Jump to content
xt:Commerce Community Forum
Sign in to follow this  
xtc2004

Massive Spam-Attacke von einem Spambot

Recommended Posts

Hallo brauche DRINGEND HILFE!!!

ich brauche hier dringend Unterst?tzung. Dieses Thema kann alle XT-Commerce in Zukunft betreffen oder es ist bereits der Fall. Ich bekomme seit Monaten fast st?ndlich Spam von folgendem Spam-Bot:

-------------------------------------------------

Sie haben folgenden Nachricht erhalten:

Reset: loyal6747@xxx.de

Antwort: loyal6747@xxx.de

Name: loyal6747@xxx.de

Newsletter: loyal6747@xxx.de

Email: awful

Content-Type: text/plain; charset=\"us-ascii\"

MIME-Version: 1.0

Content-Transfer-Encoding: 7bit

Subject: engore, of which we now

bcc: charleselegbed@aol.com

364985b0ccb15091551e419128bf979a

.

Nachricht: loyal6747@xxx.de

Datum/Zeit: 16.12.2005 22:36:06

-------------------------------------------------------------

Das Kontaktformular wird als Spamschleuder mi?braucht. Ein Bot scheint jegliche Ma?nahmen gegen Spam zu umgehen. Habe in mehreren Foren gelesen, dass man die Zeilenumbr?che aus dem Header filtern soll:

Ich sehe nicht mehr ein, dass solche Spammer unsere kostbare Zeit stehlen.

Vielleicht kann jemand ja mit Hilfe folgender Infos etwas f?r XT-Commerce basteln:

http://www.anders.com/cms/75/Crack.Attempt/Spam.Relay

http://lists.grok.org.uk/pipermail/full-di...ber/037048.html

http://www.ayom.com/topic-9119.html

http://www.frontpagewebmaster.com/m-299268/tm.htm

Folgende E-Mails Adressen werden vom Spambot verwendet:

beacon5919@aol.com

batts1005@aol.com

battsl1005@aol.com

bergkoch8@aol.com

jrubin3456@aol.com

Bitte lasst uns zusammen dagegen was unternehmen. Ich denke, dass sehr viele davon betroffen sind.

Bitte auch die Entwickler von xt-commerce um Unterst?tzung. Das Kontaktformular darf einfach nicht als Spamschleuder von solchen Bots mi?braucht werden. M?chte nicht f?r solche Spammer geradestehen m?ssen.

Gru?

xtc2004

:unsure:

->

:cool:

Share this post


Link to post
Share on other sites

Und wie missbraucht der denn das Kontaktformular? MEinst Du nicht, dass er nur Deine eMailadresse missbraucht um SPammailes in Deinem Namen zu versenden?

Wir bekommen auch t?glich hunderte Virenmails, die bekannten von rtl, bka, usw. und in den letzten Tagen h?ufen sich die sch.... Google und Yahoo mails ala, "Ihre Webseite ist bei G00GLE nicht auffindbar!", diese werden aber nicht als Spam erkannt.

Ich glaube da jedenfalls nicht dass es an xtc liegt, da ich diese Mails auch bei anderen Webseiten welche ich hemacht habe erhalte. ?berall da wo Mailadressen auf der Webseite stehen, erh?lt man fr?her oder sp?ter spammails.

Share this post


Link to post
Share on other sites

Nein,

er nutzt definitiv das Kontaktformular auf meinem xt-commerce-shop aus.

Es werden wahrscheinlich in meinem Namen mails versendet. Das ist ja das Schlimme.

Es gibt bereits L?sungen f?r andere PHP-Systeme. Jedoch wei? ich nicht wo und wie ich diesen Schutz in XT-Commerce f?r das Kontaktformular einbaue.

Wir m?ssen da eine L?sung zum Schutz des Kontaktformulars finden. Genauere weitere Infos habe ich ja in meinem ersten Post angegeben.

