EasyBook 1.1 unsicher? SPAM-Mails ausgelöst...

**matrix** · 18.09.2006 12:14

hallo
weiss jemand was, ob die easyBook-gästebuchkomponente nicht ganz so sicher ist?
heute morgen wurde mein mailaccount via easybook für den versand von spam-mails missbraucht. habe über 8'000 undelivered-mails zurückbekommen.
mein hoster ist nicht gerade erfreut und wird vermutlich beim nächstenmal den ganzen hostvertrag auflösen.

vom hoster habe ich folgende antwort erhalten:
-----
Sehr geehrter Kunde
Das kommt von Ihrem Gestebuch. Siehe Log
203.190.250.106 - - [18/Sep/2006:03:12:26 +0200] "POST /_vti_bin/shtml.dll/SPSV/Gaestebuch4.htm HTTP/1.1" 403 318 "-" "Mozilla/5.0 (compatible; Googlebot/2.1;+http://www.google.com/bot.html)"
-----

leider kann ich mit dieser meldung nicht viel anfangen und der hoster ist so schlecht, dass er seit heute morgen 09.00 uhr nicht tel. zu erreichen ist (dort herschen vermutlich noch andere probleme).

gruss
matrix

**Zorro** · 18.09.2006 12:23

Das hat nichts mit dem EasyBook zu tun, schau Dir mal die URL in dem Log-Auszug an!

Sollte eine solche Datei "Gaestebuch4.htm" auf Deinem Server existieren, dann lösch sie ganz schnell. Sonst hast Du noch viel Vergnügen mit den Spam-Bots.

Viele Grüße,
Zorro

**DietmarH** · 18.09.2006 12:29

Zitat von Zorro

Das hat nichts mit dem EasyBook zu tun,

... das hat nicht mal was mit Joomla zu tun. Das ist eine völlig andere Datei.

Ich verschieb's mal ins passende Forum. Hier gehört es sicher nicht hin.

**flotte** · 18.09.2006 12:56

Hier wird eine Frontpage-Erweiterung mißbraucht, sofern der Logauszug überhaupt Relevanz hat, denn die URL wird mit einer 403-Fehlermeldung (Zugriff verboten) abgewiesen. Die Adresse wird auf Deinem Webspace vermutlich gar nicht existieren. Ich gehe davon aus, das hier einfach nur mal wieder ein Bot bestimmte Adresse "durchgeprüft".

Allerdings hast Du nach eigener Aussage 8000 Emails erhalten. Hier gilt es weiter zu untersuchen. Die fallen ja nicht vom Himmel. Nur weil Du die Email-Rückläufer erhalten hast, ist das noch kein Hinweis darauf, das Du sie auch verschickt hast. Es reicht, wenn jemand Deine Rückantwortadresse gefälscht hat. Nach vorliegenden Informationen ist der Spam-Verursacher wohl noch völlig unklar.

**matrix** · 18.09.2006 13:09

hallo zusammen
vielen dank für eure hinweise.
das ist schon so - ich hab keine frontpageerweiterungen aktiviert. diese habe ich von beginn weg beim hoster abgemeldet.
das verzeichnis vti.../usw. hab ich ja entsprechend gar nicht.
also, dieser hoster ist schon zum kotzen - entschuldigt bitte den ausdruck - aber der ist seit heute 09.00 uhr total nicht erreichbar. der hat vermutlich noch ganz andere probleme...
dem werd ich aber noch meine meinung sagen, auch wenn's noch viele fränkli kostet....

**BernhardL** · 19.09.2006 05:22

Spammer verwenden willkürlich generierte Absenderadressen - aber eben manchmal leider immer aus ein und derselben Domain. Wer bekannte Domains hat, hat täglich mit diesem Problem zu tun, es sieht dann so aus, als sei man selbst oder der kompromittierte Server die Ursache. Gute Provider können aber einen Teil der Effekte abstellen.

Um einzuordnen, ob die Mails tatsächlich über die Komponente oder Deine Domain rausgegangen sind, kannst Du Dir die Mailheader anschauen, die manche der abweisenden Server aus der Originalmail entnehmen und mit zurückschicken.

Zu weiteren Infos kannst Du http://www.antispam.de/ konsultieren.

