Massive Spam-Attacke von einem Spambot

[xtc2004]

Hallo brauche DRINGEND HILFE!!!

ich brauche hier dringend Unterst?tzung. Dieses Thema kann alle XT-Commerce in Zukunft betreffen oder es ist bereits der Fall. Ich bekomme seit Monaten fast st?ndlich Spam von folgendem Spam-Bot:

-------------------------------------------------

Sie haben folgenden Nachricht erhalten:

Reset: [email protected]

Antwort: [email protected]

Name: [email protected]

Newsletter: [email protected]

Email: awful

Content-Type: text/plain; charset=\"us-ascii\"

MIME-Version: 1.0

Content-Transfer-Encoding: 7bit

Subject: engore, of which we now

bcc: [email protected]

364985b0ccb15091551e419128bf979a

.

Nachricht: [email protected]

Datum/Zeit: 16.12.2005 22:36:06

-------------------------------------------------------------

Das Kontaktformular wird als Spamschleuder mi?braucht. Ein Bot scheint jegliche Ma?nahmen gegen Spam zu umgehen. Habe in mehreren Foren gelesen, dass man die Zeilenumbr?che aus dem Header filtern soll:

Ich sehe nicht mehr ein, dass solche Spammer unsere kostbare Zeit stehlen.

Vielleicht kann jemand ja mit Hilfe folgender Infos etwas f?r XT-Commerce basteln:

http://www.anders.com/cms/75/Crack.Attempt/Spam.Relay

http://lists.grok.org.uk/pipermail/full-di...ber/037048.html

http://www.ayom.com/topic-9119.html

http://www.frontpagewebmaster.com/m-299268/tm.htm

Folgende E-Mails Adressen werden vom Spambot verwendet:

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Bitte lasst uns zusammen dagegen was unternehmen. Ich denke, dass sehr viele davon betroffen sind.

Bitte auch die Entwickler von xt-commerce um Unterst?tzung. Das Kontaktformular darf einfach nicht als Spamschleuder von solchen Bots mi?braucht werden. M?chte nicht f?r solche Spammer geradestehen m?ssen.

Gru?

xtc2004

->

[satzone]

Und wie missbraucht der denn das Kontaktformular? MEinst Du nicht, dass er nur Deine eMailadresse missbraucht um SPammailes in Deinem Namen zu versenden?

Wir bekommen auch t?glich hunderte Virenmails, die bekannten von rtl, bka, usw. und in den letzten Tagen h?ufen sich die sch.... Google und Yahoo mails ala, "Ihre Webseite ist bei G00GLE nicht auffindbar!", diese werden aber nicht als Spam erkannt.

Ich glaube da jedenfalls nicht dass es an xtc liegt, da ich diese Mails auch bei anderen Webseiten welche ich hemacht habe erhalte. ?berall da wo Mailadressen auf der Webseite stehen, erh?lt man fr?her oder sp?ter spammails.

[xtc2004]

Nein,

er nutzt definitiv das Kontaktformular auf meinem xt-commerce-shop aus.

Es werden wahrscheinlich in meinem Namen mails versendet. Das ist ja das Schlimme.

Es gibt bereits L?sungen f?r andere PHP-Systeme. Jedoch wei? ich nicht wo und wie ich diesen Schutz in XT-Commerce f?r das Kontaktformular einbaue.

Wir m?ssen da eine L?sung zum Schutz des Kontaktformulars finden. Genauere weitere Infos habe ich ja in meinem ersten Post angegeben.

[satzone]

Welche Shop Version benutzt Du denn?

[xtc2004]

die 2.x

[sff]

Nun die BCC-Adresse scheint zumindest nicht unbekannt zu sein:

http://www.google.de/search?hl=de&q=%2Bcha...egbed%40aol.com

Allerdings bedeutet der von dir gepostete Auszug nicht unbedingt, dass der Exploit auch erfolgreich war.

[smedder]

Wof?r wird denn in den Spammails geworben?

Bzw. was genau wird verschickt?

(Muss jetzt nicht der genaue Inhalt sein, aber eine Kategoriesierung w?re ganz gut.)

