Hallo Jungs,

ich weiss nicht genau ob ich hier richtig bin ... aber ich schildere einfach mal mein Problem ...

Ich pflege so ab und an mal die Web-Präsenz von ner guten Freundin ... eigentlich nix Großes. Ich habe aber nichts selbst gebaut. Der alte Admin hatte mal Probleme mit so einem fertig Gästebuch ... das wurde immer zugespammt und irgendwann war die Seite auch nicht mehr erreichbar ... das habe ich aber eigentlich soweit im Griff ... es ist nun nen anderes Gästebuch drauf und es gibt keine ominösen posts mehr.

Nun zu dem aktuellen Problem. Die Seite is bei Strato gehostet und die haben nen chmod auf die index.php gemacht, da wohl über ein Skript auf der Seite Spam verschickt wird ... angeblich .. also ich bin kein php-Crack ... aber ich glaube nicht, dass auf der Seite ein derartiges Skript exisitiert. Ich habe vollen Zugriff auf den Webspace und finde nichts, was darauf schliessen könnte.

Die Freundin, der die Seite gehört ist selbstständig und ist auf die Erreichbarkeit angewiesen ... wenn ich die Rechter der index.php ändere ... dann ist die Seite zwar wieder erreichbar ... allerdings wird sie in ein paar Tagen wieder von Strato auf 000 gechmodded.

Hat jemand vielleicht eine Idee ... ich habe auch schon einen Blick in die Logs geworfen ... allerdings werde ich aus denen nicht so recht schlau.

Vielleicht kann ja jemand helfen.

Danke
Gruß vom riseX

glauben und wissen sind immer 2 paar Stiefel :-)

- Frag doch mal bei Strato nach, aufgrund welcher Daten sie davon ausgehen, dass der Spam von der Domain ausgeht?
- Analysiere einfach mal sämtliche Scripte auf Mailingfunktionalität hin
- Analysiere die Accesslogs auf Direkteinstiege auf dort gefundene Scripte

in 99% der fälle läuft das so, dass in einem link die url eines scriptes angegeben wird, dass dann die mails versendet. irgend ein schlechtes script, dass es erlaubt urls im link zu übergeben kann die ganze geschichte zu einer spamschleuder mutieren lassen.

dann muss es aber schon irgendwas auf der Seite geben, dass Mails verschicken kann oder? ... Oder hab ich das nun ganz falsch verstanden?.

EDIT: Mhh .. ich habe eine Fertig-Bildergalerie auf der Seite ... hier kann man Kommentare zur Bildern schreiben und die einem Freund zusenden ... das könnte der Haken sein ... ich werde mal schauen


EDIT2: Danke nochmal für die fixen Antworten

Seit wann darf Strato denn einfach so auf den Server zugreifen?

... da steht nirgend wo was von "server" - nur Webpräsenz, und da steht's glaube ich in den AGB...

Hatte ich auch mal bei einem anderen Hoster. Über eine Sicherheitslücke in PHPNUke wurde auch Massenweise Spam versendet, bis der Provider auf ner großen Blacklist gelandet ist und die mir den Saft abgedreht haben....na ja...
Einfach zurückchmodden ist nat. sehr frech, lieber die Seite der entsprechenden Komponenten besuchen und schauen ob es Patches oder neuere Versionen gibt und diese dann aufspielen.

Gruß,
Ace

Es gibt eine neue Masche der Spammer. Kontaktformulare, die keine Sicherheitschecks durchführen (z.B. gültige Mail-Adresse) werden ausgenutzt zum Spam versenden.
http://www.drweb.de/webmaster/kontakt-formulare.shtml
Vielleicht habt ihr sowas auf der Seite?

RichieX

Ja ich hab den Fehler gefunden ... ganz fiese Sache ... war nen Formular wo man einfach ne URL mit übergeben konnte. Ist nun abgestellt und seitdem keine Probleme mehr.

Danke nochmal für das rege Antworten.

Gruß vom riseX

war nen Formular wo man einfach ne URL mit übergeben konnte
Welcher - 'tschuldigung - Schwachsinnige schreibt denn sowas?

och, zu der Zeit, als im www noch alle lieb zu einander waren war das durchaus üblich...

Ja, da wurden aber auch noch die hosts-Dateien durch die Gegend geschickt :)

weiss nich ... ich hab die Seite nur übernommen :P