Spam Spam Spam

Karaca · 27 Juni 2005, 21:28:12

Hallo,meine Seite wurde jetzt innerhalb von einer Woche 3,4 mal gesperrt und jetzt nun mittlerweile komplett.Ich hab meine Seite bei Hosteurope und die meinen das über meine Seite gespammt worden sein soll.Beim erstem Mal soll es an dem Webmail Modul gelegen haben.Hier die E-mail

Sehr geehrter Kunde,

wir mussten feststellen, dass ueber Ihre Domain computech24.de Spammails verschickt wurden/werden können. Ursache dafür ist wahrscheinlich ein fehlerhaft / falsch konfiguriertes PHP-Nuke WebMail-Script.

ich habe dann daraufhin das Webmail Modul deaktiviert bzw unbrauchbar gemacht.Die Seite wurde wieder entsperrt und einen Tag später wieder gesperrt weils diesmal an folgendem gelegen haben soll:

Der letzte Spam wurde am 23.06.2005 um 19:36:02 Uhr verschickt.

Hier ein Auszug aus dem Logfile zu dieser Zeit:

84.157.78.40 - - [23/Jun/2005:19:36:02 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 199 "http://www.palpalo.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DT)" "www.palpalo.de"
193.174.111.250 - - [23/Jun/2005:19:36:02 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 266 "http://www.palpalo.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&nores!
ize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&nore!
size=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "www.palpalo.de"
80.132.154.66 - - [23/Jun/2005:19:36:02 +0200] "GET /modules/User_Fotoalbum/album/denizx233.jpg HTTP/1.0" 200 41906 "http://www.palpalo.de/modules.php?name=Private_Messages" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "www.palpalo.de"

Sie sollten aber auch alle anderen Scripte/Module überprüfen.

Vielen Dank!
--------------------------------------------------------------------------------------------

Ich hab dann das private messages Modul auch deaktiviert aber die Seite wurde einen Tag später schon wieder gesperrt weils wieder an etwas anderem liegen soll.Also entweder verarschen die mich oder die ganzen Modul sind anfällig.Das Update Pack hatte ich auch schon letzte Woche installiert und kann mir von daher auch keine Hilfe sein.Ich weiss echt net mehr weiter.Ihr vielleicht ?

RiotheRat · 28 Juni 2005, 12:29:34

Von "ver**UPS**en" wollen wir mal so nicht sprechen, aber die Auskunft dass der Messenger "spammen" würde ist so falsch! Sicherlich ist es ein Scriptfehler dass mehrfach "&noresize=1" an die URL angehangen wird, aber ausser einer monsterlangen URL passiert da an sich nichts.

Wir sind an dem Script schon dran und versuchen es zu fixen - "&noresize=1" sollte dann künftig nur noch einmal übergeben werden.

Wenn man sich Deine Mail ansieht, dann sieht man dass 3 User (84.157.78.40 - 193.174.111.250 - 80.132.154.66) zur gleichen Zeit das PN-Modul verwendet haben. Was sollte daran ungewöhnlich sein? Du solltest bei Hosteurope vielleicht nochmal nachfragen warum GENAU Deine Seite(n) gesperrt wurden, denn die Ansage dass das Private Messages - Modul "spammt" stimmt so (zum Glück) nicht.

RtR

Karaca · 20 September 2005, 16:34:31

Hallo Rio hab schon wieder das gleiche Problem,also die von Hosteurope sind schon extrem sperrlustig

Es geht wieder um das noresize=1&noresize usw usw,gibt es dafür noch keinen Fix ?

80.184.143.176 - - [17/Sep/2005:00:21:46 +0200] "GET /modules.php?name=Private_Messages&file=buddy&op=check&ref_intervall=6000 HTTP/1.1" 200 266 "http://www.xxxxx.de/modules.php?name=Private_Messages&file=buddy&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1&noresize=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "www.xxxx.de"

Andi · 20 September 2005, 17:27:19

Moin

der Fehler mit der Monsterurl sollte eigentlich bereits mit pragmaMx 0.1.5 gefixt sein.
Leider, habe ich gerade bemerkt, dass dem nicht so ist...

Schau mal in die modules/private_messages/buddy.php.
Dort findest du bei Zeile ~375 folgenden Code:

Code Auswählen

$jsvar = (empty($_REQUEST['noresize'])) ? '' : '&noresize=1';
Daraus machst du folgendes:

Code Auswählen

$jsvar = (isset($_REQUEST['noresize'])) ? '' : '&noresize=1';

Oder verwendest einfach die hier angehängte Datei

Wobei, es nach wie vor absoluter Blödsinn ist, dass diese Monsterurl für irgendwelchen Spam verantwortlich sein kann.

[gelöscht durch Administrator]

munzur · 20 September 2005, 19:05:30

Hi!

Hmmm diese Variable $jsvar hab ich ja gar nicht in meiner buddy.php!

Deine:

Code Auswählen



	$jsvar = (isset($_REQUEST['noresize'])) ? '' : '&noresize=1';
	if ($mode == "online") { ?>
<script language="JavaScript" type="text/javascript">
	<!--
	setInterval('self.location.href=self.location.href + "<?= $jsvar ?>"', <?= $GLOBALS["buddylistrefresh"] ?>);
	//-->
</script>

Meins:

Code Auswählen



	if ($mode == "online") { ?>
<script language="JavaScript" type="text/javascript">
	<!--
	setInterval('self.location.href=self.location.href + "&noresize=1"', <?= $GLOBALS["buddylistrefresh"] ?>);
	//-->
</script>

L.g

Andi · 20 September 2005, 19:56:14

ZitatHmmm diese Variable $jsvar hab ich ja gar nicht in meiner buddy.php!

Dann läuft bei dir eine alte buddy.php, vor pragmaMx 0.1.5

Vielleicht die mit den Smilies drin?

selin01 · 29 September 2005, 12:50:11

Ja das selbe Problem mit dem noresize hab ich auch.

Hat den jemand die neue Buddy.php mit Smilie Erweiterung?

MFg
Selin01

Spam Spam Spam

Karaca

RiotheRat

Karaca

Andi

munzur

Andi

selin01