Massive Spam-Attacke von einem Spambot

xtc2004 · #1 (**permalink**) 17.12.2005, 09:28

Hallo brauche DRINGEND HILFE!!!
ich brauche hier dringend Unterst?tzung. Dieses Thema kann alle XT-Commerce in Zukunft betreffen oder es ist bereits der Fall. Ich bekomme seit Monaten fast st?ndlich Spam von folgendem Spam-Bot:

-------------------------------------------------
Sie haben folgenden Nachricht erhalten:

Reset: loyal6747@xxx.de
Antwort: loyal6747@xxx.de
Name: loyal6747@xxx.de
Newsletter: loyal6747@xxx.de
Email: awful
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: engore, of which we now
bcc: charleselegbed@aol.com

364985b0ccb15091551e419128bf979a
.

Nachricht: loyal6747@xxx.de

Datum/Zeit: 16.12.2005 22:36:06

-------------------------------------------------------------
Das Kontaktformular wird als Spamschleuder mi?braucht. Ein Bot scheint jegliche Ma?nahmen gegen Spam zu umgehen. Habe in mehreren Foren gelesen, dass man die Zeilenumbr?che aus dem Header filtern soll:

Ich sehe nicht mehr ein, dass solche Spammer unsere kostbare Zeit stehlen.
Vielleicht kann jemand ja mit Hilfe folgender Infos etwas f?r XT-Commerce basteln:
http://www.anders.com/cms/75/Crack.Attempt/Spam.Relay
http://lists.grok.org.uk/pipermail/full-di...ber/037048.html
http://www.ayom.com/topic-9119.html
http://www.frontpagewebmaster.com/m-299268/tm.htm

Folgende E-Mails Adressen werden vom Spambot verwendet:
beacon5919@aol.com
batts1005@aol.com
battsl1005@aol.com
bergkoch8@aol.com
jrubin3456@aol.com

Bitte lasst uns zusammen dagegen was unternehmen. Ich denke, dass sehr viele davon betroffen sind.
Bitte auch die Entwickler von xt-commerce um Unterst?tzung. Das Kontaktformular darf einfach nicht als Spamschleuder von solchen Bots mi?braucht werden. M?chte nicht f?r solche Spammer geradestehen m?ssen.

Gru?
xtc2004

:unsure:
->

satzone · #2 (**permalink**) 17.12.2005, 09:36

Und wie missbraucht der denn das Kontaktformular? MEinst Du nicht, dass er nur Deine eMailadresse missbraucht um SPammailes in Deinem Namen zu versenden?

Wir bekommen auch t?glich hunderte Virenmails, die bekannten von rtl, bka, usw. und in den letzten Tagen h?ufen sich die sch.... Google und Yahoo mails ala, "Ihre Webseite ist bei G00GLE nicht auffindbar!", diese werden aber nicht als Spam erkannt.

Ich glaube da jedenfalls nicht dass es an xtc liegt, da ich diese Mails auch bei anderen Webseiten welche ich hemacht habe erhalte. ?berall da wo Mailadressen auf der Webseite stehen, erh?lt man fr?her oder sp?ter spammails.

xtc2004 · #3 (**permalink**) 17.12.2005, 10:21

Nein,
er nutzt definitiv das Kontaktformular auf meinem xt-commerce-shop aus.
Es werden wahrscheinlich in meinem Namen mails versendet. Das ist ja das Schlimme.
Es gibt bereits L?sungen f?r andere PHP-Systeme. Jedoch wei? ich nicht wo und wie ich diesen Schutz in XT-Commerce f?r das Kontaktformular einbaue.

Wir m?ssen da eine L?sung zum Schutz des Kontaktformulars finden. Genauere weitere Infos habe ich ja in meinem ersten Post angegeben.

satzone · #4 (**permalink**) 17.12.2005, 11:28

Welche Shop Version benutzt Du denn?

xtc2004 · #5 (**permalink**) 17.12.2005, 18:16

die 2.x

sff · #6 (**permalink**) 17.12.2005, 19:13

Nun die BCC-Adresse scheint zumindest nicht unbekannt zu sein:

http://www.google.de/search?hl=de&q=%2Bcha...egbed%40aol.com

Allerdings bedeutet der von dir gepostete Auszug nicht unbedingt, dass der Exploit auch erfolgreich war.

smedder · #7 (**permalink**) 18.12.2005, 10:50

Wof?r wird denn in den Spammails geworben?

Bzw. was genau wird verschickt?
(Muss jetzt nicht der genaue Inhalt sein, aber eine Kategoriesierung w?re ganz gut.)

xtc2004 · #8 (**permalink**) 18.12.2005, 11:23

Es wird meist nur ein buchstabe oder ein wort als email-text ausgef?llt.
der komplette inhalt ist im ersten posting schon angegeben.

jedoch ist es ziemlich schwierig oder besser sehr nervig, normale bestellungen von den spam-mails rauszufiltern (mindestens 24 spam-mails pro Tag).

es m?ssen die zeilenumbr?che rausgefiltert werden (kann man in anderen foren nachlesen).
jedoch in welchen dateien mache ich das bei xt-commerce die ?nderungen und wie?

am besten w?re ein patch f?r das kontaktformular oder ein captcha.

sff · #9 (**permalink**) 18.12.2005, 16:40

Wie ich oben schon schrieb, die Mail, die du erh?ltst ist nicht unbedingt ein Zeichen f?r einen erfolgreichen "Hack" sondern zun?chst nur die Folge des "Hack-Versuchs".

Was sagen deine maillogs? Hast du Beweise/Indizien f?r einen erfolgreichen Exploit?

xtc2004 · #10 (**permalink**) 18.12.2005, 20:04

ja aber wie kann ich das abblocken bei xt-commerce?

hat denn keine eine Idee?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln