Serverblacklist

[freakcx]

Hallo liebe Tutifriends,

Seit heute morgen wurden einige Spammails über unseren Server verschickt, ich selbst hab jetzt nicht so die Ahnung von Servern, was mich stuzig gemacht hat war, dass es ein Scriptfehler sein soll (Laut Hoster). Der mit hoher warscheinlichkeit von meinem Space ausgegangen sein soll...

Jetzt die Frage wie kann ich sowas lokalisieren, hörte böse Zungen sprechen das es Tools gibt um sowas auszutesten.

Ansonsten werde ich mir jetzt mal das "PHP-Sicherheit" -Thread hier im Forum zu gemüte führen.

Nur hat jemand Erfahrung wo sowas am häufigsten auftritt?

Lg Freakcx

 

[TchiboMann]

eigener root? oder irgendwo webspace gemietet?

Naja, unsicheres Script kann auch sein, z.B. wenn du mail() nutzt und register_globals auf ON ist. dann kann jeder hans und franz per get-parameter eine Mail abschicken, in deinem Namen... z.B.:

// URL könnte so ausschauen: http://das.istdiedomain.de/mail.php?sender=abc@def.gh&to=ijk@lmn.op&message=blubbb 

mail($sender, $to, $message);

Ok, $sender wird sicherlich irgendwo definiert sein...aber das $to ist z.B. in nem Newsletterscript, das nicht sicher ist, manipulierbar, da muss ma vorher $to instanzieren...
btw hoff ich dass bei dir kein register_globals on iss^^ hehe

 

[freakcx]

Nein arbeite zurzeit an einem OpenSource Projekt da habe ich eigentlich soweit ich weiß auf so spielerein verzichtet wenn du möchtest lasse ich dir mal den SourceCode zu kommen...

PS: Root-Server + Administriert von meinem kein plan habenden Chef^^

Haben meinen Space und einen unserers Kunden im Verdacht... Joomla mit Register Globals auf ON ^^

kP nur will mein Script sicher haben...;-)

 

[Gumbo]

Vermutlich ist eines deiner Skripte nicht ausreichend gegen Code-Injektionen geschützt. Maßnahmen dagegen sind je nach Schwachstelle unterschiedlich. Allgemein sollten von außen kommende Daten jedoch immer gefiltert und validiert, egal woher sie stammen.

 

[TchiboMann]

jopp, genau gumbo ganz mein reden

@freakcx

von mir aus kannst du das mal an meine mailaddi schicken, bekommste gleich per pm... dann schau ich mal nach, bin zwar ned der profi schlechthin, aber ich denk ma zwei paar augen sehen mehr

Mh, kannst du denn genau lokalisieren, woher der Spam kam? habt ihr euren Kunden da verschiedene IPs zugewiesen oder so? oder habt ihr mal in den Logfiles geschaut, ob es da sehr auffällige connects zu einer bestimmten Seite gab? angriffe etc werden ja in den apachelogs verzeichnet, auch wenn man sie vielleicht schwerer erkennt und nicht zwingend offensichtlich sein müssen, aber beispielsweise sind IPs auffällig, die aus dem bereich 21x.xxx.xxx.xxx kommen, insbesondere, wenn diese häufig vorkommen mit 404-requests... Ist jedenfalls meine Erfahrung die ich so gemacht hab

aber es kann gut sein, wenn du kein mailversand in deinem OpSrc verwendest, dass euer Kunde mit Joomla & aktivem register_globals schuld ist...

btw, es kann auch sein, dass euer Mailserver als offenes Relay fungiert... Da bin ich aber nich allzu drin bewandert, ich weiss nur dass mein server beispielsweise kein relayserver ist^^ hehe