[3.3] ucp.php und memberlist.php -> SPAM-Versand?

[gdrexl]

Hallo zusammen,

der Hoster eines Kunden hat mir berichtet, dass im Forum (phpBB 3.3.0) die beiden "Formulare" ucp.php und memberlist.php in großem Umfang zum SPAM-Versand genutzt wurden. Erst durch die Änderung der Datei-Rechte konnte dies unterbunden werden. Nun besteht er darauf auf diesen beiden Seiten einen aktuellen Spamschutz zu installieren, bevor er das Board wieder freigibt. Als Gast werden die beiden Skripts nicht angeboten. Ruft man sie direkt auf, kommt die Anmeldemaske. Wie kann man da Spammails in großem Umfang an externe Mail-Adressen verschicken?

Für mich passt das (noch) überhaupt nicht zusammen. Hat irgend jemand eine Idee? Ich habe jetzt erst einmal Kopien von den http-Anfragen und den verschickten Mails angefordert. Danach könnte ich das Board zum Debuggen in einer Sandbox aufsetzen.

Viele Grüße
Gerhard

[LukeWCS]

Hallo

Bitte mal einen Link zum Forum angeben, damit man sich paar Dinge anschauen kann.

Vorab etwas Lesestoff:

Knowledge Base - Board-Mittel gegen Spam-Beiträge

Edit: Mir ist gerade ein Rätsel, was für ein "Spamschutz" da installiert werden soll. Das ist alles eine Frage der richtigen Konfiguration und da brauchts maximal eine zusätzliche Erweiterung, dann ist Ruhe im Karton.

[gdrexl]

Das Board läuft unter https://www.keyswerk.de/forum ist aber durch die Änderungen an den Dateiberechtigungen zur Zeit sehr eingeschränkt.
Es geht auch nicht um Spam-Beiträge im Forum, sondern es sollen Spam-Mails in Massen an externe Mail-Adressen über die Forumssoftware verschickt worden sein.

Danke für die Hilfe

[Mike-on-Tour]

Um das Versenden von E-Mails über das Board zu unterbinden, braucht man das doch in den E-Mail-Einstellungen (Reiter "Allgemein" im ACP) doch nur zu deaktivieren. Und schon ist Ruhe im Karton (um einen Kollegen zu zitieren).

[gdrexl]

das klärt alles nicht die Frage, wie ein Gast über ucp.php und/oder maillist.php eine/viele Mails mit eigenem Inhalt an eine beliebige Mail-Adresse verschicken kann.

klar. Wenn wir den Server ganz abschalten, gibt es auch keine Mails mehr.

Aber ich hätte gerne eine Aschenputtel-Lösung... (Die Guten ins Töpfchen...)

Edit: Q&A ist für die Anmeldung übrigens aktiviert. Aber wie kann ich ucp.php schützen?

[Kirk]

Wenn ein Gast diese Bereiche nicht aufrufen kann, dann können es ja nur Mitglieder sein.

[LukeWCS]

das klärt alles nicht die Frage, wie ein Gast über ucp.php und/oder maillist.php eine/viele Mails mit eigenem Inhalt an eine beliebige Mail-Adresse verschicken kann.

Gar nicht. Es gibt bei phpBB nirgends die Möglichkeit eine Empfänger E-Mail frei angeben zu können, eben aus dem Grund Spam zu verhindern. Wenn da also von maillist.php die Rede ist, dann wird ein Spambot mit einem eurer Accounts schlicht alle Benutzer bei euch mit der Mail Funktion von phpBB anschreiben. Das heisst es ist ein Account bei euch von dem diese Aktion ausgeht und es betrifft dann auch "nur" andere Accounts bei euch.

Es gibt bei phpBB keine "freie" E-Mail Funktion. Jedenfalls nicht bei einem Standard phpBB. Habt ihr Erweiterungen im Einsatz, die irgendwas mit Registrierung/Kontakt/E-Mail usw. zu tun haben?

Es geht auch nicht um Spam-Beiträge im Forum, sondern es sollen Spam-Mails in Massen an externe Mail-Adressen über die Forumssoftware verschickt worden sein.

Den Link den ich dir gab hatte schon seinen Sinn. Denn im Zug dessen kannst du euer Forum mal soweit konfigurieren, dass Spammer nicht mehr leichtes Spiel haben. Der Knackpunkt sind hier Spam-Accounts.

Habt ihr z.B. die Funktion "kürzlich registrierte Benutzer" aktiv? Da kann man z.B. einstellen, dass ein neuer Account überhaupt erst dann jemand per PN oder Mail anschreiben darf, wenn er sich als "normaler" Benutzer bewiesen hat. Also durch entsprechende Beiträge im Forum. Bis dahin darf ein neuer Account im Idealfall kaum mehr als ein Gast. Kann man alles so einstellen.

[gdrexl]

Gar nicht. Es gibt bei phpBB nirgends die Möglichkeit eine Empfänger E-Mail frei angeben zu können, eben aus dem Grund Spam zu verhindern. Wenn da also von maillist.php die Rede ist, dann wird ein Spambot mit einem eurer Accounts schlicht alle Benutzer bei euch mit der Mail Funktion von phpBB anschreiben. Das heisst es ist ein Account bei euch von dem diese Aktion ausgeht und es betrifft dann auch "nur" andere Accounts bei euch.

Es gibt bei phpBB keine "freie" E-Mail Funktion. Jedenfalls nicht bei einem Standard phpBB. Habt ihr Erweiterungen im Einsatz, die irgendwas mit Registrierung/Kontakt/E-Mail usw. zu tun haben?

Danke! das deckt sich schon mal mit meiner Kenntnis und Einschätzung, widerspricht aber den Angaben des Hosters...

