Hallo zusammen!
Ich habe bei einem Bekannten vor einiger Zeit phpwcms eingerichtet. Vor ein paar Tagen sperrte Tripod/Lycos die Seite mit der Begründung, von dieser Seite aus seien massenweise Phishingmails versendet worden. Irgendwelche Zahlungsaufforderungen für PayPal.
Der Tripod Support konnte mir nicht viel dazu sagen. Nur, dass das von Gästebüchern und Kontaktformularen kommen könne. Ein Kontaktformular gibt es tatsächlich. Wie kann sich da jemand eingeklinkt haben? Kann ich das überprüfen? Wie kann ich das absichern? Hat da jemand Erfahrung mit??
Fragen über Fragen..
Kann jemand helfen?
Grüße,
Gino.
phpwcms Kontaktformular gehackt / Phishing Mails verschickt
-
Gino Bonetti
- Posts: 22
- Joined: Wed 26. Oct 2005, 23:06
Hi Gino,
um welche Version handelt es sich denn?
Knut
um welche Version handelt es sich denn?
Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
-
Gino Bonetti
- Posts: 22
- Joined: Wed 26. Oct 2005, 23:06
Also diese zweifelhafte Funktion "Mail to a Friend" lief nicht?
Bist du ganz sicher das Tripod den FTP gesperrt hat, nicht dass der ganze Kram übernommen worden ist?
Einfaches PW?
Bei einem Standardkontaktformular ohne eigene Hacks oder patches kann ich mir so etwas nicht vorstellen.
Lief die Captcha Funktion?
Wenn der vorhanden ist, würde ich die Dateien auf dem Account mit denen einer sauberen Installation vergleichen.
Die Datenbank käme auch unter die Lupe.
- Irgendwelche Hacks verwendet?
- Setup wurde gelöscht?
- /phpwcms_code_snippets/ gelöscht?
- Datei/File Rechte richtig gesetzt?
Usw.
Knut
Bist du ganz sicher das Tripod den FTP gesperrt hat, nicht dass der ganze Kram übernommen worden ist?
Einfaches PW?
Bei einem Standardkontaktformular ohne eigene Hacks oder patches kann ich mir so etwas nicht vorstellen.
Lief die Captcha Funktion?
Um überhaupt etwas analysieren zu können brauchst du natürlich den Zugriff.....Tripod nicht nur die Seite abgeschossen hat sondern außerdem die FTP-Accounts eingefroren hat
Wenn der vorhanden ist, würde ich die Dateien auf dem Account mit denen einer sauberen Installation vergleichen.
Die Datenbank käme auch unter die Lupe.
- Irgendwelche Hacks verwendet?
- Setup wurde gelöscht?
- /phpwcms_code_snippets/ gelöscht?
- Datei/File Rechte richtig gesetzt?
Usw.
Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
-
Gino Bonetti
- Posts: 22
- Joined: Wed 26. Oct 2005, 23:06
Ja, Tripod hat FTP gesperrt. Hat man mir bei der Hotline so mitgeteilt. Erst, wenn der Kunde schriftlich versichert, dass er für die verschickten Phishingmails nicht verantwortlich ist, schalten die das wieder frei. 
Ich werde das dann wohl am besten mal mit ner sauberen Installation vergleichen, wenn der Zugriff wieder besteht. Danke für den Hinweis, Knut.
Captcha lief nicht.
Ansonsten jedoch keine Hacks, Setup und Snippets gelöscht. Dateirechte ebenfalls korrekt gesetzt.. Alles sehr ominös..
Gruß,
Gino.
Ich werde das dann wohl am besten mal mit ner sauberen Installation vergleichen, wenn der Zugriff wieder besteht. Danke für den Hinweis, Knut.
Captcha lief nicht.
Ansonsten jedoch keine Hacks, Setup und Snippets gelöscht. Dateirechte ebenfalls korrekt gesetzt.. Alles sehr ominös..
Gruß,
Gino.
Wenn möglich sollte der Provider dir auch einen kleinen Auszug aus den Log Dateien zukommen lassen, um festzustellen was wie passiert ist. (Wenn das möglich ist).
Eine gute Zusammenarbeit mit dem Provider wäre von großem Vorteil.
Denn über das Kontaktformular können i.d.R. keine Mails unbemerkt irgendwohin versendet werden.
Auf keinen Fall hier die Domain nennen.
Ich schlage dir vor ab jetzt nur noch per PN zu kommunizieren.
Das Ergebniss kann, wenn es eines gibt, hier später veröffentlicht werden.
Knut
Eine gute Zusammenarbeit mit dem Provider wäre von großem Vorteil.
Denn über das Kontaktformular können i.d.R. keine Mails unbemerkt irgendwohin versendet werden.
Auf keinen Fall hier die Domain nennen.
Ich schlage dir vor ab jetzt nur noch per PN zu kommunizieren.
Das Ergebniss kann, wenn es eines gibt, hier später veröffentlicht werden.
Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
Hi,
We had the same, this was on version phpwcms1.2.5. Is fixed in phpwcms1.2.8. They hacked us via the 'spaw' editor (\include\inc_ext\spaw\dialogs\table.php) and installed a tool called 'C99Shell v. 1.0 pre-release build #16!' where they can do all the things they want (read php config files with passwords, execute php, etc).
Also they installed DarkCarder (c) 2005 for the #CcPower where they can send emails with.
The files they had installed were named like 1.php, tmp.php, c.c, include.php
Sollution was to clean (remove all the files from the webspace), change all the passwords (mysql and ftp) and install phpwcms 1.2.8.
So it's really important to upgrade to phpwcms1.2.8 like Oliver advices: http://www.phpwcms.de/forum/viewtopic.php?t=12283
We had the same, this was on version phpwcms1.2.5. Is fixed in phpwcms1.2.8. They hacked us via the 'spaw' editor (\include\inc_ext\spaw\dialogs\table.php) and installed a tool called 'C99Shell v. 1.0 pre-release build #16!' where they can do all the things they want (read php config files with passwords, execute php, etc).
Also they installed DarkCarder (c) 2005 for the #CcPower where they can send emails with.
The files they had installed were named like 1.php, tmp.php, c.c, include.php
Sollution was to clean (remove all the files from the webspace), change all the passwords (mysql and ftp) and install phpwcms 1.2.8.
So it's really important to upgrade to phpwcms1.2.8 like Oliver advices: http://www.phpwcms.de/forum/viewtopic.php?t=12283
-
Gino Bonetti
- Posts: 22
- Joined: Wed 26. Oct 2005, 23:06
Thanks for your support, guys! I got the impression that we can't expect a lot of support from Tripod with this. I called the hotline several times now and they can't tell my anything more than the fact that there was an attack and that most likely a guestbook (which we did not have) or a contact form was used for this. Of course I don't expect them to check all my scripts and code. But a bit more help than the standardized answers would have been nice.
In this kind of times you really get to know the "love" you get from your provider. As with tripod, there is no hotline on the weekend and for my taste insufficient efforts in solving this problem with the client. My client's ftp-accounts are still locked. So at the moment there is nothing I can do about that.
If a solution comes up for this, I'll post it here.
Thanks again,
Gino.
In this kind of times you really get to know the "love" you get from your provider. As with tripod, there is no hotline on the weekend and for my taste insufficient efforts in solving this problem with the client. My client's ftp-accounts are still locked. So at the moment there is nothing I can do about that.
If a solution comes up for this, I'll post it here.
Thanks again,
Gino.