Seite 1 von 1
Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 08:31
von Seelauer
Hallo Contenido-Gemeinde !
Habe heute von d)f folgende Nachricht erhalten:
... leider mussten wir feststellen, dass Ihr Skript von Dritten missbraucht wurde, um unerwünschte E-Mails über unsere Systeme abzusetzen.
Da wir als Webhoster jedoch Spam jeglicher Art ablehnen und dementsprechend auch nicht Ursprung von Spam sein möchten, mussten wir sofort reagieren und Ihr Script blockieren:
/kunden/xxx/xxx/xxx/xxx/contenido/cronjobs/config.in.php
Ist Ihnen die oben genannte Datei unbekannt oder sollte diese Datei niemals für einen E-Mailversand vorgesehen gewesen sein, so könnte dies die Folge eines Angriffs auf Ihre Webseite sein.
Bitte prüfen Sie, ob dieses Script von Ihnen installiert wurde.
Zusätzlich möchten wir Sie bitten, nach anderen, Ihnen verdächtigen, Skripten zu suchen und diese gegebenenfalls zu entfernen.
Oft ist installierte Software wie ein Blogsoftware, CMS-System, oder Ähnliches für solch einen Missbrauch verantwortlich. Falls Sie eine solche Software installiert haben sollten, möchten wie Sie bitten, diese und etwaig zusätzlich installierte Module zu aktualisieren, damit einem weitererm Missbrauch vorgebeugt wird.
Natürlich helfen auch wir Ihnen gern weiter, sollten noch Fragen oder Unklarheiten hierzu bestehen.
Diese Datei config.in.php ist mir von Seiten Contenido nicht bekannt. Der Titel dieser Datei ist "mailer By kay8992".
Ist Euch die Ursache oder eine schnelle Lösung bekannt ?
Installiert Contenido 4.8.13 mit php 5.2.17
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 10:14
von hypekermit
Es muss in contenido womöglich einen neue Sicherheitslücke geben, da auch wir davon betroffen sind. es werden ständig in cronjobs diverse Dateien, für mailversand abgelegt:
bisher folgende Dateien:
cms/incs.php
cms/indek.php
cronjobs/signon.php
cronjobs/conf.php
cronjobs/ps/eggdrop
/locale/fr_FR/coni.php
/locale/fr_FR/LC_MESSAGES/sending.php
hat jemand ähnliche Erfahrungen? oder ist etwas bekannt?
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 10:52
von timo.trautmann_4fb
Wir sind gerade dabei das Thema zu prüfen.
Sollte jemand genauere Logs haben, bitte per PM zusenden.
Wir bitten darum hier keine Logs zu veröffentlichen. Vielen Dank!
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 11:20
von Anfänger
Habe von d)f auch solch' eine Mitteilung bekommen...
Datei war die folgende:
/kunden/xxx/xxx/xxx/xxx/contenido/wiz.php
Gruß
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 11:31
von kummer
letztlich muss das dateisystem viel zu offen sein, damit contenido funktioniert. hier liegt das eigentliche problem. ein verzeichnis sollte entweder zum schreiben offen sein oder php-dateien sollten geparsed werden. aber nicht beides zusammen. das würde bereits einen erheblichen gewinn bringen. wird durch schadsoftware eine datei angelegt (in einem verzeichnis, in welches geschrieben werden kann), wäre dann wenigsten das parsen derselben nicht möglich. gleich überlegungen gelten für die db. in dieser sollte sich keinerlei ausführbarer code finden. eval is evil.
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 11:58
von timo.trautmann_4fb
Eine aktuelle Version von Contenido kann hier herunter geladen werden:
http://forum.contenido.org/viewtopic.php?f=25&t=31239
Eine weitere Anmerkung zur Ursache kann nicht gemacht werden, um keine Nachahmer zu ermutigen. Wir bitten um Verständnis.
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 12. Mai 2011, 13:24
von kummer
timo.trautmann_4fb hat geschrieben:Eine weitere Anmerkung zur Ursache kann nicht gemacht werden, um keine Nachahmer zu ermutigen. Wir bitten um Verständnis.
security through obscurity. diesen ansatz würde ich mir mal überlegen. es ist ja längst bekannt, dass er das gegenteil dessen bewirkt, was beabsichtigt ist. wenn die ursache nicht bekannt ist, dann werden die entsprechenden fehler aufgrund mangelnder kenntnis immer wieder gemacht.
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Sa 14. Mai 2011, 16:50
von Seelauer
"Nichts sagen ist auch schon ein Lob"
Aber ich möchte was sagen:
Allen Spezialisten und Helfern vielen Dank für die schnelle, prompte Reaktion auf dieses Problem und die Bereitstellung der Version 4.8.15
Sicherheitslücke fixen
Verfasst: Do 29. Sep 2011, 13:35
von JuePoe
timo.trautmann_4fb hat geschrieben:
Eine weitere Anmerkung zur Ursache kann nicht gemacht werden, um keine Nachahmer zu ermutigen. Wir bitten um Verständnis.
Hallo, Timo,
ich habe 24 C-Installationen am Laufen. Für mich macht es einen Unterschied, ob ich nur wenige Dateien ersetzen oder die ganze Installationsroutine abarbeiten muss.
Über einen Hinweis, welche Dateien betroffen sind, wäre ich sehr froh.
mfg
Jürgen Pötschik
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 29. Sep 2011, 18:52
von Oldperl
Hallo Jürgen,
musst du ja auch nicht, wenn du mal im Forum schaust findest du sicherlich auch das hier
http://forum.contenido.org/viewtopic.php?f=25&t=31239
Steht ja auch deswegen extra im Ankündigungsforum. Hoffe das vereinfacht das Upgrade deiner Installationen.
Gruß aus Franken
Ortwin
Re: Spam durch Fremddatei contenido/cronjobs/config.in.php
Verfasst: Do 6. Okt 2011, 13:48
von JuePoe
Oldperl hat geschrieben:Hallo Jürgen,
Steht ja auch deswegen extra im Ankündigungsforum. Hoffe das vereinfacht das Upgrade deiner Installationen.
Ortwin
Danke!
Hat es.
Ich hoffe, der Querlink hilft auch anderen C-Fans.
Jürgen