phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

forum erneut gehackt, trotz 2.0.15 / UUCP

https://www.phpbb.de/community/viewtopic.php?t=90885

Seite 1 von 1

forum erneut gehackt, trotz 2.0.15 / UUCP

Verfasst: 25.06.2005 11:40
von firstlevel
hi,

ich glaube unser Forum wurde trotz Update auf 2.0.15 erneut gehackt. Folgende Email haben eben alle User des Board erhalten...
Message from UUCP on bangpath.uucico.de Sat Jun 25 06:25:40 2005

UUCP job
dextra.mogidi.net.NSc1WRbAAGc0
for system
dextra.mogidi.net
requested by
uucp
has been killed.
======
Reason: Your mail message has been expired after 1344 hours.
====
The job was queued at 2005-04-29 21:43:01.
It was
rmail kgforum@mogidi.net
>From @firstlevel.de Fri Apr 29 21:43:01 2005
X-Greylist: delayed 670 seconds by postgrey-1.16 at bangpath.uucico.de; Fri, 29 Apr 2005 21:43:01 CEST
Received: from luonnotar.infodrom.org (luonnotar.infodrom.org [195.124.48.78])
by bangpath.uucico.de (Postfix) with ESMTP id 59F5626B95
for <kgforum@mogidi.net>; Fri, 29 Apr 2005 21:43:01 +0200 (CEST)
Received: from server017.webpack.hosteurope.de (server017.webpack.hosteurope.de [80.237.130.25])
by luonnotar.infodrom.org (Postfix) with ESMTP id 1AF0D366B78
for <kgforum@mogidi.net>; Fri, 29 Apr 2005 21:31:54 +0200 (CEST)
Received: by server017.webpack.hosteurope.de running Exim 4.34 using local
from nobody id 1DRb7P-0004wA-17; Fri, 29 Apr 2005 21:25:43 +0200
To: @kgforum.de
Subject: Hallo an alle
Reply-To: @kgforum.de
From: @kgforum.de
Message-ID: <80f3e008c9a729aa8cc632764f996081@www.kgforum.de>
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: 8bit
Date: Fri, 29 Apr 2005 21:25:43 +0200
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PHP
X-MimeOLE: Produced By phpBB2
X-AntiAbuse: Board servername - www.kgforum.de
X-AntiAbuse: User_id - 2
X-AntiAbuse: Username - B!
X-AntiAbuse: User IP - 198.79.101.18


Die folgende Email erhältst du von einem Administrator von kgForum.de. Wenn diese E-Mail unerwünschten Inhalt (Spam) enthält, dann kontaktiere bitte den Webmaster unter:

@kgforum.de

Schick dazu bitte die ganze Nachricht, Header inklusive, mit.

Die Nachricht findest du hier:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wir presentieren euch neun Forum http://spymoon.com/images/ie/index.php

ich hoffe neu forum wird viel besser

mfg. www.kgforum.de team....
die Emails @kgforum habe ich gekürzt. Das Passwort vom Admin wurde seit der Installation mehrmals geändert unsererseits.
Hat jemand ein ähnliches Problem ?
Eine Idee?
ggf. Hilfe ?

Vielen Dank für Infos

Verfasst: 25.06.2005 11:57
von D@ve
Habt Ihr irgendwelche Hacks installiert, die lückenhaft sein könnten?

Gruß, Dave

Verfasst: 25.06.2005 12:01
von firstlevel
keine. alle mit dem Update rausgenommen.
lediglich ein anderes template ist installiert.

Verfasst: 25.06.2005 13:14
von BraveEagle
daran kann es liegen. wenn das template auf nem alten Stand ist (oder hast du das Template manuell mit upgedatete?)

BE

Verfasst: 25.06.2005 13:16
von firstlevel
ich habe es manuell neu gezogen und neu aufgespielt. ich vermute jedoch das es daran nicht verändert wurde.

in einem ryhtmus von 6std wurde erneut eine massenemail rausgeschickt. unsere mailserver sind leider komplett voll mit antworten, statusmessagen etc.
hat irgendjemand eine idee was wir machen können außer forum außer betrieb nehmen ?

Verfasst: 25.06.2005 13:29
von cback
Wenn der Angriff über URL stattfindet dann hilft der CrackerTracker MOD von mir, die neue Version schützt auch vor Session fakes. Schau mal in meiner Signatu unter "WurmSchutz MOD"

ansonsten noch eine .htaccess aufs ACP, dann kommt man nicht mehr an den Massenmailer ran.

Verfasst: 25.06.2005 13:44
von larsneo
logfiles auswerten...

Re: forum erneut gehackt, trotz 2.0.15 / UUCP

Verfasst: 25.06.2005 13:50
von FatFreddy
firstlevel hat geschrieben:
Message from UUCP on bangpath.uucico.de Sat Jun 25 06:25:40 2005

UUCP job
dextra.mogidi.net.NSc1WRbAAGc0
for system
dextra.mogidi.net
requested by
uucp
has been killed.
======
Reason: Your mail message has been expired after 1344 hours.
====
The job was queued at 2005-04-29 21:43:01.
Hast Du mal darauf geachtet, daß die jetzt gecancelte eMail vor 56 Tagen ins System gestellt wurde?

Scheint also noch eine Altlast eines früheren Angriffes zu sein.

FatFreddy

Verfasst: 25.06.2005 15:21
von firstlevel
@FatFreddy
wie, wo kann ich sowas einsehen ?

Verfasst: 25.06.2005 17:28
von FatFreddy
Steht doch im quote deines ersten Posts. Ich habe es nur farblich hervorgehoben. ;)

FatFreddy
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de