Zurück   klamm-Forum > klamm-Lose > Lose4Scripts

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 05.05.2009, 18:39:46   #1 (permalink)
Erfahrener Benutzer
Benutzerbild von 4L4L

ID: 199220
Lose-Remote
Reallife

Reg: 24.04.2006
Beiträge: 1.921
Standard Sicherheitslücke / Spamversand durch Injektion im Luxusmailer Starmail 2.4 Script?!

Hallo,

kann es sein das es in der o.g. Version eine Sicherheitslücke gibt, die es ermöglicht Spammails zu versenden? Hab heut einige hundert Mailrückläufer in meinem Postfach gehabt:

Zitat:
Betreff:
Fx29Shell http://www.paidmailer-service.de/dem...mg&img=ext_diz by xxx.xxx.xxx.xxx (immer unterschiedlich)
Von:
web25@server....
Datum:
Tue, 5 May 2009 14:36:19 +0200 (CEST)
An:
fremde emailadresse (immer die gleiche)

Boss, there was an injected target on http://www.paidmailer-service.de/dem...mg&img=ext_diz by xxx.xxx.xxx.xxx (immer unterschiedlich)
So wie es aussieht in der home.php
Hab das Script erstmal offline genommen. Es wurde noch ein zip Archiv hochgeladen, was ich direkt gelöscht habe.
Der Hacker scheint Zugriff auf andere Ordner zu haben. Dort ist in einem anderen Ordner eine Datei aufgetaucht, neue Mails tauchen im selben Muster auf, nur mit andere Url als oben genannt.
Hab den Acc jetzt gesperrt.

Hat jemand auch das Problem? Ist es neu? Gibt es eine Lösung?

Grüße
 

Geändert von 4L4L (05.05.2009 um 18:43:32 Uhr)
4L4L ist offline   Mit Zitat antworten
Alt 05.05.2009, 18:42:42   #2 (permalink)
kanz pöhse
Benutzerbild von LasMiranda

ID: 28058
Lose-Remote

LasMiranda eine Nachricht über ICQ schicken LasMiranda eine Nachricht über AIM schicken LasMiranda eine Nachricht über MSN schicken LasMiranda eine Nachricht über Yahoo! schicken LasMiranda eine Nachricht über Skype™ schicken
Reg: 05.05.2006
Beiträge: 3.054
Standard

Tja, wer ungesicherte includes online stellt...
Gruß, Martin
LasMiranda ist offline   Mit Zitat antworten
Alt 05.05.2009, 18:47:37   #3 (permalink)
Erfahrener Benutzer
Benutzerbild von 4L4L

ID: 199220
Lose-Remote
Reallife

Reg: 24.04.2006
Beiträge: 1.921
Standard

Hmm? Höre mir gerne meine Fehler/Sicherheitslücken per PN an (wäre nett, muss ja nicht öffentlich sein). Danke im Voraus!
Dachte liegt am Script.
 

Geändert von 4L4L (05.05.2009 um 18:48:47 Uhr)
4L4L ist offline Threadstarter   Mit Zitat antworten
Alt 05.05.2009, 19:30:40   #4 (permalink)
Erfahrener Benutzer

ID: 196908
Lose-Remote

Paid-World eine Nachricht über Skype™ schicken
Reg: 26.10.2006
Beiträge: 286
Standard

Hi,

mit "ungesicherte includes" (komischer Ausdruck^^) ist folgendes gemeint:

Ich versuchs mal ganz simpel zu erklären.

Du hast eine index.php (oder auch eine home.php), in die über die angehängten Parameter in der URL (z.B. http://deinedomain.de/index.php?action=unterseite) die jeweiligen Unterseiten mit dem PHP-Befehl "include" eingebunden werden.

Mit include kann aber so ziemlich alles eingebunden werden. Auch komplette URLS. Das heißt der Hacker könnte das z.B. so aufrufen :

http://deinedomain.de/index.php?acti...spammailer.php

Dann würde das Script, was auf der Hackerdomain liegt, auf deinem Server ausgeführt. Dies kann u.A. Mailversand beinhalten.

Lösungen gibt es dafür jede Menge. Man kann z.B. eine Art Liste mit erlaubten Werten für den Parameter erstellen und abgleichen, generell nur Kleinbuchstaben (oder ungefährliche Zeichen) als möglichen Wert zulassen, alle einzubindenen Dateien in einen Ordner schieben und nur aus diesem Ordner einbinden usw. Kommt eben auf das entsprechende Script an.


Ob es bei dir jetzt wirklich daran liegt, weiß ich nicht. Ich kenn dieses Luxusmailer-Ding in der Version nicht (nur die alte, und das war kein Script sondern Codemüll). Ich finds nur blöde, wenn hier jemand um Hilfe bittet (was ja wohl heißt, das er die Materie, um die es sich dreht, nicht allzu gut kennt) und irgendwer kommt daher und haut mal eben nen Begriff rein.

Gruß
Marco
Computer-Logik :
Keyboard not found
Press <F1> to continue...
Paid-World ist offline   Mit Zitat antworten
Alt 05.05.2009, 21:00:21   #5 (permalink)
Erfahrener Benutzer
Benutzerbild von 4L4L

ID: 199220
Lose-Remote
Reallife

Reg: 24.04.2006
Beiträge: 1.921
Standard

Hi,

ja lag daran. Eine der letzten Zeilen in der home.php arbeiten mit Get_....

Aufwand ist mir für dieses Script zu hoch, sodass ich es nicht mehr anbiete.

War zum Glück nur eine Demo.

Vielen Dank für die Hilfe an alle.


Grüße
 
4L4L ist offline Threadstarter   Mit Zitat antworten
Alt 05.05.2009, 21:27:12   #6 (permalink)
pfff (¬_¬)ノ
Benutzerbild von D_Blade

ID: 316129
Lose-Remote

Reg: 31.03.2008
Beiträge: 7.441
Standard

Aber nur so nebenbei...

gibt es nicht schon das Script in einer 3.1 Version?
Hier sollte Werbung oder sowas stehen, aber mir fällt nix ein ~ ᶘ ᵒᴥᵒᶅ
D_Blade ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Luxusmailer oder Starmail Davdy Paid4 - News & Infos 3 05.05.2008 03:26:33
[V] Luxusmailer / Starmail 2.0 = 3,5 Mio xhax1988 Lose4Scripts (erledigt) 6 29.11.2007 23:11:17


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:56:17 Uhr.