Kontakt MOD & Virenschleuder

wartek · Beitrag von **wartek** » 15.08.2005 23:18

Habe heute zu Testzwecken den Kontakt MOD von Carsten Schäfer in ein phpBB 2.0.17 eingespielt.
Tests waren erfolglos. Die mails kamen mit ungültigem Betreff und ungültigem Text an. Also entfernte ich den MOD nach wenigen Minuten wieder.

Freude hatte ich erst Stunden später als ich bemerkte, dass Codeteile mißbraucht werden um Viren per mail zu verteilen.

-------- Virus Warning Message --------
The virus (W32/Ganda@MM) was detected in the attachment xx.scr. The
attached File xx.scr has been removed.

Nachfolgender Virus (W32/Ganda@MM) wurde im Attachment xx.scr gefunden,
deshalb wurde das Attachment xx.scr gelöscht.
Für Fragen dazu steht Ihnen der chello Helpdesk sehr gerne zur Verfügung.
Weitere Informationen zum Virenschutz: http://portal.chello.at/av-info.html

Le serveur de mail chello a détecté le virus W32/Ganda@MM dans le fichier
xx.scr inclus dans ce mail. Ce fichier xx.scr a donc été supprimée
pour en éviter la diffusion. Pour plus d'information, merci de cliquer sur
le lien suivant http://www.chello.fr

Az Önnek kézbesített levél mellékletében a vírusszűrő rendszer a(z)
W32/Ganda@MM nevű vírust találta, ezért a(z) xx.scr nevű
mellékletet biztonsági okokból eltávolította.
További információért, kérjük kattintson az alábbi hivatkozásra:
http://home.hun.chello.hu/upcmnfc/start ... _res_gyik/

V příloze xx.scr byl detekován virus W32/Ganda@MM. Příloha xx.scr byla proto odstraněna.
Pro dotazy kontaktujte prosím technickou podporu.

W załączniku xx.scr wykryto wirus W32/Ganda@MM. Plik xx.scr został
usunięty. Więcej informacji znajdziesz na stronie internetowej:
http://home.pol.chello.pl/upcmnfc/start/pomoc/wirusy/

V priloženom súbore xx.scr bol zistený vírus (W32/Ganda@MM).
Súbor xx.scr bol odstránený. V prípade otázok prosím kontaktujte linku technickej podpory.
http://www.chello.sk
----------------------------------------

Vielen Dank Carsten Schäfer, ich wünsche Dir das allerbeste

wartek

Nachtrag: Recherchen haben ergeben, dass der Code definitv verantwortlich war.

kellanved · Beitrag von **kellanved** » 16.08.2005 00:16

Interessant wäre jetzt zu erfahren, ob die Mod (sollte sie tatsächlich die Quelle des Virus sein), vom Autor auch so veröffentlicht wurde.

Ich habe mir die Mod eben angesehen - ein Virus konnte ich nicht entdecken. Eigentlich ist es ja nur eine wenig Fassade um einen Aufruf der php- mail funktion.

Beitrag von **netzmeister** » 16.08.2005 00:19

Oder hast Du evtl. von der falschen Quelle den Mod bezogen.
Deshalb immer darauf achten das der Mod auch von einer sicheren Quelle bezogen wird. (Author oder Support-Forum..)

Gruß netzmeister

wartek · Beitrag von **wartek** » 16.08.2005 00:34

Klar mußte/sollte ich den Code vorher prüfen.
Daher trifft mich zum Teil mitschuld. habe erst nachdem Check warum es nicht funkt begriffen, daß phpcodes aufgerufen werden, die so nicht mehr sicher sind.

jeder sniffer kann leicht nach diesen codeteilen "suchen" und die informationen mißbräuchlich verwenden. daher habe ich den code nach wenigen minuten entfernt. zu spät da tests bereits gelaufen sind. glück im unglück: nur der empfänger der im code angegebenen mailadresse war empfänger der mails. weitere kreise konnten vermieden werden. der hoster hat bereits nach 30min reagiert. und den mailaccount gesperrt. nach bestätigung das keine viren oder weitere spams folgen wurde wieder geöffnet.

