Mail-Adressen stehen bei euch direkt (und ungeschützt) im Forum drin. Ein Virus braucht nur irgendwie auf die Seite zu gelangen (meist reicht der Cache des Internet-Browsers des infizierten Rechners) und kann dann die entsprechenden Mails rausschicken.

Was du machen kannst:
  • Aktiviere die Option, dass E-Mails über das Board verschickt werden. Dann steht keine Adresse mehr im Board drin - und der Mechanismus des Virus ist machtlos
  • Analysiert die Header der E-Mail (das was chri.spe schon gemacht hat). In dem Fall scheint die Mail aus dem ewetel.de-Netz zu kommen (Erste Received-Fron Zeile). An den Provider schickst du 'ne Mail (abuse@...), in der du eine kurze Problembeschreibung und die kompletten Header der Mail einfügst. Wichtig: die From und auch die bei Return-Path angegebene Adresse sagt i.d.R. nichts über den wahren Absender aus.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“