[xtc2004]

Es wird meist nur ein buchstabe oder ein wort als email-text ausgef?llt.

der komplette inhalt ist im ersten posting schon angegeben.

jedoch ist es ziemlich schwierig oder besser sehr nervig, normale bestellungen von den spam-mails rauszufiltern (mindestens 24 spam-mails pro Tag).

es m?ssen die zeilenumbr?che rausgefiltert werden (kann man in anderen foren nachlesen).

jedoch in welchen dateien mache ich das bei xt-commerce die ?nderungen und wie?

am besten w?re ein patch f?r das kontaktformular oder ein captcha.

[sff]

Wie ich oben schon schrieb, die Mail, die du erh?ltst ist nicht unbedingt ein Zeichen f?r einen erfolgreichen "Hack" sondern zun?chst nur die Folge des "Hack-Versuchs".

Was sagen deine maillogs? Hast du Beweise/Indizien f?r einen erfolgreichen Exploit?

[xtc2004]

ja aber wie kann ich das abblocken bei xt-commerce?

hat denn keine eine Idee?

[xtc2004]

wir haben doch schon l?sungsvorschl?ge im netzt daf?r, aber wie baue ich die in xt-commerce ein?

Hoffe, dass jemand einen L?sungsansatz hat.

Ob das jetzt ein Hack ist oder nicht hilft mir nicht weiter. Ich muss wissen wie man sich davor sch?tzt.

Folgende Mail habe ich heute bekommen:

-------------------------------------------------------

Betreff: Kontakt:

Absender: lentworth

1eb1bb3c58b3d0aae844c438bcbd17a1

.

Sie haben folgenden Nachricht erhalten:

Reset: [email protected]

Antwort: [email protected]

Name: [email protected]

Newsletter: [email protected]

Email: lentworth

Content-Type: text/plain; charset=\"us-ascii\"

MIME-Version: 1.0

Content-Transfer-Encoding: 7bit

Subject: among educated people. tto, what shall

bcc: [email protected]

1eb1bb3c58b3d0aae844c438bcbd17a1

.

Nachricht: [email protected]

Datum/Zeit: 18.12.2005 19:38:36

[sff]

Vielleicht den zu verschickenden Text auf "bcc: .*@" filtern?

[MacroMax]

@ xtc2004

Kannst Du nun Mail-Log?s besorgen oder nicht?

Es k?nnte schon reichen, wenn Du dir die Log Files Deines Apache anschaust.

... wird dort Dein Kontakt-Formular wirklich erheblich aufgerufen?

Und Deine Angaben reichen hier bei weitem nicht aus, um die Schuld definitiv auf

das xt:c Kontakt-Formular zu schieben.

Wo hostest Du Deinen Shop?

Schau mal in Deine Server Info! - Stichwort "register_globals"

[xtc2004]

bei 1und1 business tarif

[xtc2004]

Einstellung Webhoster:

register_globals On !!

denke, dass ich die modifikationen in shop_content.php und/oder xtc_validate_email.inc.php, class.phpmailer.php, xtc_php_mail.inc.php vornehmen muss.

Hoffe dass sich bald jemand meldet, der auch betroffen ist. Bin bestimmt nicht der einzigste.

[MacroMax]

Hi,

wei?t Du, was die Variable "register_globals" bewirken kann?

Gehe per FTP in Dein Root-Verzeichnis des Shop?s

?ffne die .htaccess Datei

und f?ge folgendes ein: AddType x-mapp-php5 .php

Somit werden alle Deine PHP-Dateien an PHP5 geparst und dort ist im gegensatz zu PHP4 die Variable "register_globals" auf off gestellt.

[xtc2004]

Endlich habe ich den Mail-Log:

Hoffe das hilft weiter

2005/12/19-00:42:52 9.114125221.4096.1134949372 <= uXXXXX Commandline=/usr/sbin/sendmail -t -i ENV_Script=/kontaktformular-auswerten.php ENV_Remote=62.2.221.125

2005/12/19-00:42:52 9.114125221.4096.1134949372 == for [email protected]

2005/12/19-00:42:52 9.114125221.4096.1134949372 == for [email protected]

2005/12/19-00:42:52 9.114125221.4096.1134949372 => sent to 212.227.126.202 (S=1104)

[MacroMax]

... bin nicht der OberProfi!

