php-resource




Archiv verlassen und diese Seite im Standarddesign anzeigen :
MAIL-Funktion Missbrauch - Server wird gesperrt


 
Futti1
14-08-2009, 22:23 
 
Hallo Webmaster Freunde,

da ich aktuell an einem Projekt beschäftigt bin, habe ich das Problem, dass gewisse PHP-Skripte von extern missbraucht werden.
Folgender Ablauf:
- Erhielt von meinem Provider eine Nachricht, dass mein Webspace von Dritten zum Spamversand missbraucht worden ist

-Folgendes steht in den Mail-Logfiles:

< REMOTE=189.82.15.72 SCRIPT=/kunden/XXXXXX/index.php -- /usr/sbin/sendmail -t -i
2009-08-14 20:59:15 pXXXXXXXX 4AgGQZ-1Mc1zf0ljM-0003Mz <= S=mayra16@msn.com.br SZ=693 D=0 SID=96202342
2009-08-14 20:59:35 pXXXXXXXX 4AgGQZ-1Mc1zf0ljM-0003Mz => aiange2008@gmail.com msmtp.kundenserver.de[172.19.35.7] 250 Message 0MKuxg-1Mc1zf1Iqs-000Qxr accepted by mreu0.kundenserver.de
2009-08-14 20:59:35 pXXXXXXXX 4AgGQZ-1Mc1zz1SOE-0003PI |
< REMOTE=189.82.15.72 SCRIPT=/kunden/XXXXXX/index.php -- /usr/sbin/sendmail -t -i
2009-08-14 20:59:35 pXXXXXXXX 4AgGQZ-1Mc1zz1SOE-0003PI <= S=mayra16@msn.com.br SZ=695 D=0 SID=96202342
2009-08-14 20:59:55 pXXXXXXXX 4AgGQZ-1Mc1zz1SOE-0003PI => aian-gtboy@hotmail.com msmtp.kundenserver.de[172.19.35.7] 250 Message 0MKv1o-1Mc1zz1uUO-000Gyo accepted by mreu1.kundenserver.de
2009-08-14 20:59:55 pXXXXXXXX 4AgGQZ-1Mc20J2Dwl-0003TX |
< REMOTE=189.82.15.72 SCRIPT=/kunden/XXXXXX/index.php -- /usr/sbin/sendmail -t -i
2009-08-14 20:59:55 pXXXXXXXX 4AgGQZ-1Mc20J2Dwl-0003TX <= S=mayra16@msn.com.br SZ=696 D=0 SID=96202342



pXXXXXXXX sind meine Zugangsdaten
/kunden/XXXXXX/index.php ist der Dateiort, mit welchen der Webspace missbraucht wird.

Kann mir von euch jemand sagen, wie ich die index.php wieder so sicher mach, dass ich ohne die kompletten Rechte zu entziehen, dies wieder zum Laufen bekomme?
Maßnahmen die ich getroffen habe:
- Habe aktuell die PHP4 auf PHP5 umgestellt.
- Rechte entzogen, da vorher (Oktalschreibweise:604 Textschreibweise:
rw----r--), welche soll ich überhaupt in Zukunft nehmen? 755? 604?

Was kann ich noch machen? Hat evtl. jemand meine Zugangsdaten (pXXXXXXXX) missbraucht?

Bitte dringende Hilfe. Bin um jeden Ratschlag froh.
Danke.

 
combie
14-08-2009, 23:02 
 
Eine Möglichkeit:
Irgendwo wirst du eine schlampig geschützte Mailversende Funktion haben.
Z.B. ein Kontaktformular.
Der Angreifer nutzt diese Schlampigkeit jetzt aus.

-archiv-

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:17 Uhr.