Home » Allgemeines Security Forum » Wiederholende 'This is an enquiry e-mail ...' Kontakt eMails » Themenansicht

Wiederholende 'This is an enquiry e-mail ...' Kontakt eMails
#0
19.07.2009, 22:44
framp
Member
Avatar framp

Beiträge: 326
#1 Immer wieder bekomme ich

Code

This is an enquiry e-mail via http://www.linux-tips-and-tricks.de from:
kzsudie <iwhoyu@iyzfax.com>

IeyZnu  pyutfgyqdmsu, [url=http://cugxsxnvjbkp.com/]cugxsxnvjbkp[/url], [link=http://lvkmndeaffqd.com/]lvkmndeaffqd[/link], http://sbfzekoisybi.com/
eMails bei meiner Webseite.

Sie werden offensichtlich über das Standard Kontaktformular bei Joomla erzeugt. Was mich wundert ist, dass es die Webseiten, auf die verwiesen wird, nicht gibt und ich frage mich welche Absicht die Sender mit diesen KontaktEinträgen beabsichtigen. Die Einträge werden nicht publiziert, d.h. der LinkCounter auf die Webseiten wird nicht erhöht - und machen auch keinen Sinn, da die Webseiten nicht existieren.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
19.07.2009, 23:00
Gool
Member
Avatar Gool

Beiträge: 4730
#2 Das ist gewöhnlicher Spam. Evtl. hat der Spammer das Mail-Formular bei linux-tips ausgenutzt (Deine Webseite? Dann prüfe nach Sicherheitslücken!), um diese Mails zu verschicken. Die Domains haben oft nur eine kurze Lebensdauer und/oder sind noch gar nicht registriert. Auf jeden Fall sollte man da aufpassen, da sich auf diesen Seiten durchaus Malware befinden könnte (wobei das eher die Windows-Nutzer betrifft)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.07.2009, 20:27
framp
Member

Themenstarter
Avatar framp

Beiträge: 326
#3

Zitat

Gool postete
Das ist gewöhnlicher Spam. Evtl. hat der Spammer das Mail-Formular bei linux-tips ausgenutzt (Deine Webseite? Dann prüfe nach Sicherheitslücken!),
Das habe ich schon geprüft. Alles in Butter.

Zitat

... Die Domains haben oft nur eine kurze Lebensdauer und/oder sind noch gar nicht registriert. Auf jeden Fall sollte man da aufpassen, da sich auf diesen Seiten durchaus Malware befinden könnte (wobei das eher die Windows-Nutzer betrifft)
Ich frage mich was der Spammer damit bezweckt. Eine KontakteMail bekommt nur der WebseitenAdmin (also ich) und dann sind die Webseiten nur kurz da. Das macht für mich einfach keinen Sinn. Aber es scheint irgendeine Absicht damit verbunden zu sein, denn ich bekomme ca 3 Mal pro Monat so einen Besuch.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
21.07.2009, 09:34
Gool
Member
Avatar Gool

Beiträge: 4730
#4 Möglicherweise versucht derjenige, bestimmte Lücken in diesen Mail-Scripts auszunutzen. Es ist höchstwahrscheinlich auch ein automatisierter Aufruf über irgendein Programm, welches noch weitere Parameter (wie bspw. eine alternative Empfängeradresse) mitgibt, die dann nur vom Script selber ausgefiltert werden. Evtl. ist es sinnvoll, das Script so zu modifizieren, dass noch der Referer geprüft wird, um zu verhindern, dass von extern irgendein Programm das Script automatisiert nutzen kann. Eine sichere Alternative wäre sicherlich auch der Einbau einer CAPTCHA-Prüfung.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
29.09.2010, 22:27
framp
Member

Themenstarter
Avatar framp

Beiträge: 326
#5 So langsam nervt es wirklich. Vielleicht hilft es wenn ich mal die gesamte eMail poste, wobei ich gewisse Info mit * maskiert habe ;-) :

