Spam-Angriffe auf Phpbb-Scripte ???

[joerg12]

Hallo,

ich habe das phpbb Forum nun seit 2 Tagen erfolgreich installiert. Genau seit dieser Zeit erhalte ich täglich eine Unmenge an Emails mit dem Betreff "Mail Delivery Subsystem". Das sind alles Emails, die nicht zustellbar sind und wieder an mich zurückkommen, obwohl ich sie niemals abgesendet habe.

Laut Rücksprache mit meinem Provider wäre es möglich, dass sich Hacker das phpbb-Script zu Nutze machen, um ihre Spammails darüber zu versenden.

Daher meine Frage:
Ist es möglich, dass das Script zu Spamzwecken missbraucht wird ?
Ist so etwas bekannt ?
Falls ja, wie kann man dagegen vorgehen ?

Bin für jede hilfreiche Antwort dankbar !

Jörg.

[RubberDuck]

Hallo,

ich habe das phpbb Forum nun seit 2 Tagen erfolgreich installiert. Genau seit dieser Zeit erhalte ich täglich eine Unmenge an Emails mit dem Betreff "Mail Delivery Subsystem". Das sind alles Emails, die nicht zustellbar sind und wieder an mich zurückkommen, obwohl ich sie niemals abgesendet habe.

Laut Rücksprache mit meinem Provider wäre es möglich, dass sich Hacker das phpbb-Script zu Nutze machen, um ihre Spammails darüber zu versenden.

Daher meine Frage:
Ist es möglich, dass das Script zu Spamzwecken missbraucht wird ?
Ist so etwas bekannt ?
Falls ja, wie kann man dagegen vorgehen ?

Bin für jede hilfreiche Antwort dankbar !

Jörg.

Ich glaube nicht das dies mit dem PHPBB zusammen hängt. Evtl. nutzt ein Spammer die Domain als Absenderadresse. Wenn die Mails dann nicht zustellbar sind gehen die an den Absender, also an die Domain zurück.

Evtl. mal Prüfen ob Dein Provider ein open relay hat was genutzt wird oder ob Kontakt-Formulare Installiert sind, z.B. formail.cgi.

Wenn das nicht Hilft und Du den Header der Original-Mail hast, dann diesen mal bei SpamCop eintragen und sehen was dann aufgelöst wird.

Meist hilft es aber wenn man die Mailadresse einfach dicht macht, sofern es nicht gerade eine benötigte ist.

[joerg12]

Hallo,

danke für die Antwort.

Der Spammer nutzt eine Domain von mir als Absender-Adresse. Witzigerweise erhalte ich aber diese unzustellbaren Spammails erst seit dem Tag, an dem ich das phpbb installiert habe

Daher lag eben die Vermutung nahe, dass die Spammer sich an diesem Script bedienen und es für ihre Zwecke missbrauchen.

Jörg.

[Gast]

hehe...kann es sein das ein paar user von dir die email addy falsch angegeben haben ?? immer wenn dann halt jemand ne pn bekommt würde er halt ne email bekommen, da du ja vielleicht das über deinen mailserver laufen lässt kommen error meldungen bei dir an....*glaube ich*


MfG

(DerNichtMehrSupportierte-TheNameless)

[joerg12]

Hallo,

das ist ausgeschlossen, da ich meine Forumsteilnehmer schon länger kenne und alle Email-Adressen korrekt eingegeben und verifiziert sind.

Jörg.

[Gast]

könnte es auch net sein, dass diese ihr email-adresse geändert haben ??

[joerg12]

Hallo,

nein, das kann auch nicht sein, weil ich das Forum ja erst vor 2 Tagen eingerichtet habe. Danach habe ich alle alten User wieder hergestellt und mit der alten Email-Adresse wieder angemeldet.