Aber so wie ich das sehe, ist es in der Tat so, dass es nicht an xt:commerce liegt, sondern an Deinen PHP einstellungen.

Wenn ich das richtig werte (Bitte verbessert mich), wird aus der Schweiz ein Programm ausgef?rt, was da hei?t: "kontaktformular-auswerten.php"

Dieses Programm nutzt Deine "register_globals" Schwachstelle und gibt vielleicht auch an Dein Kontakt-Formular seine eigenen Variablen weiter.

Und somit kann man dann auch ?ber Dein Kontakt-Formular SPAM versenden.

TIP:

Gehe wie oben beschrieben vor und das Problem sollte beseitigt sein.

Somit schaltest Du Deinen Shop auf die PHP Version 5.1.1

und diese ist bei 1und1 anders konfiguriert als die 4-er Version (siehe oben)

Ich hoffe, ich sehe das Richtig und konnte helfen.

Gru?

MacroMax

[xtc2004]

das scheint mir so als ob wirklich nicht das XT-commerce Kontaktformular schuld ist, sondern das, was im Mail-Log ist.

Das muss die Ursache sein. Alleine sieht man oft den Wald vor lauter B?ume nicht ;-)

Sage schon mal danke!!! Speziell an MacroMax, der mich auf die richtige F?hrte gebracht hat.

Euch allen ein frohes Fest und einen guten Rutsch!

[MacroMax]

Rutsch Du auch gut!

[donjon]

Mit Version 3.04 w?rde DIr das nicht passieren. Es liegt nicht an den PHP-Einstellungen, sondern an dem unsicher programmiertem Script!

Bei Version 3.04 wurde der aktuelle phpmailer verwendet, der dementsprechend gesch?tzt ist.

Du kannst aber Dein PHP-Script auch sch?tzen, in dem Du das ankommende POST-Array ?berpr?fst:

 function spammer($posted_data){

       foreach ($posted_data as $key => $value){

          if (preg_match("/(Content-Type)|(bcc)/i", $value)){

                 return TRUE;

             }

         }

 }

einzusetzen dann so:

if ($_POST['submit'] && !spammer($_POST)){

  ....

  mail(...);

}

[nervens?ge]

W?rde es nicht reichen wenn man dann einfach den phpmailer tauscht ?

http://phpmailer.sourceforge.net/

[caruni]

Also ich habe den phpmailer ausgetauscht mit der neueste Version und es hat nichts gebracht.

@donjon

Wo genau müsste der Code geändert werden?

[John Steed]

So, hoffe, Ihr seid alle gut gerutscht

Für alle, denen wirklich übers Kontaktformular Spam geschickt wurde, hier die "Zeilenumbruch-Löschen" Lösung in ganz simpel (getestet mit v.3.0.3):

In inc/xtc_phpmail.inc.php oben *nach*

global $mail_error;

folgendes hinzufügen:

// anti spam fix by IaN 07/Dec/2006

$to_name = preg_replace('/[\n|\r].*/', '', $to_name);

$email_subject = preg_replace('/[\n|\r].*/', '', $email_subject);

$from_email_name = preg_replace('/[\n|\r].*/', '', $from_email_name);

$from_email_address = preg_replace('/[\n|\r].*/', '', $from_email_address);

// end fix[/code]

...löscht alle Zeilenumbrüche aus den Header-relevanten Übergaben, egal, welche PHPMailer-Klasse verwendet wird.

Cheers,

J

[John Steed]

@ringtone: Lieber Roboter, denkst Du im Ernst, ich klick auf eins von den zwölfzig Trilliarden Links? Nee, die melde ich eher Google als Spam...

@caruni:

Naja, seit neuestem ist das Forum hier ja auch nicht mehr frei von S - p - a - m (vielleicht sollten wir das Wort einfach nicht schreiben, womöglich suchen die Bots genau danach...).

Cheers,

J