Spam Versand (OpenRelay, Hack) über Webbox!

  • Hallo alle zusammen,

    seit gestern Nacht wird über unseren Server Spam versendet!
    Nach langer Suche bin ich auf die Webbox als Ursache gekommen!

    Selbst wenn KEINE User die Berechtigung "Remote Access" besitzen tritt das Problem auf (ca. 200 Mails/Minute).
    Die Absenderadresse ist keine existierende auf unserem Server.
    Erst nach dem deaktivieren des Dienstes ist Ruhe!

    Man das Ding war mir schon immer etwas suspekt!
    Keine Ahnung wie ich das "Loch" stopen soll!
    Keine Ahnung wie der/die das machen!

    Hatte jemand von eusch schon so ein Problem?

    Gruß,

    Alex

  • Stelle doch mal den Port-Monitor für die Webbox auf Maximum-Protokoll und lese mit, wer was abliefert.

  • Hallo,

    gleicher Effekt auch bei uns, nur das Deaktivieren der Webbox brachte den Erfolg!

    Versenden wollte ein webmaster@"inter-IP-des-Davidservers".
    Zusätzlich gab es noch komische Verzeichnisse unterhalb der david\Archive\USER in folgenden Formen:

    Ein VZ mit dem Namen: 00000000
    Im TC zu finden als: David System User (#00000000#David System User)

    Desweitern entsteht noch ein VZ bestehend aus 2 Buchstaben: Beispielsweise "2E"

    So wie es aussieht hat da jemand ein Leck gefunden! :wacko:

    Ich warte jetzt noch auf eine Aussage von Tobit...

    grüße!!!

  • Ein VZ mit dem Namen: 00000000
    Im TC zu finden als: David System User (#00000000#David System User)

    Das Verzeichnis ist normal.

    Grüße
    Thomas

  • Hast recht, es ist aber normalerweise aufgebaut wie jedes andere. Also Ordner in,out,cal etc.

    In unserem Fall lag da nur ein out Ordner mit den ganzen Spam Nachrichten drin. Nach dem Purging über die Console sieht das Verzeichniss wieder normal aus.

    Was mich richtig wundert ist der 2E Ordner. Siehe Bild!

  • Das wäre ja der Hammer des Tages.
    Testet mal durch ob irgendwo ein Zugriff ohne Kennwort möglich ist.
    Läuft eure Webbox über PORT 80 ?

    Ändert mal den Port auf 81

    dann müsste der "hacker" eure-ip:81 zum Beispiel nutzen..... macht das schwerer.

    Intern Vermerken das ihr die Webbox dann nur noch über :xx erreichen könnt und ggf. Router Konfigurieren müsst / Port forward

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

    2 Mal editiert, zuletzt von kingcopy (2. März 2011 um 14:56)

  • also Port gesetzt auf 82 und nun ist Ruhe .....

    ich setze morgen früh den Port noch einmal auf 80 ....

    :wacko:

  • Stelle doch mal den Port-Monitor für die Webbox auf Maximum-Protokoll und lese mit, wer was abliefert.

    ****************
    Wohl bald ehemaliger "Tobit Partner" :cursing: 2001 - bald wären es 20 Jahre...<X So geht man nicht mit seinen Partnern um !! Stichwort _Provisionen_.
    ****************

  • Moin,

    also heute früh mal wieder auf Port 80 umgestellt und die Firewall mitschneiden lassen.

    Hier der Log der Webbox, das Ergebniss ist eindeutig, da wird das Kontaktfeld mißbraucht:

    david-forum.de/attachment/377/

    ReqURI POST /INTL/CONTACT/INDEX.HTM
    Param domain=192.168.xxx.yyy&subject=iTNGyCBZsJaXPYdVQ&text=I'm happy very good site <a href="
    Moved

    Zusätzlich noch die ermittelten IPs der FW:

    212.95.32.92
    213.41.80.8
    85.158.249.140
    212.118.234.155

    Und natürlich geht da sofort der Spamversand weiter!

    grüße

  • Scheint dann wohl tatsächlich das Kontaktformular zu sein ... Für mich stellt sich die Frage wie daraus eine E-Mail nach extern wird...

  • mit folgendem Aufruf könnte man mails über das Kontaktfeld senden:

    Code
    http://david-server:80/INTL/CONTACT/INDEX.HTM?domain=domain.de&subject=WEBBOXTEST&text=test&mail=empfaenger@mail.de&email=empfaenger@mail.de&AUTO-CONTACT_CTRL=Send

    da wird die "Contact_CTRL" direkt angesprochen ... ob das nun die Hintertür ist? :whistling:

  • Dann entferne doch erstmal die Datei Dateien aus den Verzeichnissen

    David-Server\WORLD WIDE WEB\GER\Kontakt

    und

    David-Server\WORLD WIDE WEB\INTL\Contact

    Dann sollte das kontaktformular nicht mehr aufrufbar sein und du kannst gucken ob der Spam immernoch versendet wird.

    ***********************************************************************************************
    david.fx - 600 User - Windows Server 2008 R2 - 800 GB SAN - VMWare ESxi 5.5
    ***********************************************************************************************

  • So beide Dateien entfernt, Port wieder aufgemacht und hier ist das Log:

    Emails gehen nicht mehr raus, versucht wird es natürlich weiter.
    Also gehe ich davon aus das die Contact-Dateien eine Hintertür für den Mailversand haben.

    Webbox bleibt offline. Tobitantwort steht noch aus!

    grüße

  • Das ist ja gruselig!


    Ich hab nun auch mal ein genaues Auge auf das Ding habe den file=1 debug File nun auch mit an.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Wie sehn die emails denn aus, die daverschickt werden? Also vom Betreff und inhalt her? Gehen die denn wirklich nach extern raus oder bleiben die im transit hängen?

  • Moin,

    also heute früh mal wieder auf Port 80 umgestellt und die Firewall mitschneiden lassen.

    Hier der Log der Webbox, das Ergebniss ist eindeutig, da wird das Kontaktfeld mißbraucht:

    findest du von der Nachricht eine I0542AC0 . 0tx datei?

    ****************
    Wohl bald ehemaliger "Tobit Partner" :cursing: 2001 - bald wären es 20 Jahre...<X So geht man nicht mit seinen Partnern um !! Stichwort _Provisionen_.
    ****************

  • Hallo,

    ich denke mal, dass das sicherlich so sein wird, wie es hier beschrieben ist. Dass Spambots das Web nach ungeschützen Formularen durchsuchen, ist nichts neues. Schutzmechanismen aus PHP oder ASP lassen sich auf der Webbox nicht nutzen. Somit liegt das Formular offen und kann dafür genutzt werden. Wer sich mit HTML, Javascript und der Arbeitsweise von solchen Bots auskennt, der kann das Formular aber auch entsprechend anpassen und sicherer gestallten. Ansonsten eben das Formular oder den Bereich löschen.

    Gruß
    Bandit

  • Hier auf uns Zugriffsversuche über Nacht:
    da ist definitiv Aktivität wird aber anscheinend gedroppt:

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!