Den Link den ich dir gab hatte schon seinen Sinn. Denn im Zug dessen kannst du euer Forum mal soweit konfigurieren, dass Spammer nicht mehr leichtes Spiel haben. Der Knackpunkt sind hier Spam-Accounts.

Habt ihr z.B. die Funktion "kürzlich registrierte Benutzer" aktiv? Da kann man z.B. einstellen, dass ein neuer Account überhaupt erst dann jemand per PN oder Mail anschreiben darf, wenn er sich als "normaler" Benutzer bewiesen hat. Also durch entsprechende Beiträge im Forum. Bis dahin darf ein neuer Account im Idealfall kaum mehr als ein Gast. Kann man alles so einstellen.

Hier in diesem Forum werden die User mit "Kürzlich registrierte Benutzer" (darf absolut gar nix) nach einem Q&A registriert und danach vom Admin manuell freigegeben und aus der Gruppe gelöscht. Also handverlesen. Wir sind uns eigentlich alle einig, dass die Spam-Versender nicht Forums-Mitglied sind. Und max 20 Mails am Stück mit max 3 Empfängern ist auch noch eingestellt.

Ich kann mir immer noch nicht erklären, was passiert:

wenn der Mail-Server im Linux gehackt wurde, kann zwar ein Spammer Massenmails an phpBB und an den Skripts vorbei an Fremde verschicken. Eingeschränkte Dateiberechtigungen von ucp.php und maillisting.php würden das aber nicht stoppen.

Ein Verschicken über phpBB an fremde Mailadressen funktioniert aber auch nicht.

Also was zum Teufel ist da los? Ich kann mir keinen Reim darauf machen. Mal abwarten, ob ich die Daten zu den Angriffen und Mails vom Hoster bekomme.

Vielen Dank soweit.
Ich berichte weiter

[LukeWCS]

Danke! das deckt sich schon mal mit meiner Kenntnis und Einschätzung, widerspricht aber den Angaben des Hosters...

Nicht zwingend. Ein Hoster sieht nur erstmal das massenhaft Mails versendet werden. Das diese Mails an die Forenbenutzer gehen, interessiert ihn erstmal nicht. Aber genau hier muss man unterscheiden. Gehen Mails wirklich an völlig fremde Adressen?

in dem Zusammenhang wäre es mal sinnvoll den Hoster zu fragen, von welchen Mengen da die Rede ist. Ebenso wäre hilfreich den Zeitraum zu wissen, denn dann könntet ihr im Access Log schauen, mit welcher IP da der Versand initiiert wurde. Die wiederum ist hilfreich den betreffenden Account bei euch ausfindig zu machen.

Hier in diesem Forum werden die User mit "Kürzlich registrierte Benutzer" (darf absolut gar nix) nach einem Q&A registriert und danach vom Admin manuell freigegeben und aus der Gruppe gelöscht. Also handverlesen. Wir sind uns eigentlich alle einig, dass die Spam-Versender nicht Forums-Mitglied sind. Und für max 20 Mails am Stück mit max 3 Empfängern ist auch noch eingestellt.

Da wäre die Frage, nach welchen Kriterien werden die Accounts freigeschaltet? Ich weiss aus Erfahrung, dass nur die Daten alleine die man beim Account hat, schon längst nicht mehr ausreichen, um einen Menschen von einem Bot zu unterscheiden. Die mit Abstand beste Methode einen Account einschätzen zu können, sind Beiträge im Forum. Da merkt man sehr schnell, was Sache ist. Ganz besonders in spezialisierten Foren wie dem euren. Eine Freischaltung auf Beitragsbasis hat ausserdem den immensen Vorteil, das der Admin das nicht mehr alleine stemmen muss, sondern von mehreren (Moderatoren) erledigt werden kann.

wenn der Mail-Server im Linux gehackt wurde, kann zwar ein Spammer Massenmails an phpBB an den Skripts vorbei an Fremde verschicken. Eingeschränkte Dateiberechtigungen von ucp.php und maillisting.php würden das aber nicht stoppen.

Richtig. Und sobald wir über einen "Hack" reden wollen/müssen, können wir ohnehin getrost alle Einstellungen vergessen.

Also was zum Teufel ist da los? Ich kann mir keinen Reim darauf machen. Mal abwarten, ob ich die Daten zu den Angriffen und Mails vom Hoster bekomme.

Ein paar mehr Details vom Hoster wären ein guter Anfang.

[gdrexl]

So, inzwischen habe ich zwei der "verdächtigen" http-Aufrufe vom Hoster bekommen:
Einer betrifft das Forum überhaupt nicht, sondern geht direkt auf die Kontaktseite der Firma.

Der Zweite ruft "memberlist.php?mode=contactadmin" auf. Dieses Formular kann man als Gast tatsächlich per Bot ohne Captcha aufrufen und den Admin zumüllen... Der Nutzen für Angreifer ist aber überschaubar.

Man kann sicherlich darüber diskutieren, ob das Kontaktformular von der Architektur her in "memberlist.php" gut aufgehoben ist. Immerhin präsentiert man so Gästen ein relativ mächtiges Skript als potentiellen Angriffspunkt. Die Gefahr ist aber wohl eher gering.

Zahlen, ob und wenn ja wie viele SPAM-Mails tatsächlich rausgegangen sind, habe ich bisher nicht bekommen. Auch keine Zieladressen oder Inhalte von Spam-Mails.

Die Beteiligung von ucp.php bei den Bot-Angriffen hat sich als eine Beobachtungsunschärfe des Hosters herausgestellt.

Es liegt also durchaus im Bereich des Möglichen, dass der Hoster mit der Sperre der beiden Skripts hochsensibel oder mehr reagiert hat...

Vielen Dank für die Unterstützung!