yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB 2.3.x » [WBB 2.3.x] Allg. Fragen und Probleme » Spamversand über das WBB

Spamversand über das WBB

Tommy25
Hallo,

hat von Euch schon mal jemand ein Problem gehabt das über das WBB Board Spams versendet wurden?

Von dem Serveraccount wo das Forum liegt gehen bei mir massenweise Spams raus über ein php Skript, kann die Stelle aber irgendwie nicht finden wo es passiert unglücklich Kann da jemand helfen?
onesworld
Kommen die Mails wirklich vom Forum oder fälscht da jemand einfach Deine Emailadresse? Poste mal den Header einer solchen Mail, damit man das nachvollziehen kann.
Tommy25
Habe auf dem Server einen Wrapper für sendmail erstellt, der logt alle sendmailvorgänge. Dort wird der Account geschrieben wo das Board drauf liegt, allerdings sehe ich nicht über welche Datei sendmail abgesetzt wird. Da dort nur das Board installiert ist muss es irgendeine php Datei des Forum sein.

Hier mal der Header:
code: 
1:
2:
3:
4:

Message-ID: <20100310090449.24105.qmail@001.domain.de>
To: michela.boco@poste.it
Subject: Comunicazioni sicure da BancoPosta
From: Bancoposta <2079216403@posteitaliane.it>



So, es wurden 2 php Dateien ins Root Verzeichnis des Forums kopiert, ein Massenmailsender über welche die Spams versendet wurden und dann C99Shell was mich mehr beunruhigt. Auch weiß ich nicht wie diese php Dateien hochgeladen wurden. Per FTP kann es nicht sein, da habe ich die Logs durchforstet. Es muss also irgend eine Lücke im 2.3.6pl2 sein oder in einem Hack. Hat da jemand ne Idee wo man da ansetzen könnte?
TSC
Hast du das WBBook eingebaut und/oder die Erweiterung BurningBook Goes wBB? Darüber ist es möglich, Dateien einzuschleussen! Ich hatte das gleiche Problem

alfie
Tommy25
Nein das WBBook habe ich nicht eingebaut, nur ein anderes Gästebuch (gb_v2_wbb2). Nur damit kann man ja keinen UpLoad ausführen.
TSC
Dieses Gästebuch kenne ich nicht, aber eine Uploadfunktion ist nicht nötig, um Dateien oder schädlichen Code einzuschleussen, da reicht eine entsprechende Sicherheitslücke! Evtl. kann man in den Logs was finden, ist aber sehr mühseelig! Wo gibt es denn dieses Gästebuch zum Download? Evtl. hab ich da jemanden, der sich das mal anschauen kann!
Tommy25
Das Gästebuch habe ich mal von hier geladen. Frage wäre auch ob es daran liegt oder an etwas anderem da ich noch so einiges eingebaut habte, könnte man dann quasi nur anhand der Logs finden denke ich, nur werden die nach 3 Tagen überschrieben und hochgeladen wurde das schon vorher. FTP Logs habe ich angeschaut, per FTP ist da nichts passiert. Und es müssen auch gezipte Dateien gewesen sein das Datum der Dateien auf 30.10.2008 standen aber in einer Sicherung (etwas 1 Monat alt) nicht enthalten waren.
Forensoftware: Burning Board, entwickelt von WoltLab GmbH