[Postfixbuch-users] OT Site gehackt
Uwe Driessen
driessen at fblan.de
Mi Nov 28 14:39:07 CET 2007
Hallo Leute
Bin zur Zeit auf der Spur eines Hacks der eine von mir betreute Seite befallen hat.
Es wurde wie auch immer eine link.php in ein Unterverzeichnis eingeschleust.
Ich habe die Seite kurzerhand auf meinen Server umgeleitet und habe seit heute morgen ca.
3600 Zugriffsversuche auf eine Datei dieses Namens
Damit die nicht wie auch immer ersetzt werden kann habe ich eine eigene mit dem Namen
angelegt die nur noch einen Warnhinweis bringt.
Die Datei wurde leider im der ersten Aufregung einfach nur gelöscht zur Zeit warte ich
darauf das der Admin des Servers diese evtl. noch mal aus einem Backup rekonstruiert und
zu ergründen was da gemacht wurde.
Habt Ihr schon mal etwas ähnliches erlebt?
Aufgefallen ist das ganze weil eine Mail von Spamcop beim Admin des anderen Servers
eingetrudelt war mit folgendem Inhalt
Evtl könnt Ihr damit etwas anfangen bitte versucht NICHT die Datei auf der Seite
aufzurufen dann wird eine Sperre von 10 Stunden verhängt
[ Offending message ]
Return-Path: <nobody at x24.alfaservers.com>
Delivered-To: x
Received: (qmail 83436 invoked by uid 89); 27 Nov 2007 03:08:58 -0200
Received: from x24.alfaservers.com (85.17.169.5)
by mx.internetbrasil.net with ESMTP; 27 Nov 2007 03:08:57 -0200
Received-SPF: pass (mx.internetbrasil.net: local policy designates 85.17.169.5 as
permitted sender)
Received: from nobody by x24.alfaservers.com with local (Exim 4.68)
(envelope-from <nobody at x24.alfaservers.com>)
id 1IwsgX-0006k2-CP
for x; Tue, 27 Nov 2007 06:08:37 +0100
To: x
Subject: Atendimento, Chegou 1 vivo foto torpedo.
From: Vivo Torpedo <vivotorpedo at vivo.com.br>
X-Sender: vivotorpedo at vivo.com.br
From: Vivo Torpedo <vivotorpedo at vivo.com.br>
X-Mailer:PHP 5.05
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Message-Id: <E1Iw_________2-CP at x24.alfaservers.com>
Date: Tue, 27 Nov 2007 06:08:37 +0100
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - x24.alfaservers.com
X-AntiAbuse: Original Domain - mco2.com.br
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - x24.alfaservers.com
<html>
<head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title>Vivo Foto Torpedo</title>
</head>
<body>
<div style="text-align: center;"><img alt=""
src="http://www.vivo.com.br/_sys/_img/1114_header_fototorpedo.jpg "><br>
<font face="Verdana, Arial, Helvetica, sans-serif" size="2"><strong><font
color="#99cc33"><span style="color: rgb(0, 0, 0);"><br>
Você recebeu um Vivo </span><font color="#000000">Foto
Torpedo!</font></font></strong></font><br>
<strong><font color="#000000" face="Verdana, Arial, Helvetica, sans-serif" size="2">Foto
Torpedo enviado do número 011 81136736.<br>
<br>
</font>
</span></font></strong><a
href="http://www.bavaria-ebernburg.de/components/com_zoom/link.php"><font face="Verdana,
Arial, Helvetica, sans-serif" size="3"
color="#0000FF">Visualizar Foto</font><strong><small><font face="Verdana, Arial,
Helvetica, sans-serif" size="2"><br>
</font></small></strong></a><font color="#000000" face="Tahoma" size="1">(90kb / tempo
estimado: 0:50seg)</font><strong><font color="#000000"
face="Verdana, Arial, Helvetica, sans-serif" size="2"><small><br>
<strong><font color="#000000" face="Verdana, Arial, Helvetica, sans-serif"
size="2"><small><br>
<br>
</small></font></strong><font face="Verdana, Arial, Helvetica, sans-serif"
size="2"><strong>
Vivo agora do seu celular para seu e-mail.<br>
</strong></font><small style="color: rgb(51, 51, 153);"><span style="color: rgb(51, 51,
153); font-family: Verdana;"><small><span style="color: rgb(0, 0, 0);
font-weight: bold;">Importante</span>:<span style="color: rgb(0, 0, 102);"><span
style="color: rgb(51, 51, 51);"> Foto Torpedo ficará
disponível na Web durante 7 dias.</span></span></small></span></small>
<p><small><small><span style="font-family: Verdana,Arial,Helvetica,sans-serif;"><span
style="font-weight: bold;">Vivo </span>- Sinal de
qualidade.</span></small></small></p>
<br>
<strong><font color="#000000" face="Verdana, Arial, Helvetica, sans-serif"
size="2"></font></strong></div>
</body>
</html>
--- End of Mail Submission ---
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045 Fax: 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users