phpBB.de

Hallo,

ist jemanden eine sicherheitslücke in der Privaten Nachrichten Funktion
vom phpBB 2.0.22 bekannt?

Folgendes ist passiert:

Es sind eine große Anzahl an Spam Nachrichten an eine vielzahl von
Usern verschikt wurden. Dieses geschah durch verschiedene Accounts
anderer User die nichts miteinander zu tun haben.

Der Betreff war immer:

Viele Grüße aus "eine Stadt" diese Stadt stand immer im Profiel des Users über den die PM versandt wurden ist.
Sie änderte sich also öfters.

Habe die Serverlogs durchgeschaut und habe festgestellt das jede PM von ein und der selben IP geschikt wurde.
ca 1500 PMs in 1,5 stunden also nicht möglich das das einer manuell gemacht hat.

folgende einträge sind in den serverlogs

"GET /profile.php?mode=viewprofile&u=11870 HTTP/1.1" 200 7968 "http://www.domain.de/memberlist.php?mod ... start=2700" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

"POST privmsg.php HTTP/1.1" 200 6547 "http://www.domain.de/privmsg.php?mode=post&u=11870" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322

"GET /privmsg.php?mode=post&u=11870 HTTP/1.1" 200 11432 "http://www.domain.de/profile.php?mode=v ... le&u=11870" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"


solche einträge wiederholen sich bei allen möglichen user id's
und immer die selbe ip adresse.

die frage ist nur wie hat er es geschaft den login zu umgehen zum PM verschiken ...

mfg

doggo

Das war einfach "nur" ein Spambot der sich im Forum registriert, die Daten der Benutzer ausgelesen und somit personalisierte PMs verschickt hat.

Abhilfe gegen Spambots: KB:antispam
Über die link:suche nach spam solltest du weitere Infos finden

Hallo punkface

also ein spam boot war es nicht aber änlich nach nun eingehender recherche.

es ist auch keine sicherheitslücke sondern einfach eine geplante
durchdachte spamattacke einer firma aus deutschland. (konkurenzseite)

also es wurden 5 accounts benutzt
3 von diesen accounts haben bereits ein paar sinnvolle beiträge geschrieben und sind seit knapp 3 monaten aktive.
2 sind ganz neu angemeldet.

obwohl alle 5 user angeblich aus unterschiedlichen regionen stammen in deutschland konnte ich feststellen das auch die 3 die schon geschrieben haben alle öfters mit der gleichen ip von der telekom geschrieben haben die immer wieder aus dem raum köln kommen.

die telekom hat zwar dynamische ip adressen aber sie nutzt bestimmte adressen für bestimmte regionale bereiche.

gestern haben sich dann alle 5 accounts mit der gleichen ip eingeloggt und dann ging die spamattacke los mit vermutlich einen botsscript da so viele pm's nicht in so kurzer zeit manuell geschrieben werden können.

wie gesagt alle zugriffe kommen aus der region köln und die seite für die geworben wird ist eine kommerzielle seite die ihren sitz in köln hat.

ich werde auf jeden fall versuchen den urheber habhaft zu werden und
bin bereits mit der kripo hier am reden.
in wie weit es eine straftat ist kann man noch nicht sagen aber auf jeden fall wollen die die verbindungsdaten sichern. so das selbst wenn nichts strafrechtliches vorliegt ich eventuell eine unterlassungsklage führen kann.

wie und ob das alles klapt muss man schauen .. auf jeden fall halte ich solch ein vorgehen nur um werbung für seine seite zu machen für das
allerletzte.

aber ein gutes hat es .. es gibt keine sicherheitslücke.

mfg

doggo