Current time: 11-24-2024, 06:55 AM Hello There, Guest! (LoginRegister)


Post Reply 
1-900hustler
Author Message
2_fast4_you Offline
Junior Member
*

Posts: 10
Joined: Feb 2010
Reputation: 0
Post: #1
1-900hustler
Hi

ich hab folgendes Problem!

Heute um 9 Uhr wollte ich meine emails aktualisieren und merkte, dass irgendwas faul ist, weil über 900 undelivered meldung im posteingang waren.

Darauf schaute ich über ssh meine mail log an und stellte fest, das ich Opfer einer Spamschleuder geworden war, darauf hab ich sofort postfix beendet und mich auf die Suche begeben.
Als erstes Überprüfte ich von welcher email das alles aus ging und fand sie schließlich
webmaster@bv......de
darauf überprüfte ich meine Website und stellte fest, das jemand über eine Sicherheitslücke in Joomla 1.5 ein mailspammer hochgeladen hatte
1-900hustler.php

Daraufhin überprüfte ich die access-log.txt
und stellte fest das er immer wieder eine inc.php im standart verzeichnis aufgerufen hatte

Code:
41.124.164.63 - - [02/Jul/2011:18:00:31 +0200] "GET /inc.php HTTP/1.1" 200 112 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:35 +0200] "GET /favicon.ico HTTP/1.1" 200 1148 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:36 +0200] "POST /inc.php HTTP/1.1" 200 4877 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:02 +0200] "POST /inc.php HTTP/1.1" 200 4956 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:13 +0200] "GET /1-900hustler.php HTTP/1.1" 200 1007 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"

Jetzt brauche ich eure Hilfe, denn das Löschen dieser Dateien hat ja nicht sehr viel Sinn, weil ja die Lücke weiterhin besteht. Desshalb möchte ich von euch wissen, was diese Sicherheitslücke ist und wie ich sie schließen kann.

mfg
Tobi
07-05-2011 01:02 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Messages In This Thread
1-900hustler - 2_fast4_you - 07-05-2011 01:02 AM
RE: 1-900hustler - Borschti - 07-05-2011, 02:50 AM
RE: 1-900hustler - 2_fast4_you - 07-05-2011, 03:36 AM
RE: 1-900hustler - piccolo - 07-05-2011, 05:34 AM
RE: 1-900hustler - 2_fast4_you - 07-05-2011, 02:02 PM
RE: 1-900hustler - Knut - 07-05-2011, 02:37 PM

Forum Jump:


User(s) browsing this thread: 1 Guest(s)