sowohl download als auch code schien sicher schleßlich, ist die site wo der downloadlink liegt auch direkt aus phpbb.de aufrufbar.

mehr infos möchte ich aus sicherheitsgründen nicht geben, da ich hier keine anleitung zum hacken geben will.

wartek

kellanved · Beitrag von **kellanved** » 16.08.2005 00:43

Ich verstehe jetzt nicht ganz, wo das Problem liegt. (Allerdings kann ich auch auf phpbb.de keinen Link zu dieser Mod entdecken)

Die Mod ermöglicht es Leuten Emails zu verschicken. Wenn Leute die installierte Mod verwenden um Viren an Dich zu schicken, so ist das sicher unschön - aber nicht wirklich die Schuld des Mod-autors.

Wobei es natürlich stimmt, daß die Mod nicht mehr den aktuellen Standards entspricht und ein wenig leichtgläubig daherkommt.

Einste1n · Beitrag von **Einste1n** » 16.08.2005 00:54

reden wir hier von sql injektion oder von was ? *nichtsoganzdurchblick*

wartek · Beitrag von **wartek** » 16.08.2005 00:57

Der Code schafft eine Sicherheitslücke.

Du hast Recht, der Link ist aus phpBB.de nicht direkt erreichbar aber phpbb.de verweist auf eine Site wo der Link downloadbar ist. Aber egal.

Klar das es einen Haufen Codes gibt die ähnliche fragwürdige Funktionen aufrufen. Eine Sicherheitsabfrage hilft ja meist auch schon. siehe phpbb selbst.
Wie gesagt ich möchte (und du sicher auch nicht) nicht nennen wo genau die schwachstellen liegen.

ich versuche hier nur alle zu warnen die einen (german) code für diese zwecke suchen und einsetzen möchten. scheinbar sind robots genau darauf ausgerichtet. spammer gibts eh schon genug.

die dankbarkeit an schäfer richtet sich dabei an die sorglosigkeit einen über 2 jahren alten code unkommentiert weiter zu verbreiten.

hoffe dass mein warnaufruf nicht vergeblich ist.

wartek

ps. schreib grad einen eigenen code...

wartek · Beitrag von **wartek** » 16.08.2005 01:04

Einste1n hat geschrieben:reden wir hier von sql injektion oder von was ? *nichtsoganzdurchblick*

@ Einste1n

sql ist nicht Grund der Lücke. das muss hier reichen

wartek

Einste1n · Beitrag von **Einste1n** » 16.08.2005 01:10

naja evt. kennt er die sicherheitslücke nicht

es gibt viele alte mods, einige mehr oder weniger unsicher ... viele davon werden schon jahre nicht mehr weiterentwickelt! Kann passieren

Carsten25 · Beitrag von **Carsten25** » 25.08.2005 21:06

Hallo,

dann will ich mich auch mal zu Wort melden. Ich finde es eine unverschämtheit mir hier zu unterstellen das ich ein Mod bereitstellen würde um damit Spammails zu versenden. Ich wollte damals eigentlich nur ein normales Kontakformular für mein phpbb erstellen. Ich muss zugeben das meine php Kenntnisse begrenzt sind und das ich mich die letzte Zeit eigentlich überhaupt nicht mehr darum gekümmert habe.

In einer schwachen Minute bin ich dann auf die Wahnwitzige Idee gekommen diesen Mod hier für andere zum Download bereitzustellen. Wie sich im nachhinein herausstellt ein fataler Fehler. Ich werde den entsprechenden Moderator gleich bitten diesen Mod aus der Datenbank zu löschen.

Ich denke man sollte auch mal daran denken das fast alle Mods die irgendwo kostenlos bereitgestellt werden von Leuten in deren Freizeit programmiert werden.

Ich finde ich es voll daneben jemanden wegen einem nicht vorsätzlichen Fehler hier mit voller Namensnennung an den Pranger zu stellen.

Gruß
Carsten