postguestbook als Spamschleuder missbraucht!  Unten

  • Achtung!

    Wer noch "Reste" einer postguestbook-Installation auf seinem Server hat, sollte diese unbedingt löschen!!!

    Einer meiner Server, bei dem ich zwar schon auf pnBook upgedated hatte, aber das Modul noch auf dem Server lag, wurde heute von Islamisten als Spamserver missbraucht.
    Innerhalb von kürzester Zeit liefen >25.000 Mails auf und die Startseite wurde mit islamistischen Parolen zugepflastert ... nur weil das Modul noch auf dem Server lag - trotz aktuellster Version des Moduls.

    Achtet also bitte dringend auf das komplette Löschen des Moduls (falls ihr das noch irgendwo so rumliegen habt) :)

  • Ich hatte auf meiner privaten Seite lange Ruhe, erhielt aber gestern wieder mehrere Spam-Einträge in PostGuestbook (wohnt Angelina Jolie jetzt in Usbekistan? - scheinbar zusammen mit Jennifer Aniston und Lindsay Lohan icon_wink ).

    Nach der Meldung bei Heise habe ich das Gästebuch sofort durch pnBook ersetzt.

    Kann ich irgendwie rauskriegen, ob der Server nun kompromitiert und die in der Meldung genannte PHP-Shell installiert wurde?

    Dieser Beitrag wurde aus 100% chlorfrei gebleichten, handelsüblichen, freilaufenden, glücklichen Elektronen erzeugt!
    --
    Aktuelles Projekt: http://s63geier.net
    --
    Access goes Subversion: http://oasis.dev2dev.de
  • Quote

    Kann ich irgendwie rauskriegen, ob der Server nun kompromitiert und die in der Meldung genannte PHP-Shell installiert wurde?

    theoretisch nur durch einen kompletten abgleich der dateien auf dem webspace mit dem originalpaket - zum einen könnte sich backdoorcode ja in neuen dateien verstecken, zum anderen könnten - zumindestens in der theorie - ja auch bestehende dateien verändert worden sein.

    ein anderer weg führt über die auswertung der logfiles und die suche nach potentiell verdächtigten zugriffen - für die richtigen keywords bräuchte ich aber einmal die logs eines erfolgreichen defacements um die eigentliche schwachstelle des postguestbook moduls zu finden.

  • Du bekommst gleich Post ;)

    Ich schicke dir die Logfiles zu. Es ist auf der betroffenen Seite von mir auch der PagEd-Ordner als Phishing-Site missbraucht worden ... das könnte interessant werden, oder?
    Oivind hat noch keine Info, da ich nicht weiß, ob es an PagEd liegt - ich hoffe, dass du mit den Logfiles mehr anfangen kannst.

    Auf jeden Fall ist eine Google-Suche drin gewesen (/search?q=Powered+by:+PostGuestbook+0.6.1)

    Aber sieh einfach selbst.

  • larsneo

    um die eigentliche schwachstelle des postguestbook moduls zu finden.

    Habs schon als Kommentar auf der Startseite aber in diesem Zusammenhang auch hier noch einmal ..
    Der Angriff erfolgt anscheinend uber die dateien postguestbook/styles/internal/header.php und header_safe.php

    ob es eine weitere Ursache gibt, ist mir bisher nicht bekannt von daher keine garantie ob der angriff nur über diese Dateien erfolgt.

    Wer als Style die shup - Varianten wählt dürfte vermutlich keine Probleme bekommen.

    Im Style-Verzeichnis sollten die internals auf jeden fall gelöscht werden.

    Erfolg dürfte der Angriff nur haben wenn
    allow_url_fopen und register_globals auf On sind.
  • Quote

    Erfolg dürfte der Angriff nur haben wenn
    allow_url_fopen und register_globals auf On sind.

    bei register_globals=on umgebungen gehört den entsprechenden webmastern allerdings auch prinzipiell auf die finger geklopft - nicht umsonst warnt der baseline security analyzer vor dieser einstellung in der administration. siehe hinweise zur abhilfe in postnuke:sicherheit icon_rolleyes

  • 0 Benutzer

Diese Angaben basieren auf den Useraktivitäten der letzten 30 Minuten.