Spammails kommen zurück - Anfänger...
Verfasst: 09.01.2007 21:00
Hallo Leute,
ich bin neue hier. Ich betreibe seit ein paar Monaten ein kleines internes Forum. Ein Brett ist öffentlich und da kann man es anmelden, und anschließend muss ein Email an mich geschickt werden, dann nehme ich die Leute in z.B. Beta Gruppe auf, die den Zugriff auf interne Foren hat. In der letzten Zeit bekomme ich immer per Email Meldungen, dass verschiedene Spamm Mails nicht zugestellt werden können, also missbraucht jemand das Forum (Server, was auch immer). Ich habe das bei meinem Hoster (AllInkl) gemeldet, aber die meinten, dass es bestimmt ein unsicherer PHP Script ist. So habe ich gestern im Forum gesucht und folgendes gemacht:
1. Von 2.0.19 auf 2.0.22 upgedated
2. Alle merkwürdige Benutzer gelöscht (das Forum ist intern und damit überschaubar)
3. Mein FTP Passwort geändert
4. Admin Passwort geändert
5. Eine Datei die in Root war (".procmailrc" - siehe Inhalt
) gelöscht
6. Die Statistik-Module von jStat gelöscht - hatten auch eine Mail Funktion
7. Anmeldung nur mit Admins Bestätigung (wie gesagt, es ist ein kleines Forum, und die Benutzerzahl hält sich in Grenzen).
Weiterhin verdächtig finde ich zwei Ordner, weiß aber nicht wozu die da sind:
/mail/.imap/INBOX
dovecot.index
dovecot.index.cache
dovecot.index.log
dovecot.index.log.2
mit binären inhalt.
Und dann:
/cgi-bin/sysinfo
history.txt
lizenz.html
redme.txt
sysinfo.cgi
In sysinfo.cgi kommt öfter "mail" vor.
Trotz Maßnahmen bekomme ich weiterhin Retourmails. Aber trotzdem wir kann ich den Missbrauch dieser Art unterbinden? Gibt es da einen Patch? Über die Bot Mods habe ich gelesen, aber wie gesagt die Benutzerzahl ist überschaubar, und die Leute aus dem Forum sind meine Kunden, so kann ich sicher sein, dass ich keinen Bot in die interne Foren hinzufüge. Was kann denn noch sein? Ich suche seit zwei Tagen schon, aber finde leider keine Lösung.
Danke, und Entschuldigung für den Roman
ich bin neue hier. Ich betreibe seit ein paar Monaten ein kleines internes Forum. Ein Brett ist öffentlich und da kann man es anmelden, und anschließend muss ein Email an mich geschickt werden, dann nehme ich die Leute in z.B. Beta Gruppe auf, die den Zugriff auf interne Foren hat. In der letzten Zeit bekomme ich immer per Email Meldungen, dass verschiedene Spamm Mails nicht zugestellt werden können, also missbraucht jemand das Forum (Server, was auch immer). Ich habe das bei meinem Hoster (AllInkl) gemeldet, aber die meinten, dass es bestimmt ein unsicherer PHP Script ist. So habe ich gestern im Forum gesucht und folgendes gemacht:
1. Von 2.0.19 auf 2.0.22 upgedated
2. Alle merkwürdige Benutzer gelöscht (das Forum ist intern und damit überschaubar)
3. Mein FTP Passwort geändert
4. Admin Passwort geändert
5. Eine Datei die in Root war (".procmailrc" - siehe Inhalt
) gelöschtCode: Alles auswählen
SHELL=/bin/sh
:0B
* ^*Antibiotics
/dev/null
:0B
* ^*Valium
/dev/null
:0B
* ^*V1agra
/dev/null
:0B
* ^*C1al1s
/dev/null
:0
* ^To.*altokids
/dev/null
:0B
* ^*Viagra
/dev/null
:0
* ^Subject.*Cialis
/dev/null
:0
* ^Subject.*Rolex
/dev/null
:0:
* ^X-MailScanner: Found to be infected
/dev/null
:0:
* ^X-MailScanner: Found to be clean
/dev/null
FORMAIL=/usr/bin/formail
NSLOOKUP=/usr/bin/host
:0w
* ^Received:.*\[\/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
{
IPSTR=${MATCH}
:0
* IPSTR ?? ()\/[0-9]+
{
IP1=${MATCH}
:0
* IPSTR ?? [0-9]+\.\/[0-9]+
{
IP2=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.\/[0-9]+
{
IP3=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.[0-9]+\.\/[0-9]+
{
REVIPSTR="${MATCH}.${IP3}.${IP2}.${IP1}"
XBLCHECK=`$NSLOOKUP $REVIPSTR.xbl.spamhaus.org`
}
}
}
}
}
:0
* XBLCHECK ?? 127\.0\.0\.[4-6]
/dev/null
FORMAIL=/usr/bin/formail
NSLOOKUP=/usr/bin/host
:0w
* ^Received:.*\[\/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
{
IPSTR=${MATCH}
:0
* IPSTR ?? ()\/[0-9]+
{
IP1=${MATCH}
:0
* IPSTR ?? [0-9]+\.\/[0-9]+
{
IP2=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.\/[0-9]+
{
IP3=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.[0-9]+\.\/[0-9]+
{
REVIPSTR="${MATCH}.${IP3}.${IP2}.${IP1}"
SBLCHECK=`$NSLOOKUP $REVIPSTR.cbl.abuseat.org`
}
}
}
}
}
:0
* CBLCHECK ?? 127\.0\.0\.2
/dev/null
:0fW
| /usr/local/bin/clamassassin
:0
* ^X-KasScan: infected
/dev/null
:0
* ^Subject.*Bin ich zu weltfremd\? Ich glaube wohl kaum
/dev/null
:0
* ^Subject.*Wer an ein Tabu ruehrt, muss und darf vernichtet werden
/dev/null
:0
* ^Subject.*EU Beitritt der Tuerkei ?
