Spam Spam Spam

Begonnen von Karaca, 27 Juni 2005, 21:28:12

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Karaca

Hallo,meine Seite wurde jetzt innerhalb von einer Woche 3,4 mal gesperrt und jetzt nun mittlerweile komplett.Ich hab meine Seite bei Hosteurope und die meinen das über meine Seite gespammt worden sein soll.Beim erstem Mal soll es an dem Webmail Modul gelegen haben.Hier die E-mail

Sehr geehrter Kunde,

wir mussten feststellen, dass ueber Ihre Domain computech24.de Spammails verschickt wurden/werden können. Ursache dafür ist wahrscheinlich ein fehlerhaft / falsch konfiguriertes PHP-Nuke WebMail-Script.

ich habe dann daraufhin das Webmail Modul deaktiviert bzw unbrauchbar gemacht.Die Seite wurde wieder entsperrt und einen Tag später wieder gesperrt weils diesmal an folgendem gelegen haben soll:


Der letzte Spam wurde am 23.06.2005 um 19:36:02 Uhr verschickt.

Hier ein Auszug aus dem Logfile zu dieser Zeit:

84.157.78.40 - - [23/Jun/2005:19:36:02 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 199 "http://www.palpalo.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DT)" "www.palpalo.de"
193.174.111.250 - - [23/Jun/2005:19:36:02 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 266 "http://www.palpalo.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&nores!
ize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&nore!
size=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "www.palpalo.de"
80.132.154.66 - - [23/Jun/2005:19:36:02 +0200] "GET /modules/User_Fotoalbum/album/denizx233.jpg HTTP/1.0" 200 41906 "http://www.palpalo.de/modules.php?name=Private_Messages" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "www.palpalo.de"



Sie sollten aber auch alle anderen Scripte/Module überprüfen.

Vielen Dank!
--------------------------------------------------------------------------------------------

Ich hab dann das private messages Modul auch deaktiviert aber die Seite wurde einen Tag später schon wieder gesperrt weils wieder an etwas anderem liegen soll.Also entweder verarschen die mich oder die ganzen Modul sind anfällig.Das Update Pack hatte ich auch schon letzte Woche installiert und kann mir von daher auch keine Hilfe sein.Ich weiss echt net mehr weiter.Ihr vielleicht ?  :mad:

RiotheRat

Von "ver**UPS**en" wollen wir mal so nicht sprechen, aber die Auskunft dass der Messenger "spammen" würde ist so falsch! Sicherlich ist es ein Scriptfehler dass mehrfach "&noresize=1" an die URL angehangen wird, aber ausser einer monsterlangen URL passiert da an sich nichts.

Wir sind an dem Script schon dran und versuchen es zu fixen - "&noresize=1" sollte dann künftig nur noch einmal übergeben werden.

Wenn man sich Deine Mail ansieht, dann sieht man dass 3 User (84.157.78.40 - 193.174.111.250 - 80.132.154.66) zur gleichen Zeit das PN-Modul verwendet haben. Was sollte daran ungewöhnlich sein? Du solltest bei Hosteurope vielleicht nochmal nachfragen warum GENAU Deine Seite(n) gesperrt wurden, denn die Ansage dass das Private Messages - Modul "spammt" stimmt so (zum Glück) nicht.

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Karaca

#2
Hallo Rio hab schon wieder das gleiche Problem,also die von Hosteurope sind schon extrem sperrlustig  ???
Es geht wieder um das noresize=1&noresize usw usw,gibt es dafür noch keinen Fix ?

80.184.143.176 - - [17/Sep/2005:00:21:46 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 266 "http://www.xxxxx.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "www.xxxx.de"

Andi

Moin :)

der Fehler mit der Monsterurl sollte eigentlich bereits mit pragmaMx 0.1.5 gefixt sein.
Leider, habe ich gerade bemerkt, dass dem nicht so ist...

Schau mal in die modules/private_messages/buddy.php.
Dort findest du bei Zeile ~375 folgenden Code:$jsvar = (empty($_REQUEST['noresize'])) ? '' : '&noresize=1';
Daraus machst du folgendes:$jsvar = (isset($_REQUEST['noresize'])) ? '' : '&noresize=1';

Oder verwendest einfach die hier angehängte Datei ;)


Wobei, es nach wie vor absoluter Blödsinn ist, dass diese Monsterurl für irgendwelchen Spam verantwortlich sein kann.

[gelöscht durch Administrator]
schön´s Grüssle, Andi

munzur

Hi!

Hmmm diese Variable $jsvar hab ich ja gar nicht in meiner buddy.php!

Deine:



$jsvar = (isset($_REQUEST['noresize'])) ? '' : '&noresize=1';
if ($mode == "online") { ?>
<script language="JavaScript" type="text/javascript">
<!--
setInterval('self.location.href=self.location.href + "<?= $jsvar ?>"', <?= $GLOBALS["buddylistrefresh"] ?>);
//-->
</script>



Meins:



if ($mode == "online") { ?>
<script language="JavaScript" type="text/javascript">
<!--
setInterval('self.location.href=self.location.href + "&noresize=1"', <?= $GLOBALS["buddylistrefresh"] ?>);
//-->
</script>




L.g
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

Andi

ZitatHmmm diese Variable $jsvar hab ich ja gar nicht in meiner buddy.php!

Dann läuft bei dir eine alte buddy.php, vor pragmaMx 0.1.5 ;)
Vielleicht die mit den Smilies drin?
schön´s Grüssle, Andi

selin01

Ja das selbe Problem mit dem noresize hab ich auch.

Hat den jemand die neue Buddy.php mit Smilie Erweiterung?


MFg
Selin01