Share this post


Link to post
Share on other sites

Es wird meist nur ein buchstabe oder ein wort als email-text ausgef?llt.

der komplette inhalt ist im ersten posting schon angegeben.

jedoch ist es ziemlich schwierig oder besser sehr nervig, normale bestellungen von den spam-mails rauszufiltern (mindestens 24 spam-mails pro Tag).

es m?ssen die zeilenumbr?che rausgefiltert werden (kann man in anderen foren nachlesen).

jedoch in welchen dateien mache ich das bei xt-commerce die ?nderungen und wie?

am besten w?re ein patch f?r das kontaktformular oder ein captcha.

Share this post


Link to post
Share on other sites

Wie ich oben schon schrieb, die Mail, die du erh?ltst ist nicht unbedingt ein Zeichen f?r einen erfolgreichen "Hack" sondern zun?chst nur die Folge des "Hack-Versuchs".

Was sagen deine maillogs? Hast du Beweise/Indizien f?r einen erfolgreichen Exploit?

Share this post


Link to post
Share on other sites

wir haben doch schon l?sungsvorschl?ge im netzt daf?r, aber wie baue ich die in xt-commerce ein?

Hoffe, dass jemand einen L?sungsansatz hat.

Ob das jetzt ein Hack ist oder nicht hilft mir nicht weiter. Ich muss wissen wie man sich davor sch?tzt.

Folgende Mail habe ich heute bekommen:

-------------------------------------------------------

Betreff: Kontakt:

Absender: lentworth

1eb1bb3c58b3d0aae844c438bcbd17a1

.

Sie haben folgenden Nachricht erhalten:

Reset: holdin2814@xxx.de

Antwort: holdin2814@xxx.de

Name: holdin2814@xxx.de

Newsletter: holdin2814@xxx.de

Email: lentworth

Content-Type: text/plain; charset=\"us-ascii\"

MIME-Version: 1.0

Content-Transfer-Encoding: 7bit

Subject: among educated people. tto, what shall

bcc: charleslegbe@aol.com

1eb1bb3c58b3d0aae844c438bcbd17a1

.

Nachricht: holdin2814@xxx.de

Datum/Zeit: 18.12.2005 19:38:36

Share this post


Link to post
Share on other sites

@ xtc2004

Kannst Du nun Mail-Log?s besorgen oder nicht?

Es k?nnte schon reichen, wenn Du dir die Log Files Deines Apache anschaust.

... wird dort Dein Kontakt-Formular wirklich erheblich aufgerufen?

Und Deine Angaben reichen hier bei weitem nicht aus, um die Schuld definitiv auf

das xt:c Kontakt-Formular zu schieben.

Wo hostest Du Deinen Shop?

Schau mal in Deine Server Info! - Stichwort "register_globals"

Share this post


Link to post
Share on other sites

Einstellung Webhoster:

register_globals On !!

denke, dass ich die modifikationen in shop_content.php und/oder xtc_validate_email.inc.php, class.phpmailer.php, xtc_php_mail.inc.php vornehmen muss.

Hoffe dass sich bald jemand meldet, der auch betroffen ist. Bin bestimmt nicht der einzigste.

Share this post


Link to post
Share on other sites

Hi,

wei?t Du, was die Variable "register_globals" bewirken kann?

Gehe per FTP in Dein Root-Verzeichnis des Shop?s

?ffne die .htaccess Datei

und f?ge folgendes ein: AddType x-mapp-php5 .php

Somit werden alle Deine PHP-Dateien an PHP5 geparst und dort ist im gegensatz zu PHP4 die Variable "register_globals" auf off gestellt.

Share this post


Link to post
Share on other sites

Endlich habe ich den Mail-Log:

Hoffe das hilft weiter :cool:

2005/12/19-00:42:52 9.114125221.4096.1134949372 <= uXXXXX Commandline=/usr/sbin/sendmail -t -i ENV_Script=/kontaktformular-auswerten.php ENV_Remote=62.2.221.125

2005/12/19-00:42:52 9.114125221.4096.1134949372 == for xxx@xxx.xx

2005/12/19-00:42:52 9.114125221.4096.1134949372 == for charleslegbe@aol.com

2005/12/19-00:42:52 9.114125221.4096.1134949372 => sent to 212.227.126.202 (S=1104)

Share this post


Link to post
Share on other sites

... bin nicht der OberProfi!

