Problem mit Paid4Mail Script (Massive Spammails Attacken)

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #1

    Problem mit Paid4Mail Script (Massive Spammails Attacken)

    Hallo,

    ich bin total verzweifelt und weiß nicht mehr weiter. Ich habe das Justmail 3.0 Script und zum 2. mal wurde über dieses Script 22.000 Spammails verschickt. Das es sich dabei um dieses script handelt ist sicher, da nur dieses auf meinem Server liegt.

    Ein Programmierer hat im Script folgende Dinge schon eingebaut bzw. umgebaut:
    - Verbindungsdaten zur Datenbank werden includiert
    - Bei Nicht-zu-stande kommen der Datenbankverbindung wird die Scriptausführung abgebrochen
    - Das Script wurde für register_globals = off konzipiert
    - Schutz vor Bruceforce-Attacken
    - Komplett gegen mysql-injections geschützt

    Trotzdem kam heute Nacht wieder eine Spammail-Attacke über dieses Script.
    Hier ist die Spammail zu sehen, die versandt wurde! Ich würd emich sehr freuen, wenn mir jrmand Tipps etc. geben könnte, wodran es liegen könnte oder liegt!

    Code:
    [ SpamCop V1.589 ] 
This message is brief for your comfort.  Please use links below for details. 
 
Email from 85.10.208.207 / 20 Jul 2006 00:45:08 -0000 
[url]http://www.spamcop.net/w3m?i=z1843885952z1795c2056b5fc84b5ff885f0a0fa1bdcz[/url]  
[ Offending message ] 
Return-Path: <wsa11@smx-server-17.de> 
Delivered-To: spamcop-net-x 
Received: (qmail 17748 invoked from network); 20 Jul 2006 00:45:08 -0000 
X-Spam-Checker-Version: SpamAssassin 3.1.1 (2006-03-10) on blade6 
X-Spam-Level: ******** 
X-Spam-Status: hits=8.3 tests=ADVANCE_FEE_1,ADVANCE_FEE_2,ADVANCE_FEE_3, 
     ADVANCE_FEE_4,SARE_MONEYTERMS,SARE_URGBIZ,SUBJ_ALL_CAPS,URG_BIZ 
     version=3.1.1 
Received: from unknown (192.168.1.101) 
   by blade6.cesmail.net with QMQP; 20 Jul 2006 00:45:08 -0000 
Received: from 85-10-208-207.clients.your-server.de (HELO debian3164m)  
(85.10.208.207) 
   by mailgate.cesmail.net with SMTP; 20 Jul 2006 00:45:08 -0000 
Received: by debian3164m (Postfix, from userid 33) 
     id A56F1395030; Thu, 20 Jul 2006 02:45:29 +0200 (CEST)
IP: 85.10.208.207 
TIMESTAMP: Thu, 20 Jul 2006 00:35:43 +0200 (CEST) 
  GMT-0000 
 From [email]wsa11@smx-server-17.de[/email]  Wed Jul 19 19:00:38 2006 
Return-Path: <wsa11@smx-server-17.de> 
X-Original-To: [email]2133319@mcimail.com[/email] 
Received: from debian3164m (85-10-208-207.clients.your-server.de 
  [85.10.208.207]) by succubus.secsup.org (Postfix) with ESMTP id 51B4AD3A85 
  for <2133319@mcimail.com>; Wed, 19 Jul 2006 19:00:38 -0400 (EDT) 
Received: by debian3164m (Postfix, from userid 33) id 8083C395034; 
  Thu, 20 Jul 2006 00:35:43 +0200 (CEST) 
To: [email]2133319@mcimail.com[/email] 
Subject: URGENT  REPLY  NEEDED 
From: Mr Wisdom Solomon <wisdomsolomon1@yahoo.de> 
Reply-To: [email]wisdomsolomon1@yahoo.de[/email] 
MIME-Version: 1.0 
Content-Type: text/plain 
Content-Transfer-Encoding: 8bit 
Message-Id: <20060719223543.8083C395034@debian3164m> 
Date: Thu, 20 Jul 2006 00:35:43 +0200 (CEST) 
X-Sender-Ip: 85.10.208.207 
X-Asn: 24940 
X-Cidr: 85.10.192.0/18
Return-Path: <scanmail_failures@mua.nyc.untd.com> 
Delivered-To: [email]spamdesk-prod-untd-com-eow-spam@spamdesk.prod.untd.com[/email] 
Received: (qmail 3261 invoked from network); 19 Jul 2006 23:30:58 -0000 
Received: from unknown (HELO outbound28-2.lax.untd.com) (10.130.26.58) 
   by scanmaildb02.nyc.untd.com with SMTP; 19 Jul 2006 23:30:58 -0000 
Received: (qmail 26943 invoked by uid 514); 19 Jul 2006 23:30:57 -0000 
X-Issue-Tag: .catch_spam_mail 
Delivered-To: [email]support-juno-com-spamdesk-spam@support.juno.com[/email] 
Received: from webmail40.lax.untd.com (webmail40.lax.untd.com  
[10.131.27.180]) 
     by supportmail03.lax.untd.com with SMTP id AABCM7R9UA6HJDWS 
     for <spamdesk-spam@support.juno.com> (sender <X>); 
     Wed, 19 Jul 2006 16:27:46 -0700 (PDT) 
X-UNTD-OriginStamp: WrQluGgct3Jx1sRFohpjtIOY4f8PNOkDENnEQTRWU5HRrT9ejmAyPA== 
Received: (from X) 
  by webmail40.lax.untd.com (jqueuemail) id LVN8U94W; Wed, 19 Jul 2006  
16:26:51 PDT 
Received: from mx26.nyc.untd.com (mx26.nyc.untd.com [10.140.24.86]) 
     by maildeliver01.lax.untd.com with SMTP id AABCM7NZBADF3DTJ 
     for <X> (sender <wsa11@smx-server-17.de>); 
     Wed, 19 Jul 2006 15:32:01 -0700 (PDT) 
Received: from debian3164m (85-10-208-207.clients.your-server.de  
[85.10.208.207]) 
     by mx26.nyc.untd.com with SMTP id AABCM7NZAAR75J52 
     for <X> (sender <wsa11@smx-server-17.de>); 
     Wed, 19 Jul 2006 15:32:00 -0700 (PDT) 
Received: by debian3164m (Postfix, from userid 33) 
     id 0C984394CCF; Thu, 20 Jul 2006 00:32:22 +0200 (CES
    Vielen Dank dafür!
    Stichworte: -
  • #2
    ein paar anregungen : http://www.anders.com/projects/sysad...PostHijacking/