Die Forumsteilnehmer kennen ja die neue Adresse des Forums noch gar nicht

Jörg

[Gast]

Hab mich entschlossen dieses Forum zu nutzen

Bastel seit ca. einer Woche an der Version 206 um es "relativ" Spam sicher zu machen
entdeckte Schwachstellen für Spam

1. Linkspam möglich

Änderungen in der bb.code.php

$bbcode_tpl['url1'] = str_replace('{URL}', "http://".$_SERVER["SERVER_NAME"]."/umleite/re.php?url=\\1", $bbcode_tpl['url']);
$bbcode_tpl['url1'] = str_replace('{DESCRIPTION}', '\\1', $bbcode_tpl['url1']);

$bbcode_tpl['url2'] = str_replace('{URL}', "http://".$_SERVER["SERVER_NAME"]."/umleite/re.php?url=\\1", $bbcode_tpl['url']);
$bbcode_tpl['url2'] = str_replace('{DESCRIPTION}', '\\1', $bbcode_tpl['url2']);

$bbcode_tpl['url3'] = str_replace('{URL}', "http://".$_SERVER["SERVER_NAME"]."/umleite/re.php?url=\\1", $bbcode_tpl['url']);
$bbcode_tpl['url3'] = str_replace('{DESCRIPTION}', '\\2', $bbcode_tpl['url3']);

$bbcode_tpl['url4'] = str_replace('{URL}', "http://".$_SERVER["SERVER_NAME"]."/umleite/re.php?url=\\1", $bbcode_tpl['url']);
$bbcode_tpl['url4'] = str_replace('{DESCRIPTION}', '\\5', $bbcode_tpl['url4']);

Mit
umleite/re.php?url=
leite ich sämtliche urls um


2 Mails werden nicht verschlüsselt

Lösung findest du unter Suchfunktion "med And admin"


3. Suma optimierung unzureichend !!!!!!
---------------------------------------------------------


Ergebniss Spammer sind in der Lage durch Scan der Seiten Mailadressen der User zu bekommen benutze mal GOOGLE gib mal "spam mail wurm" ein dann hast du die Antwort.

Es ist möglich die Linkvererbung durch Url Spam zu nutzen

med Admin

[RubberDuck]

3. Suma optimierung unzureichend !!!!!!
---------------------------------------------------------
Ergebniss Spammer sind in der Lage durch Scan der Seiten Mailadressen der User zu bekommen benutze mal GOOGLE gib mal "spam mail wurm" ein dann hast du die Antwort.
Es ist möglich die Linkvererbung durch Url Spam zu nutzen
med Admin

Stimmt, nur würde der Spammer dann die Adressen der eingetragenen User haben und diese zumüllen. In diesem Falle würden aber die Fehlermeldungen nicht an das Forum zurückgehen.

Solange die Mailadressen in PHPBB nicht verschlüsselt eingetragen, bzw. ausgegeben werden, kann jeder Robot diese auslesen.

[KoSSo]

Hi,
ich habe dasselbe problem ich habe vor vier tagen ein phpBB aufgesetzt und für diese domain auf der das phpbb liegt eine catch for all mail adresse eingerichtet seit drei tagen bekomme ich nun ca. 80-90 dieser Mail Delivery mails die alle etwa so aufgebaut sind:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

inasecond@yahoo.com
SMTP error from remote mailer after end of data:
host mx2.mail.yahoo.com [64.156.215.5]: 554 delivery error:
dd This user doesn't have a yahoo.com account (inasecond@yahoo.com) [-5] - mta104.mail.scd.yahoo.com

------ This is a copy of the message, including all the headers. ------

Return-path: <vincent.overtonih@php-star.de>
Received: from user-393.bbd11tcl.dsl.pol.co.uk ([81.77.145.137] helo=hamsterbacken.de)
by tmailt1.svr.pol.co.uk with esmtp (Exim 4.14)
id 19yIDS-0001k4-PS
for inasecond@yahoo.com; Sat, 13 Sep 2003 22:46:03 +0100
Message-ID: <2.2.32.200309140545550062772e@php-star.de>
X-Mailer: Windows Eudora Pro Version 2.2 (32)
MIME-Version: 1.0
From: "Vincent Overton" <vincent.overtonih@php-star.de>
Date: Sun, 14 Sep 2003 05:45:55 +0000
To: inasecond@yahoo.com
Subject: =?iso-8859-1?B?UmU6U2lsZGVuYWZpbCBDaXRyYXRlIC4uLiBBbGwgb3JkZXJzIHNoaXBwZWQgZGlzY3JlZXRseSB2aWEgRmVkRXg=?=
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<html><body>
<center><!--skp3p3u9mj5m--><a href="http://www.banke4.com/host/default.asp?ID=omni"><img src="http://vanline2.com/pics/gv1.gif" height="270" width="405"></a></center>
</html></body>

Gibt es irgendeine möglichkeit dagegen vorzugehen?

Grüße KoSSo