MyBB.de Forum

Normale Version: Spam über css.php?
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Letzten Samstag wurde unser Forum vom Hoster gesperrt. Angeblich wurde über die css.php Spam versendet. Eine Modifikation dieser Datei und den davon referenzierten Dateien kann ich ausschließen. Gibt es bekannte Lücken, die ausgenutzt werden? (Dann müsste hier eigentlich mehr los sein)
Leider gibt Strato keine weiteren Informationen heraus. Das einzige worauf ich Zugriff habe sind ein gefiltertes Access und Error Log. Ansonsten stochere ich im Nebel.

Was ich nicht ausschließen kann, sind Lücken in Erweiterungen und in dem Tapatalk Plugin, welche ja leider viel zu viel undurchsichtige Rechte einfordert.

Jetzt warte ich darauf, dass der Hoster den Webspace wieder freigibt. Das Forum habe ich in ein gesondertes Verzeichnis verschoben und werde es dann nur mit den nötigen Plugins wiederherstellen.

Zitat:[...]Uns ist zur Kenntnis gelangt, dass Ihre Internetpräsenz zur Versendung von Massen-E-Mails, (SPAM), missbraucht worden ist. Laut den uns vorliegenden Informationen erfolgte dies über die Datei:

/css.php

Allem Anschein nach wurde Ihr Webspace gehackt. Der Angriff erfolgte wahrscheinlich durch vorhandene Sicherheitslücken in Ihren installierten PHP-/CGI-Scripten. Auch veraltete Content- Management-Systeme können einen Angriff ermöglichen. Zudem besteht die Möglichkeit, dass sich Viren, Keylogger o.ä. auf Ihrem lokalen System befinden.

Um weiteren Missbrauch zu vermeiden und die Sicherheit unserer Server nicht weiter zu gefährden, mussten wir eine Sperrung Ihrer Domain(s) vornehmen.
[...]
Wie siehts denn mit deinem Rechner aus, ist der sauber von Viren, adds und co ?
Die Datei gibt nur CSS-Dateien aus und das auch nur, wenn der cache-Ordner nicht beschreibbar ist. Mit gerade einmal 40 Zeilen gibt es da praktisch kein Angriffspotential. Ohne weitere Informationen kann ich leider beim besten Willen keine konkreten Tipps geben.
Ich habe jetzt ein diff über meine Installation und einem frischen MyBB Paket laufen lassen. Bis auf von mir geänderte Sprachdateien sind keine Unterschiede vorhanden.  

Bleiben evtl. angreifbare Plugins bzw. Tapatalk oder die Datenbank. Wobei die aktuelle Version 4.4.7 ist und hier 4.4.5 installiert war. Von Sicherheitslücken ist in deren Changelog keine Rede.

Wenn ich die IP des Spam Versenders und den Zeitpunkt hätte, könnte ich nachsehen, ob ein bestimmter Account ausgenutzt wurde. Gibt es ein Limit in der Mailfunktion von MyBB?
(09.02.2016, 10:06)Fidel schrieb: [ -> ]Wenn ich die IP des Spam Versenders und den Zeitpunkt hätte, könnte ich nachsehen, ob ein bestimmter Account ausgenutzt wurde.
Nur was nutzt dir das, wenn man über die css.php keine Mails versenden kann?
Das ist mir auch ein Rätsel. Die Kooperationsbereitschaft von Strato geht gegen 0 und die Seite bleibt weiterhin gesperrt.
Der Hoster hat die Seite wieder freigeschaltet. Auch wenn ich die Ursache für den angeblichen Spamversand nicht feststellen kann, setzte ich das hier auf erledigt.