v2.6.x Spam durch Mailskripte

Thema wurde von carstengentsch, 27. Januar 2016 erstellt.

  1. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    #1 carstengentsch, 27. Januar 2016
    Zuletzt bearbeitet: 27. Januar 2016
    Hallo diese Meldung habe ich so eben erhalten
    Sehr geehrter Herr Carsten Gentsch,

    auf Ihrem Webspace befinden sich einige verdächtige Scripte, die Spam verursacht haben. Sie sind unten aufgelistet.

    ./var/www/web276/html/gambio2/ext/mailhive/common/functions/template_engine.php
    ./var/www/web276/html/gambiotest/ext/mailhive/common/functions/template_engine.php

    wie kann das sein?

    wie kann ich die Rechte der Ordner und Dateien prüfen bzw. richtig stellen in Summe nicht einzeln?
     
  2. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    Nun ja, da es in z.B. Version 2.6.0.1 den Ordner /ext/mailhive/common/functions/ nicht gibt, würde ich davon ausgehen, das du von einem "Angriff" betroffen bist.

    Ich würde jetzt schnellstens "ALLE" Passwörter und Benutzer ändern, alles sichern und diesen Ordner löschen... Allerdings würde mich mal interessieren was in der /ext/mailhive/common/functions/template_engine.php für Code drin steht!
     
  3. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    33.571
    Danke erhalten:
    10.416
    Danke vergeben:
    1.498
    Wenn man Mailbeez nutzt (z.B, Beezdesk oder das Shopvoting) ist der Ordner da und auch die Datei.
    Versendest Du Newsletter, Bewertungsanfragen oder sonst etwas mit Mailbeez?
     
  4. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    Ganz schlaue Antwort wieder klar wurden die PWs verändert, mein Hoster hat die Skripte stillgelegt. Die eigentliche Frage ist wie kann das sein denn darurch entstehen Kosten und wennMailbeez Fehlerhaft ist wieso sind die standr drin????
     
  5. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    Aha.. und wieder is da das Nicht_Benutztzen_Syndrom! Ich netz das nicht, deswegen kenne ich diese Ordner/Dateien nicht...

    Aber wenn man wissen will ob man Spam versendet oder gegebenfalls gemeldet wurde, kann sich hier informieren. Ist recht Zuverlässig die Seite:

    http://mxtoolbox.com/SuperTool.aspx?action=blacklist

    Einfach IP rein und scannen lassen...
     
  6. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    #6 carstengentsch, 27. Januar 2016
    Zuletzt bearbeitet: 27. Januar 2016
    Nein nutzen wir garnicht dergleichen, aber wie kann es sein das solche schadhaften Skripte mit drin sind?
    Und ich habe alle PWs geändert auch die vom Shop. Aber die Frage ist wie kommen die von Außen an das Skript denn lt. Hoster war kein Einbruch oder DB hack der ausschlag. Es hängt also wiedereinmal mit mailbeez zusammen.
     
  7. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    33.571
    Danke erhalten:
    10.416
    Danke vergeben:
    1.498
    Du musst Mailbeez installiert haben, sonst hättest Du die Datei gar nicht.
    Ich habe die Datei auch und versende kein Spam.
     
  8. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    Ob diese nun schadhaft sind oder anderes lässt sich schwer beschreiben. Welche IP hat dein Shop?? Oder ganz simpel, welche Domain?? Da kann ich mir die Ip anpingen...
     
  9. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    lt der Liste steht Added to Protected Sky auf anderen Blacklist steht er aber nicht!
    Die Frage was oder wer auf die Dateien zugegriffen hat konnte der Hoster nciht beantworten. Selbst nach den Updates ist Mailbeez drauf gewesen och ich wollte oder nicht. Von außen kommt mann an den Ordner nciht rann die Frage wäre dann aber wie!
     
  10. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    OK. Dann bist du auf ner Black-List... Wenn du das Mailgedöns nicht nutzt, sichere diese Ordner und lösche diese raus! Falls der shop nicht mehr funktioniert, kannst du diese Ordner wieder reinkopieren. Mich würde trotzdem mal interessieren was in den php-Files für ein Code drin ist!!! Poste ihn mal, notfalls falls du Angst hast auch per PN...
     