Aber so wie ich das sehe, ist es in der Tat so, dass es nicht an xt:commerce liegt, sondern an Deinen PHP einstellungen.

Wenn ich das richtig werte (Bitte verbessert mich), wird aus der Schweiz ein Programm ausgef?rt, was da hei?t: "kontaktformular-auswerten.php"

Dieses Programm nutzt Deine "register_globals" Schwachstelle und gibt vielleicht auch an Dein Kontakt-Formular seine eigenen Variablen weiter.

Und somit kann man dann auch ?ber Dein Kontakt-Formular SPAM versenden.

TIP:

Gehe wie oben beschrieben vor und das Problem sollte beseitigt sein.

Somit schaltest Du Deinen Shop auf die PHP Version 5.1.1

und diese ist bei 1und1 anders konfiguriert als die 4-er Version (siehe oben)

Ich hoffe, ich sehe das Richtig und konnte helfen.

Gru?

MacroMax

Share this post


Link to post
Share on other sites

das scheint mir so als ob wirklich nicht das XT-commerce Kontaktformular schuld ist, sondern das, was im Mail-Log ist.

Das muss die Ursache sein. Alleine sieht man oft den Wald vor lauter B?ume nicht ;-)

Sage schon mal danke!!! Speziell an MacroMax, der mich auf die richtige F?hrte gebracht hat. :rolleyes:

Euch allen ein frohes Fest und einen guten Rutsch!

Share this post


Link to post
Share on other sites

Mit Version 3.04 w?rde DIr das nicht passieren. Es liegt nicht an den PHP-Einstellungen, sondern an dem unsicher programmiertem Script!

Bei Version 3.04 wurde der aktuelle phpmailer verwendet, der dementsprechend gesch?tzt ist.

Du kannst aber Dein PHP-Script auch sch?tzen, in dem Du das ankommende POST-Array ?berpr?fst:


 function spammer($posted_data){

       foreach ($posted_data as $key => $value){

          if (preg_match("/(Content-Type)|(bcc)/i", $value)){

                 return TRUE;

             }

         }

 }

einzusetzen dann so:
if ($_POST['submit'] && !spammer($_POST)){

  ....

  mail(...);

}

Share this post


Link to post
Share on other sites

So, hoffe, Ihr seid alle gut gerutscht :rolleyes:

Für alle, denen wirklich übers Kontaktformular Spam geschickt wurde, hier die "Zeilenumbruch-Löschen" Lösung in ganz simpel (getestet mit v.3.0.3):

In inc/xtc_phpmail.inc.php oben *nach*

global $mail_error;
folgendes hinzufügen:
// anti spam fix by IaN 07/Dec/2006

$to_name = preg_replace('/[\n|\r].*/', '', $to_name);

$email_subject = preg_replace('/[\n|\r].*/', '', $email_subject);

$from_email_name = preg_replace('/[\n|\r].*/', '', $from_email_name);

$from_email_address = preg_replace('/[\n|\r].*/', '', $from_email_address);

// end fix[/code]

...löscht alle Zeilenumbrüche aus den Header-relevanten Übergaben, egal, welche PHPMailer-Klasse verwendet wird.

Cheers,

J

Share this post


Link to post
Share on other sites

@ringtone: Lieber Roboter, denkst Du im Ernst, ich klick auf eins von den zwölfzig Trilliarden Links? Nee, die melde ich eher Google als Spam...

@caruni:

Naja, seit neuestem ist das Forum hier ja auch nicht mehr frei von S - p - a - m (vielleicht sollten wir das Wort einfach nicht schreiben, womöglich suchen die Bots genau danach...).

Cheers,

J

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...