forum erneut gehackt, trotz 2.0.15 / UUCP

[firstlevel]

hi,

ich glaube unser Forum wurde trotz Update auf 2.0.15 erneut gehackt. Folgende Email haben eben alle User des Board erhalten...

Message from UUCP on bangpath.uucico.de Sat Jun 25 06:25:40 2005

UUCP job
dextra.mogidi.net.NSc1WRbAAGc0
for system
dextra.mogidi.net
requested by
uucp
has been killed.
======
Reason: Your mail message has been expired after 1344 hours.
====
The job was queued at 2005-04-29 21:43:01.
It was
rmail kgforum@mogidi.net
>From @firstlevel.de Fri Apr 29 21:43:01 2005
X-Greylist: delayed 670 seconds by postgrey-1.16 at bangpath.uucico.de; Fri, 29 Apr 2005 21:43:01 CEST
Received: from luonnotar.infodrom.org (luonnotar.infodrom.org [195.124.48.78])
by bangpath.uucico.de (Postfix) with ESMTP id 59F5626B95
for <kgforum@mogidi.net>; Fri, 29 Apr 2005 21:43:01 +0200 (CEST)
Received: from server017.webpack.hosteurope.de (server017.webpack.hosteurope.de [80.237.130.25])
by luonnotar.infodrom.org (Postfix) with ESMTP id 1AF0D366B78
for <kgforum@mogidi.net>; Fri, 29 Apr 2005 21:31:54 +0200 (CEST)
Received: by server017.webpack.hosteurope.de running Exim 4.34 using local
from nobody id 1DRb7P-0004wA-17; Fri, 29 Apr 2005 21:25:43 +0200
To: @kgforum.de
Subject: Hallo an alle
Reply-To: @kgforum.de
From: @kgforum.de
Message-ID: <80f3e008c9a729aa8cc632764f996081@www.kgforum.de>
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: 8bit
Date: Fri, 29 Apr 2005 21:25:43 +0200
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PHP
X-MimeOLE: Produced By phpBB2
X-AntiAbuse: Board servername - www.kgforum.de
X-AntiAbuse: User_id - 2
X-AntiAbuse: Username - B!
X-AntiAbuse: User IP - 198.79.101.18


Die folgende Email erhältst du von einem Administrator von kgForum.de. Wenn diese E-Mail unerwünschten Inhalt (Spam) enthält, dann kontaktiere bitte den Webmaster unter:

@kgforum.de

Schick dazu bitte die ganze Nachricht, Header inklusive, mit.

Die Nachricht findest du hier:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wir presentieren euch neun Forum http://spymoon.com/images/ie/index.php

ich hoffe neu forum wird viel besser

mfg. www.kgforum.de team....

die Emails @kgforum habe ich gekürzt. Das Passwort vom Admin wurde seit der Installation mehrmals geändert unsererseits.
Hat jemand ein ähnliches Problem ?
Eine Idee?
ggf. Hilfe ?

Vielen Dank für Infos

[D@ve]

Habt Ihr irgendwelche Hacks installiert, die lückenhaft sein könnten?

Gruß, Dave

[firstlevel]

keine. alle mit dem Update rausgenommen.
lediglich ein anderes template ist installiert.

[BraveEagle]

daran kann es liegen. wenn das template auf nem alten Stand ist (oder hast du das Template manuell mit upgedatete?)

BE

[firstlevel]

ich habe es manuell neu gezogen und neu aufgespielt. ich vermute jedoch das es daran nicht verändert wurde.

in einem ryhtmus von 6std wurde erneut eine massenemail rausgeschickt. unsere mailserver sind leider komplett voll mit antworten, statusmessagen etc.
hat irgendjemand eine idee was wir machen können außer forum außer betrieb nehmen ?

[cback]

Wenn der Angriff über URL stattfindet dann hilft der CrackerTracker MOD von mir, die neue Version schützt auch vor Session fakes. Schau mal in meiner Signatu unter "WurmSchutz MOD"

ansonsten noch eine .htaccess aufs ACP, dann kommt man nicht mehr an den Massenmailer ran.

[larsneo]

logfiles auswerten...

[FatFreddy]

Message from UUCP on bangpath.uucico.de Sat Jun 25 06:25:40 2005

UUCP job
dextra.mogidi.net.NSc1WRbAAGc0
for system
dextra.mogidi.net
requested by
uucp
has been killed.
======
Reason: Your mail message has been expired after 1344 hours.
====
The job was queued at 2005-04-29 21:43:01.

Hast Du mal darauf geachtet, daß die jetzt gecancelte eMail vor 56 Tagen ins System gestellt wurde?

Scheint also noch eine Altlast eines früheren Angriffes zu sein.

FatFreddy

[firstlevel]

@FatFreddy
wie, wo kann ich sowas einsehen ?

[FatFreddy]

Steht doch im quote deines ersten Posts. Ich habe es nur farblich hervorgehoben.

FatFreddy