Schöne Grüße
Der Bernhard

**matrix** · 19.09.2006 06:02

hi bernhard
vielen dank auch für deinen wertvollen hinweis. ich kenn mich da wirklich nicht so gut aus. werde aber mal in den zurückgewiesenen mails nachschauen, ob ich was finde.
ärgerlich ist einfach v.a., dass der provider sich nicht kooperativ verhält sondern nur mitteilt, dass er den zugang gesperrt hat und beim wiederholungsfall das hosting auflöst. nun ja, wenn das ganze, so wie's aussieht, gar nicht über "mich" gelaufen ist, dann hat er glücklicherweise weiterhin probleme.
wie erwähnt, habe ich ja die frontpage-erweiterung bei mir gar nicht aktiv.
werde heute nochmal probieren, den provider tel. zu erreichen. gestern habe ich über 100 mal versucht, anzurufen. dabei wurde jedesmal gesagt, ich sei in der warteschleife der 1. abgenommen hat aber nach 5 minuten warten nie jemand.... toll!!
ich wünsch keinem einen solchen provider - bin jedenfalls bereits am vorbereiten zur ablösung.
gruss
matrix

**matrix** · 19.09.2006 06:33

hi berhard
ist das das, was du meinst?

---
Reporting-MTA: dns;WPBEXC01.alz_group.local
Received-From-MTA: dns;sigma.ibone.ch
Arrival-Date: Sun, 17 Sep 2006 23:26:14 -0400
Final-Recipient: rfc822;20leahelm@alzcare.org
Action: delayed
Status: 4.4.7
Will-Retry-Until: Tue, 19 Sep 2006 23:26:15 -0400
---

das sagt zwar nur aus, dass es von sigma.ibon.ch kommt. das ist die bezeichnung resp. direkte url des providerzuganges.

hier wird's schon konkreter, da ist 445 im header drin. das ist meine zugangsnummer beim provider:

---
Reporting-MTA: dns; deadmail1-2.free.fr
X-Postfix-Queue-ID: 78408C6C5
X-Postfix-Sender: rfc822; -web445@sigma.ibone.ch-
Arrival-Date: Mon, 18 Sep 2006 06:37:32 +0200 (CEST)
---

hier noch ne andere variante - da erscheint eine andere usrid, welche mir nichts sagt:

---
Received: from sigma.ibone.ch (sigma.dynamic-net.ch [213.203.223.86]) by rly-yi06.mx.aol.com (v112.5) with ESMTP id MAILRELAYINYI610-7e0450e2cf7205; Mon, 18 Sep 2006 01:21:59 -0400
Received: by sigma.ibone.ch (sigma.ibone.ch, from userid 1967)
id 7CC1A81B0CC; Mon, 18 Sep 2006 05:56:19 +0200 (CEST)
To: -bulk10rate@aol.com-
Subject: IMPORTANT : Notification of Limited Account Access
Message-ID: <1158551779.67985.qmail@paypal.com>
From: "PayPal " <service@paypal.com>
Content-Type: text/html
Date: Mon, 18 Sep 2006 05:56:19 +0200 (CEST)
X-AOL-IP: 213.203.223.86
X-AOL-SCOLL-SCORE: 1:2:239731620:15032385
X-AOL-SCOLL-URL_COUNT: 1
---

und weiter geht's mit varianten:

---
Reporting-MTA: dns; svp1.bigrivertel.net
Received-From-MTA: smtp; svp1.bigrivertel.net ([127.0.0.1])
Arrival-Date: Mon, 18 Sep 2006 00:13:19 -0500 (CDT)
---

aufgrund der vielfältigen absendern muss ich davon ausgehen, dass der provider wohl verschiedentlich angegriffen wurde. das würde auch den gestrigen tag beim provider beschreiben - nicht erreichbar - am telefon bei der "reception" wurde gesagt, dass der support schlecht erreichbar ist, weil probleme vorherrschen - auf dem statustelefon war der ganze tag der spruch "...verschiedene serverdienste nicht verfügbar" usw.
zeitweilig war auch mein ganzer datenbestand unter ../html nicht mehr sichtbar im ftp-client - usw. und so fort....

vielleicht hast du mir ja noch einige gedanken, welche ich dann beim ultimativen gespräch mit dem provider vorbringen kann.

vielen dank und gruss
matrix

Thema: EasyBook 1.1 unsicher? SPAM-Mails ausgelöst...

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

EasyBook 1.1 unsicher? SPAM-Mails ausgelöst...

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Ähnliche Themen

Easybook update 1.0 zu 1.1

Lesezeichen

Lesezeichen

Berechtigungen