Code

Return-Path: <vu9344@hsp-52.hspserver.com>
X-Original-To: *****@framp.de
Delivered-To: *****@framp.de
Received: from localhost (localhost [127.0.0.1])
    by hsp-52.hspserver.com (Postfix) with ESMTP id 2A41F309C02E
    for <*****@framp.de>; Wed, 29 Sep 2010 22:18:40 +0200 (CEST)
Received: from hsp-52.hspserver.com ([127.0.0.1])
    by localhost (hsp-52.hspserver.com [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id rluSn4bWBuc7 for <*****@framp.de>;
    Wed, 29 Sep 2010 22:18:36 +0200 (CEST)
Received: by hsp-52.hspserver.com (Postfix, from userid 9344)
    id A5AC6309C02D; Wed, 29 Sep 2010 22:18:36 +0200 (CEST)
To: framp@linux-tips-and-tricks.de
Subject: Framp's Linux Tips und Beispielkonfigurationen: fGAFAbsKEz
Date: Wed, 29 Sep 2010 22:18:36 +0200
From: mlerkvwi <rkpalp@kyhzrl.com>
Message-ID: <355a0c1139a07c1f4a34c46a802fb1e1@www.linux-tips-and-tricks.de>
X-Priority: 3
X-Mailer: PHPMailer [version 1.73]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="iso-8859-1"

This is an enquiry e-mail via http://www.linux-tips-and-tricks.de from:
mlerkvwi <rkpalp@kyhzrl.com>

ydifwK  pjfgiujybtbd, [url=http://udppuucanhzd.com/]udppuucanhzd[/url], [link=http://fiivjcodccuz.com/]fiivjcodccuz[/link], http://rdcuvgbhpiyb.com/

Irgend einen (möglichen) Nutzen scheint diese eMail ja schon zu haben ... ich möchte nur wissen welchen - und diese eMails abstellen. Ich mag es nicht wenn man immer wieder an meiner (Website)Türklinke rüttelt ...
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Dieser Beitrag wurde am 30.09.2010 um 15:30 Uhr von framp editiert.
Seitenanfang Seitenende
30.09.2010, 00:41
Gool
Member
Avatar Gool

Beiträge: 4730
#6

Zitat

framp postete
Irgend einen (möglichen) Nutzen scheint diese eMail ja schon zu haben
Ja, jedenfalls für den Spammer. Hast Du das Script immer noch nicht abgesichert?

PS: einmal hast Du das maskieren aber noch übersehen ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
30.09.2010, 15:35
framp
Member

Themenstarter
Avatar framp

Beiträge: 326
#7

Zitat

Gool postete

Zitat

framp postete
Irgend einen (möglichen) Nutzen scheint diese eMail ja schon zu haben
Ja, jedenfalls für den Spammer. Hast Du das Script immer noch nicht abgesichert?
Nein, es ist Standard beim Joomla (-> http://www.linux-tips-and-tricks.de/index.php/Contact/framp.html) und da es keinen Schaden anrichtet ausser mir diese eMails zu schicken, habe ich nichts getan. Ein CAPTCHA wird da auch nicht angeboten.

Zitat

PS: einmal hast Du das maskieren aber noch übersehen ;)
Danke für den Hinweis. Ist jetzt korrigiert ;-)

Du meinst also ich sollte die StandardJoomlaKontaktSeite einfach deaktivieren und irgendein anderes JoomlaModul mit CAPTCHA reinhängen - richtig? Kennst Du zufällig eins bei Joomla?
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
01.10.2010, 23:04
framp
Member

Themenstarter
Avatar framp

Beiträge: 326
#8 Fürs Protokoll

... die Joomla Contact Feature ist nun deaktiviert ... und damit ist jetzt Ruhe im Karton

Wenn die Besucher etwas Kreativität aufbringen können sie auch anders mit mir Kontakt treten ...
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1