Thema: BigApe/babackup als spamschleuder missbraucht

hallo
ich wurde opfer eines spam-mail-versenders (spamschleuder). habe tausende undelivered messages bekommen und der hoster dynamic-net hat vorerst mal den zugang gesperrt.
der hoster meldet, dass die mails mittels folgendem post-befehl versendet wurden:
--
[10/Oct/2006:21:19:21 +0200] "POST /joomla/index.php HTTP/1.0" 404 9255 "http://www.pontonier.ch/joomla/index.php?option=com_akobook&itemid=34&func=sign" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
--
nun ist es so, dass ich vor ein paar wochen diesebezüglich schon mal "belästigt" wurde. damals hab ich die comp akoobok deinstalliert und neu das easybook installiert. von akobook ist nirgends mehr was zu sehen seither.

hab ich irgendwas vergessen zu löschen? weder im verzeichnis ...joomla/components noch im ...jommla/adminsitrator/componentes hab ich was mit akobook.

vielen dank für eure hilfe.
gruss

matrix

Moin.

Zitat von matrix

der hoster meldet, dass die mails mittels folgendem post-befehl versendet wurden:
--
[10/Oct/2006:21:19:21 +0200] "POST /joomla/index.php HTTP/1.0" 404 9255 "http://www.pontonier.ch/joomla/index.php?option=com_akobook&itemid=34&func=sign" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
--

hab ich irgendwas vergessen zu löschen? weder im verzeichnis ...joomla/components noch im ...jommla/adminsitrator/componentes hab ich was mit akobook.

Erstaunlich.
Gemeinhin steht der 404er Code bei Webservern fuer Not-Found, also nicht gefunden. Wie eine Datei die nicht gefunden wurde zum Versandt von Mails benutzt werden kann ist sicher eine berechtigte Frage.

Es scheint eher so das man das auffaelligste aus Deinem WebServer-Log genommen hat und davon wahrscheinlich jede Menge 404er auftauchen...

Interessant waere vielleicht noch der Header einer gebouncten Mail.
Man kann ja auch eMails unter einer Domain versenden ohne deren Server zu verwenden...

Gruss
Phil.

Zitat von matrix

der hoster meldet, dass die mails mittels folgendem post-befehl versendet wurden:
--
[10/Oct/2006:21:19:21 +0200] "POST /joomla/index.php HTTP/1.0" 404 9255 "http://www.pontonier.ch/joomla/index.php?option=com_akobook&itemid=34&func=sign" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"

Wechsle zu einem Hoster, der Ahnung von seinem Job hat. Noch deutlicher kann doch nicht im Log stehen, daß ein "Datei nicht gefunden" zurückgegeben wurde. Dieser Aufruf war es ganz bestimmt nicht.

Wenn er selbst nicht genug Ahnung hat, soll er das komplette Log deiner Domain incl. Errorlog ausfiltern und dir schicken.

Zitat von DietmarH

Wechsle zu einem Hoster, der Ahnung von seinem Job hat.

Mich würde ja jetzt mal interessieren welcher Hoster das ist

Wenn er zurückgegebene 404-Fehler als Angriff deutet, läuft schon etwas arg falsch.
Da war jemand wahrscheinlich zu übermotiviert, hat in die Logs geschaut und willkürlich das erste auffällige rauskopiert ohne zu kontrollieren ob das wirklich der Ursprung des Spams ist.

Cu

@spider: dieser hier:

Zitat von matrix

hoster dynamic-net

Zitat von Spider

Mich würde ja jetzt mal interessieren welcher Hoster das ist

Hm, gute Frage. Nächste Frage

Wenn er zurückgegebene 404-Fehler als Angriff deutet, läuft schon etwas arg falsch.

Nö, damit hat er ja völlig recht. Es ist ein Angriff. Was sonst soll der direkte POST-Aufruf einer nicht verlinkten Komponente sein? Aber es ist ein erfolgloser Angriff, wenn es die nötige Datei gar nicht gibt.

Da war jemand wahrscheinlich zu übermotiviert

Übermotiviert? Eher das Gegenteil, würde ich sagen. Oder inkompetent. Je nachdem.

hat in die Logs geschaut und willkürlich das erste auffällige rauskopiert ohne zu kontrollieren ob das wirklich der Ursprung des Spams ist.

Um den 404 zu sehen, muß man nicht lange schauen. Und von einem Webserver-Admin erwarte ich, daß er weiß, was die Zeile aussagt. Damit einen Kunden zu konfrontieren (und unter Druck zu setzen), der es vermutlich nicht weiß, ist wahlweise Verarsche oder Schlamperei.

hi dietmarh (und auch alle andern, die sich gemeldet haben)
tja, das könnt Ihr laut sagen mit dem hoster. das ist schon ne richtige nilpe. wie erwähnt, war das das zweite mal, dass sowas passiert.
das erste mal wollte ich dann den provider kontaktieren (telefonisch), was mir aber nicht gelang (nur warteschlaufe den ganzen tag lang und über fr. 350.00 telefonkosten - wohlverstanden, für null kontakt). da werd ich mich hüten, nochmals anzurufen. habe alles vorbereitet für einen wechsel von (EDIT:FIRMENNAME) zu n'em anderen hoster (oppsala, hab ich da einen namen erwähnt? - nicht, oder?).
das problem interessiert mich aber eben auch persönlich. ich hätte schon gerne herausgefunden, wer da wirklich das schwarze schaf ist (ausser dem spammer naürlich).
ich hab mir das log extra runterkopiert und den letzten teil mal diesem post angehängt.
wäre euch wirklich dankbar, wenn ihr mir da etwas weiterhelfen könntet, damit ich dem hoster mal tacheles sagen kann.
apropos: nach dem ersten mal hab ich ja akobook deinstalliert und easygästebuch installiert. alle anderen comp's sind auf dem aktuellen stand - joomla mit 1.0.11 natürlich auch!
im log sind zwei einträge jeweils mit post-befehl. schaut euch das doch mal an.
herzlichen dank an euch für die unterstützung
gruss
matrix

EDIT: Firma bei Interesse bei matrix per pn erfragen. gruss abogado

Ich hab jetzt keine Lust, das Ding stundenlang zu analysieren, aber ich sag jetzt mal, daß im Zeitraum dieses Logs nichts über deinen Webspace rausgegangen ist. Da sind jede Menge Versuche, Lücken zu finden, nicht nur bei Akobook, aber sie werden ausnahmslos mit 404 oder 403 beantwortet.

Jetzt wäre wirklich mal der Header einer der gebounceten Mails interessant...

Ich hatte vor ein paar Jahren auch das Vergnügen, daß einige Spammer anfingen, ihre Mails mit realen Mailadressen im Return-Path zu verschicken. An täglich 200-400 Bounce-Mails hatte sogar mein Spamfilter richtig zu kauen. Kurz danach hatte er allerdings auch das gelernt.

Natürlich war nicht eine einzige dieser gebounceten Mails über eines meiner Konten gegangen...

hi
ist mir nicht bewusst, dass ich bigape installiert habe. für die datensicherung habe ich com_babackup installiert und diese ist nicht aufgeführt bei den unsicheren comp's.
gruss
matrix

uuups - sorry: hab's grad festgestellt, dass bigApe wohl die bezeichnung ist, aber das verzeichnis dochwohl com_babackup hat.
hast du mir n'en tip, was ich anstelle dieses backup-programms benutzen kann? das mit der zipfile-erstellung und dem anschl. download war noch "***y"....