/dev/null
:0
* ^Subject.*Bankrott des Gesundheitswesens durch Auslaender!
/dev/null
:0
* ^Subject.*Geschrieben von Margrit am 07. April 2004
/dev/null
:0
* ^Subject.*Die Deform der sozialen Ordnung
/dev/null
:0
* ^Subject.*Moschee-Bau in Deutschland
/dev/null
:0
* ^Subject.*Augen auf! \(So sieht es aus!\)
/dev/null
:0
* ^Subject.*Paradies Bundesrepublik - Rente fuer die Welt -
/dev/null
:0
* ^Subject.*Libanesen in Berlin
/dev/null
:0
* ^Subject.*Garather klagen ueber eskalierende Gewalt im Stadtteil!
/dev/null
:0
* ^Subject.*Auslaender erschleichen sich zunehmend Sozialleistungen
/dev/null
:0
* ^Subject.*Auslaenderkriminalitaet steigt weiter!
/dev/null
:0
* ^Subject.*Das kann unmoeglich sein -Leserbrief-
/dev/null
:0
* ^Subject.*Nein zum Zuwanderungsgesetz !
/dev/null
:0
* ^Subject.*Skandalurteil in Darmstadt
/dev/null
:0
* ^Subject.*Auf Kosten der deutschen Beitragszahler und Rentner!
/dev/null
:0
* ^Subject.*Wir haben die Auslaender doch geholt\?!
/dev/null
:0
* ^Subject.*TUERKEN-TERROR AM HIMMELFAHRTSTAG
/dev/null
:0
* ^Subject.*MULTI-KULTI-BANDE TYRANNISIERTE MITSCHUELER
/dev/null
:0
* ^Subject.*ASYLANTEN BEGRABSCHTEN DEUTSCHES MAEDCHEN
/dev/null
:0
* ^Subject.*Was Deutschland braucht, sind deutsche Kinder!
/dev/null
:0
* ^Subject.*Diplomatische Zensur
/dev/null
:0
* ^Subject.*EU gibt Erwerbslosen volle Freizuegigkeit
/dev/null
:0
* ^Subject.*Richter unterstuetzt kriminelle Auslaenderin
/dev/null
:0
* ^Subject.*Auslaenderanteile in Schweizer Gefaengnissen
/dev/null
:0
* ^Subject.*Neue Voelkerwanderung droht!
/dev/null
:0
* ^Subject.*Polizei traute sich nicht, kriminellen Auslaender festzunehmen
/dev/null
:0
* ^Subject.*AUSLAENDERGEWALT BEIM HAFENGEBURTSTAG
/dev/null
:0
* ^Subject.*Auslaendergewalt: Herr Rau, wo waren Sie\?
/dev/null
:0
* ^Subject.*So sieht die Wahrheit aus!
/dev/null
:0
* ^Subject.*ASYLANT QUAELTE TIERE BRUTAL ZU TODE
/dev/null
:0
* ^Subject.*DEUTSCHES MAEDCHEN FAST VERGEWALTIGT
/dev/null
:0
* ^Subject.*Mehr fuer Auslaender als fuer Deutsche tun!
/dev/null
:0
* ^Subject.*Skandal in Berlin
/dev/null
:0
* ^Subject.*SEHBEHINDERTER VON AUSLAENDERN VERPRUEGELT
/dev/null
:0
* ^Subject.*Marokkanischer Wiederholungstaeter vergewaltigte 17-jaehriges
/dev/null
:0
* ^Subject.*Dresden 1945
/dev/null
:0
* ^Subject.*Verbrechen der deutschen Frau
/dev/null
:0
* ^Subject.*Deutsche Buerger trauen sich nicht ...