  11. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    nein nach dem letzten oder vorletztem großen Update war es mit drauf und kann nicht deinstallt werden die Diskussion gabs schon mal dazu hier.
     
  12. hartwigbusse

    hartwigbusse Erfahrener Benutzer

    Registriert seit:
    10. Dezember 2014
    Beiträge:
    1.089
    Danke erhalten:
    223
    Danke vergeben:
    393
    Hallo, also ich habe, nach dem Mailbeez meinen Shop lahmgelegt hat und nur noch ein Backup geholfen hat, dieses komplett vom Server geschmissen. Und ich werde auch darauf achten, dass es nicht nochmal drauf kommt. Hat meinem Shop nicht weh getan.
     
  13. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    Nun, ich denke es ist Zeit für ein "DRINGEND"-Ticket bei Gambio!!! Die sollen sich das mal ansehen und werden dafür auch ne Lösung haben!!!!
     
  14. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    #14 carstengentsch, 27. Januar 2016
    Zuletzt bearbeitet: 27. Januar 2016
    ja lt der Liste eben nur auf einer der rest sagt nichts. Die ip ist 89.200.168.59 kanste mal schauen http://www.blacklistalert.org/
    Had den Ordnern die Rechte enzogen steht alles auf 444 / 000 es erfolgte auch kein Zugriff per FTP lkt. Liste oder DB. Deshalb ist es so schweirig herauszufinden was genau passiert ist. Mein Hoster schreibt gerade es wurden über Wochen einige 1000 MEils gesendet muss also schon länder die Lücke geben!
     
  15. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    hab ich getan und warte auf antwort.
    Die Frage ist ja wenn es ein Fehler bei Gambio oder Mailbeetz ist wer erstattet mir die Kosten?
     
  16. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    Nicht unbedingt ne Lücke!!! Es reicht aus nen FTP zu knacken(was heute jeder gute Script-Kiddy kann) und dir nen Mail-Script drauf zu spielen welches die Apache-php-Mails-Funktion nutzt... Und schon biste im Schlamassel... Mach nen Ticket auf und lass mal Gambio drüber schauen!
     
  17. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    #17 carstengentsch, 27. Januar 2016
    Zuletzt bearbeitet: 27. Januar 2016
    lt. dem Hoster gab es aber keine Fremdzugriffe per Ftp oder DB. Der Angriff kam von außerhalb des Netzwerkes.
    Die haben nichts gefunden im Log oder am Server.
    Ich bin der einzige der Zugriff hat und den Shop verwaltet niemand sonst kommt ran. Das pw war gut in der Art: 1ivhAXl6lF also recht schwer und lang. Auch wurde nichts über den Shop gesendet hm...
     
  18. MailBeez

    MailBeez Erfahrener Benutzer

    Registriert seit:
    12. Januar 2012
    Beiträge:
    237
    Danke erhalten:
    68
    Danke vergeben:
    122
    Wann und warum Emails als Spam eingeordnet werden ist von vielen Faktoren abhängig. Auch die Einstellungen des jeweiligen Mail-Servers sind ausschlaggebend. Einige Hoster haben Limits, wie viele Emails täglich versendet werden dürfen.

    MailBeez unterstützt zahlreiche Konfigurationen und Möglichkeiten, um ohne Spamratings Emails versenden zu können, siehe hierzu auch die Beispiele auf https://www.mailbeez.de/tour/mehr-umsatz

    ich würde somit die angesprochenen Probleme nicht an "Mailskripte" knüpfen, sondern an den Mailserver, den Hoster (Shared Server -> viele teilen sich den gleichen Mailserver), die Inhalte der Emails und auch die Qualität der Email-Adressen: Ein hoher Anteil an Bounces (ungültige Email-Adressen) trägt dazu bei, das der versendende Mail-Server ein Spamrating erhält.
     
  19. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.418
    Danke erhalten:
    5.917
    Danke vergeben:
    1.060
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Kannst z.b. mal hier deine Server IP abfragen
    (Link nur für registrierte Nutzer sichtbar.)