OXPUS.de

hallo erstmal!

ich bin neu hier und habe gleich mal ein problem, mit dem ich überfordert bin.

ich habe ein neues tierschutzforum mit gerade mal 17 usern (http://www.tierschutzbewegung.de/forum). die phpbb-version ist phpbb 2.0.11, die aktuellen sicherheits-updates sind also installiert und die hier empfohlene .htaccess - datei liegt im phpbb-root. zudem ist der CBACK CrackerTracker installiert, allerdings mit keinen einträgen im Log-file bislang.

gestern nun mailte mir mein provider, dass dieses forum als spam-verteiler missbraucht würde und einen traffic von 3GB tägl. erzeugen würde. diverse scripts würden laut logfiles im millisekunden-takt ablaufen. mich hat er nun aufgefordert dagegen vorzugehen, da sonst die seite geschlossen werden müsste.

ich kann mir ja viel vorstellen, das nun aber nicht!

nun die frage: kann das wirklich sein? oder hat nicht eher der provider selbst irgendein ein problem auf dem server (linux), z. b. dass sich was eingenistet hat, das sich der scripts bemächtigt? so hat er beispielsweise mit 4.2.2 nicht gerade die neueste php-version installiert und die ist ja bekanntermassen nicht gerade sicher, so dass ja wohl nicht nur mein forum sondern alle php-basierten scripte auf dem server betroffen sein müssten.

und wenn es wirklich sein kann - wie gehe ich dagegen vor? mods wie anti-robotic, die verhindern, dass sich scripts anmelden, sind bereits drin.

ich möchte euch bei dieser gelegenheit auch zu diesem wirklich gelungenem board gratulieren und für die geleistete arbeit danken.

viele grüsse und danke schon mal

ich möchte euch bei dieser gelegenheit auch zu diesem wirklich gelungenem board gratulieren und für die geleistete arbeit danken.

Danke, nimmt man gerne entgegen.

Öh ja, schau mal in die Log-Files zu Deinem Webspace, ob da wirklich viele Einträge enthalten sind. Im Zweifel einfach mal einen Auszug hier posten, bzw. bei Sicherheitsbedenken mit per PN schicken.
Dazu auch mal den Provider bitten, PHP 4.3.10 zu installieren, damit gravierende Sicherheitslücken geschlossen werden. 4.2.2 ist wirklich sehr alt.

Und wenn Dein Board "spammt", solltest Du mal prüfen, ob nicht jemand Dein Board als Spam-Einrichtung missbrauchen kann. Schalte dazu mal im ACP unter Allgemein > Konfiguration den Punkt "Nutze einen SMTP Server zum Mailen" auf Nein und dazu "Benutzer E-Mails per Board" auf Nein. Dann mal weiter beobachten.
Frag auch Deinen Provider mal nach einer Übersicht, Deines verbrauchten Traffics. Die meisten Provider haben hierfür kostenlose Tools installiert.

danke schonmal hierfür!

das mit den log-files kann ich machen. aber smtp-server und E-Mails per Board sind bereits deaktiviert und waren es nie! auch habe ich ihn aufgefordert sein marodes php endlich upzudaten, bevor er mich hier volllabert!

viele grüsse

Naja, veralbern wird er Dich wohl weniger. Wenn Dein Board wirklich die Ursache für solch hohen Traffic ist, macht das der Server nicht unbedingt lange mit.

Aber wie gesagt, fühlt ihm mal auf den Zahl wegen dem PHP und die Log-Files halt anschauen.

Naja, veralbern wird er Dich wohl weniger. Wenn Dein Board wirklich die Ursache für solch hohen Traffic ist, macht das der Server nicht unbedingt lange mit.

das mag sein. allerdings - im gegensatz zu ihm bin ich mit meinen sicherheits-updates auf dem laufenden. und ich denke, das selbe sollte man eigentlich von seinem provider auch erwarten können, wenn er schon rummotzt! schliesslich macht er es ja nicht umsonst!

es ist ja ziehmlich leicht für ihn zu sagen mein forum ist schuld - jetzt mach gefälligst was. während er selbst mit antiken server-applikationen unterwegs ist. liegts an ihm und nicht an mir, dann kann ich ewig suchen! und dazu verspüre ich nicht wirklich grosse lust!

viele grüsse!

das mag sein. allerdings - im gegensatz zu ihm bin ich mit meinen sicherheits-updates auf dem laufenden. und ich denke, das selbe sollte man eigentlich von seinem provider auch erwarten können, wenn er schon rummotzt! schliesslich macht er es ja nicht umsonst!

Da gebe ich Dir vollkommen Recht.

Nun, die Aussage von Ihm beruht ja auch mehr auf der Tatsache, daß Dein Webspace/Account soviel Traffic erzeugt. Was denn nun wirklich daran der Verursacher ist, kann ja auch unverschuldet sein...
Bei mir war es ähnlich. Hatte dann mit cback's Hilfe schnell rausgefunden, daß sich der letzte Wurm mein Forum als neues "Zuhause" aussuchen wollte und es ständig bombardierte. Auch vollkommen ohne mein Verschulden, mein Hoster hatte da auch ähnlich reagiert wie Deiner, jedoch mein Board mittlerweile auf einen weniger benutzten Server gelegt. Halt zusätzliche Ausfallzeit für den Umzug von 1-2 Stunden.

mmh, hoffe, ich kann hier mal einhaken!?
Bei mir sind heute übers Board 2 Mails abgesetzt worden mit gefaktem
Absender an eine reale Mailadresse. Der Header zeigt www-data als Return Pfad.
Wie/Wodurch kann das passiert sein. Kann man, wenn man es weiss,
ein PHP Mailscript des Boards direkt "ansprechen"?

Direkt absprechen von aussen lässt sich kein Mailserver, aber man kann den Header bei eigenen Emails manipulieren und so vortäuschen, daß man jemand anderes wäre...

[quote="oxpus";p="60761"]Direkt absprechen von aussen lässt sich kein Mailserver, aber man kann den Header bei eigenen Emails manipulieren und so vortäuschen, daß man jemand anderes wäre...[/quote]
ja, das weiss ich. Aber gewisse Headerzeilen lassen sich nicht manipulieren.
Und das Logfile zeigt ja auch eindeutig, dass über das Board gemailt wurde.
Bloss wie? Ich hab ja bloss Angst, dass über das Board Spam verschickt wird.
Also von Nichtmitgliedern, verstehst?

Hast Du Emails per Board zugelassen?
Dann kann man schon an andere Mailen.
Oder auch ein MOD, der Emailen ermöglicht?
Und glaub mir, man kann den kompletten Header ändern, wenn man will...

[quote="oxpus";p="60764"]Hast Du Emails per Board zugelassen?
[/quote]
ja. Aber dabei kann man doch bloss von seinem Account zu nem anderen aufm Board mailen und nicht extern, oder?

Oder auch ein MOD, der Emailen ermöglicht?

ka

Wie gesagt: Von ausserhalb ist es nicht möglich, den SMTP zu benutzen, ohne die Anmeldedaten zu haben.
Also kann es nur ein MOD im Forum sein oder der Header wurde "umgebogen", was leider möglich ist.

[quote="oxpus";p="60774"]Wie gesagt: Von ausserhalb ist es nicht möglich, den SMTP zu benutzen, ohne die Anmeldedaten zu haben.[/quote]
Es war PHP Mail eingestellt. Da ist das möglich?
P.S. Hab es jetzt auf SMTP geändert.

Auch dazu müsste ein Script vorhanden sein, um es "frei" zu nutzen.
Aber SMTP ist immer besser...