/dev/null
:0
* ^Subject.*Augen auf
/dev/null
:0
* ^Subject.*Graeberschaendung auf bundesdeutsche Anordnung
/dev/null
:0
* ^Subject.*Blutige Selbstjustiz
/dev/null
:0
* ^Subject.*Tuerkei in die EU
/dev/null
:0
* ^Subject.*Vorbildliche Aktion
/dev/null
:0
* ^Subject.*4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
/dev/null
:0
* ^Subject.*Auslaenderpolitik
/dev/null
:0
* ^Subject.*60 Jahre Befreiung: Wer feiert mit?
/dev/null
:0
* ^Subject.*The Whore Lived Like a German
/dev/null
:0
* ^Subject.*Gegen das Vergessen
/dev/null
:0
* ^Subject.*Dresden Bombing Is To Be Regretted Enormously
/dev/null
:0
* ^Subject.*Armenian Genocide Plagues Ankara 90 Years On
/dev/null
:0
* ^Subject.*All Law is Commerce & Contracts
/dev/null
:0
* ^Subject.*Trotz Stellenabbau
/dev/null
:0
* ^Subject.*S.O.S. Kiez! Polizei schlaegt Alarm
/dev/null
:0
* ^Subject.*Paranoider Deutschenmoerder kommt in Psychiatrie
/dev/null
:0
* ^Subject.*Auf Streife durch den Berliner Wedding
/dev/null
:0
* ^Subject.*Transparenz ist das Mindeste
/dev/null
:0
* ^Subject.*Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
/dev/null
:0
* ^Subject.*Blutige Selbstjustiz
/dev/null
:0
* ^Subject.*Turkish Tabloid Enrages Germany with Nazi Comparisons
/dev/null
:0
* ^Subject.*Armenian Genocide Plagues Ankara 90 Years On
/dev/null
:0
* ^Subject.*The Whore Lived Like a German
/dev/null
:0
* ^Subject.*Vorbildliche Aktion
/dev/null
:0
* ^Subject.*Tuerkei in die EU
/dev/null
:0
* ^Subject.*Volk wird nur zum zahlen gebraucht!
/dev/null
:0
* ^Subject.*Schily ueber Deutschland
/dev/null
:0
* ^Subject.*Hier sind wir Lehrer die einzigen Auslaender
/dev/null
:0
* ^Subject.*Auslaender bevorzugt
/dev/null
:0
* ^Subject.*Deutsche werden kuenftig beim Arzt abgezockt
/dev/null
:0
* ^Subject.*Multi-Kulturell = Multi-Kriminell
/dev/null
:0
* ^Subject.*Du wirst zum Sklaven gemacht!!!
/dev/null
:0
* ^Subject.*Du wirst ausspioniert ....!
/dev/null
:0
* < 16000
{
:0:
* ^Content-Transfer-Encoding: *base64
/dev/null
}
FORMAIL=/usr/bin/formail
NSLOOKUP=/usr/bin/host
:0w
* ^Received:.*\[\/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
{
IPSTR=${MATCH}
:0
* IPSTR ?? ()\/[0-9]+
{
IP1=${MATCH}
:0
* IPSTR ?? [0-9]+\.\/[0-9]+
{
IP2=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.\/[0-9]+
{
IP3=${MATCH}
:0
* IPSTR ?? [0-9]+\.[0-9]+\.[0-9]+\.\/[0-9]+
{
REVIPSTR="${MATCH}.${IP3}.${IP2}.${IP1}"
SBLCHECK=`$NSLOOKUP $REVIPSTR.sbl.spamhaus.org`
}
}
}
}
}
:0
* SBLCHECK ??
6. Die Statistik-Module von jStat gelöscht - hatten auch eine Mail Funktion
7. Anmeldung nur mit Admins Bestätigung (wie gesagt, es ist ein kleines Forum, und die Benutzerzahl hält sich in Grenzen).
Weiterhin verdächtig finde ich zwei Ordner, weiß aber nicht wozu die da sind:
/mail/.imap/INBOX
dovecot.index
dovecot.index.cache
dovecot.index.log
dovecot.index.log.2
mit binären inhalt.
Und dann:
/cgi-bin/sysinfo
history.txt
lizenz.html
redme.txt
sysinfo.cgi
In sysinfo.cgi kommt öfter "mail" vor.
Trotz Maßnahmen bekomme ich weiterhin Retourmails. Aber trotzdem wir kann ich den Missbrauch dieser Art unterbinden? Gibt es da einen Patch? Über die Bot Mods habe ich gelesen, aber wie gesagt die Benutzerzahl ist überschaubar, und die Leute aus dem Forum sind meine Kunden, so kann ich sicher sein, dass ich keinen Bot in die interne Foren hinzufüge. Was kann denn noch sein? Ich suche seit zwei Tagen schon, aber finde leider keine Lösung.
Danke, und Entschuldigung für den Roman