    php-Entwicklung | ebiz-consult.de
    PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
    die PHP Marktplatz-Software | ebiz-trader.de

    Kommentar

    • #3
      ändere das Script so ab, daß je Session nur eine mail versendet werden kann

      und füge folgenden Code (aus dem Link oben) ein:

      $_POST['email'] = preg_replace("/\r/", "", $_POST['email']); $_POST['email'] = preg_replace("/\n/", "", $_POST['email']);
      Zuletzt geändert von Koala; 21.07.2006, 09:47.

      Kommentar

      • #4
        Original geschrieben von Koala
        ändere das Script so ab, daß je Session nur eine mail versendet werden kann

        und füge folgenden Code (aus dem Link oben) ein:

        $_POST['email'] = preg_replace("/\r/", "", $_POST['email']); $_POST['email'] = preg_replace("/\n/", "", $_POST['email']);
        Nunja das ist aber nicht Möglich, dass in dem script Newsletter und Paidmails verschickt werden. Oder gibt es da eine Möglichkeit?

        Kommentar

        • #5
          Original geschrieben von scaleodisc
          Nunja das ist aber nicht Möglich, dass in dem script Newsletter und Paidmails verschickt werden. Oder gibt es da eine Möglichkeit?
          Wieso kann überhaupt jeder auf deiner Website dieses Skript verwenden?!

          Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!
          bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
          Wie man Fragen richtig stellt

          Kommentar

          • #6
            OffTopic:
            Ich weiß gar nicht, wenn ich unseriöser finden soll - Leute, die mit Spam Kohle zu machen versuchen, oder die, die das mit irgendwelchen "paid4mail"-Scripten versuchen ...
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar

            • #7
              Ein Programmierer hat im Script folgende Dinge schon eingebaut bzw. umgebaut:
              Und das wichtigste scheint er dabei vergessen zu haben: Inputdaten von Usern müssen immer speziell geprüft werden. Beim Thema Email speziell die CRLF (also \r\n).
              Ich nehme mal an die Daten wurden mehr oder weniger direkt und ungerpüft in die mail() Funktion eingebaut.
              Zumindest wie schon geschrieben unbedingt nach nach \r\n und \n suchen. Falls du solche findest würde ich an deiner Stelle das Script direkt abbrechen die()

              Gruss

              tobi
              Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

              [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
              Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

              Kommentar

              • #8
                Original geschrieben von ghostgambler
                Wieso kann überhaupt jeder auf deiner Website dieses Skript verwenden?!
                Weils eine Demo ist! wo die User testen sollen!

                Kommentar

                • #9
                  wichtig wäre es, das justmail 3.0 Skript zu sehen (evtl. anstatt eines gespammten mails), um die Einbruchstellen zu sehen.

                  Kommentar

                  • #10
                    Ich kann mal den Code posten, wo mailfunktionen vorkommen!

                    1. Auszahlung.php

                    [code entfernt]
                    Zuletzt geändert von wahsaga; 21.07.2006, 13:54.

                    Kommentar

                    • #11
                      Wo wird $dienstemail definiert ?

                      Gruss

                      tobi
                      Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                      [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                      Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                      Kommentar

                      • #12
                        Habe da ein paar Zeilen rausgenommen, aber nur unwichtige damit das hier rein passt!

                        2. Signup.php

                        [code entfernt]
                        Zuletzt geändert von wahsaga; 21.07.2006, 13:54.

                        Kommentar

                        • #13
                          $dienstname wird in dieser Datei angegeben:

                          [code entfernt]
                          Zuletzt geändert von wahsaga; 21.07.2006, 13:55.

                          Kommentar

                          • #14
                            3. Sponsor_signup.php

                            [code entfernt]
                            Zuletzt geändert von wahsaga; 21.07.2006, 13:55.

                            Kommentar

                            • #15
                              4. transfer.php

                              [code entfernt]
                              Zuletzt geändert von wahsaga; 21.07.2006, 13:55.

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X