Spam-Angriffe auf Phpbb-Scripte ???

[RubberDuck]

Gibt es irgendeine möglichkeit dagegen vorzugehen?
Grüße KoSSo

Ja, zuerst einmal den Catch-All entfernen und die benötigten Mailadressen direkt definieren. Wenn das nicht geht, dann kannst Du die betroffenen Mailadressen einfach nach irgendwohin Weiterleiten. Aber am besten den CatchAll rausnehmen.

Du kannst aber auch direkt für Deinen MTA eine Blacklist, bzw. einen Filter anlegen und die Adressen dort eintragen. Ob das einfach geht hängt davon ab welcher MTA auf dem Server läuft und ob Du root-Zugriff hast.

Dann kann man natürlich auch Datenbanken wie z.B. SpamCop direkt abfragen und dort eingetragene Spammer gleich im Posteingang löschen. Wenn alles nichts hilft, dann die IPs filtern, meist reicht es auch schon aus erst einmal alles von AOL zu kappen.

[RubberDuck]

Meine Adresse wird schon länger bespammt. Darum geht es doch nicht. Spammails kriegt ja fast jeder.

Ich erhalte nun eine Unmenge an unzustellbaren Emails jeden Tag, deren ABSENDER allesamt etwas mit meiner Domain zu tun haben. Also wird direkt über meine Domain gespammt !

Das ist so nicht korrekt! Es wird nicht ÜBER Deine Domain gespammt, sondern nur mit Deinem Domainnamen. Dafür muss man weder auf Deinen Domainnamen zugreifen, noch über ein Script bei Dir die Mails versenden.

Grundsätzlich kannst Du jede existierende Domain als Absender von Spam angeben. Und das scheint auch bei Dir der Fall zu sein.

Wie gesagt, das wird nicht daran liegen das Du PHPBB Installiert hast. Meistens schalten die Leute für ein Forum Ihren CatchAll auf und sehen dann erst was alles an Rückläufern zurückkommt.

Sobald der CatchAll deaktiviert ist, wird dies auch aufhören, denn der Mailserver nimmt die Mails für nicht existierende Usernamen erst garnicht mehr an.

Das Deine Domain trotzdem für Spam genutzt wird, dagegen kannst Du nicht viel machen, sofern Du den eigentlichen Absender nicht ermitteln kannst.

[reply]

sofern Du den eigentlichen Absender nicht ermitteln kannst.

Gibt es denn eine möglichkeit den eigentlichen absender herauszufinden?

Gruss reply

[RubberDuck]

sofern Du den eigentlichen Absender nicht ermitteln kannst.

Gibt es denn eine möglichkeit den eigentlichen absender herauszufinden?

Gruss reply

Manchmal schon. Mitunter machen die Spammer nähmlich einige Fehler, durch welche man diese Ermitteln kann.

[reply]

Und hast du ne ahnung woran man den original absender erkennen könnte?

reply

[downtown]

oder sobig.f? könnte das der grund sein?

ich habe auch noch nirgends gehört/gelesen oder auch nur ansatzweise erfahren, dass das phpbb eine sicherheitslücke hat, mit welcher massenmails versendet werden können.

[tuxseven]

ich habe das phpbb Forum nun seit 2 Tagen erfolgreich installiert. Genau seit dieser Zeit erhalte ich täglich eine Unmenge an Emails mit dem Betreff "Mail Delivery Subsystem". Das sind alles Emails, die nicht zustellbar sind und wieder an mich zurückkommen, obwohl ich sie niemals abgesendet habe.

Es liegt nicht an phpBB, sondern der/die Spammer nutzen Deine Domain. Es gibt da schon einen Megatread mit vielen Betroffenen. Du kannst ja mal dies hier lesen.: http://groups.google.de/groups?dq=&hl=d ... abuse.mail [evtl. Zeilenumbruch] Ich habe in den letzten 24h genau 131 BounceMails erhalten. Auf meiner Domain gibt es kein Board.

Gruß tux

[Badesalzkrokodil]

..ich würde hier auch auf einen Wurm schließen, den man entweder selbst auf dem Pc hat oder was noch schlimmer ist ein Bekannter, der das gar nicht weiss und das wahrscheinlich nicht verstehen wird.

Der Sobig-Wurm macht das z.B. so

Virus sucht in Text - html oder sonstigen Dateien Emails, also findet er ein @ zeichen, nimmt er wahllos das wort davor oder danach und verknüft es mit anderen Emailbestandteilen

Das heisst, hat ein Freund von dir irgendwo eine Datei, wo deine Email vorkommt, eben mit der Endung @deine-domain.de kann von diesem Computer eine virusmail mit deiner Adresse verschickt werden und du weisst von gar nix

Das ganze dient nur, dass dann ein möglicher Empfänger denkt, die ist von meinem Bekannten, also kann ich sie öffnen...nichts anderes als die schnellste möglichkeit einen Virus zu verbreiten.

[tuxseven]

..ich würde hier auch auf einen Wurm schließen, den man entweder selbst auf dem Pc hat oder was noch schlimmer ist ein Bekannter, der das gar nicht weiss und das wahrscheinlich nicht verstehen wird.
Der Sobig-Wurm macht das z.B. so

Schau mal hier: http://www.heise.de/newsticker/data/uma-15.09.03-000/

Ich habe auf meiner Domain jetzt 201 Rückläufe, bei denen nicht eine Adresse identisch ist.

So zB:
"Cara Peck" <carapeck_xp@
<eldon_harper_og@
l_robbinsom@
christi.franklingi@
<joanne_montoya_cm@
"Hollie Cordova" <holliecordova_qr@

Ich habe meinen Domainnamen mal aus den Adressen entfernt. Das problematische bei mir ist, das der Webauftritt eine hoheitliche Aufgaben wahrnimmt, und es nicht gerade dem Image förderlich ist. Wie Du siehst war es definitiv kein Wurm/Virus.

Gruß tux

[RubberDuck]

Ich habe auf meiner Domain jetzt 201 Rückläufe, bei denen nicht eine Adresse identisch ist.

So zB:
"Cara Peck" <carapeck_xp@
<eldon_harper_og@
l_robbinsom@
christi.franklingi@
<joanne_montoya_cm@
"Hollie Cordova" <holliecordova_qr@

Ich habe meinen Domainnamen mal aus den Adressen entfernt. Das problematische bei mir ist, das der Webauftritt eine hoheitliche Aufgaben wahrnimmt, und es nicht gerade dem Image förderlich ist. Wie Du siehst war es definitiv kein Wurm/Virus.

Gruß tux

Das hat auch nichts mit Sobig und anderen zu tun.

Die Spammer nutzen zur generierung der Namen ein einfaches Tool, welches Namen aus verschiedenen Quellen besorgt. Dadurch kommen die meist echt wirkenden Namen zustande. Da diese Namen meist in Listen stehen ist ein anfügen an neue Domainnamen ein leichtes.

Das die Spammer damit auch noch erfolg haben, liegt insbesondere daran, das Catch-All Accounts genutzt werden. Nur die wenigsten brauchen wirklich Catch-All.

Es gab mal eine Umfrage zu diesem Thema, wobei sich herausstellte das fast 90% der Nutzer die einen Catch-All Account am laufen haben, diesen garnicht brauchen. Meist wurden nur bis zu 10 direkte Adressen genutzt.

Das ist für Spammer natürlich ein gefundenes Fressen.