spamspamspamspam
Tja, Johnny hats vor ein paar Tagen erwischt. Servermißbrauch! Gestern war ich dran.
Das Taxiblog hat Spam versendet. Und das Ganze ohne mein Wissen und ohne meine Einwilligung. Böses Blog!
Während 1&1 den gekaperten Rechner erstmal stillgelegt hat und eine “Unterlassungserklärung” mit fiesen Strafgeldandrohungen unterzeichnet bekommen haben wollte, lief hier zum Glück der “kleine Dienstweg” ab.
Mein Provider iquer.net hat fix alle vom Server verschickten Mails geblockt und mich angerufen. Gemeinsam hatten wir innerhalb von fünf Minuten das schuldige Plugin identifiziert und entfernt. Downtime: Null Minuten!
Schuldig war übrigens “wp-contactform” von Ryan Duff, daß bis zur Version 1.3 als Spamversender mißbraucht werden konnte.
Und was lernt uns das? Immer fleißig drauf achten, welche Plugins installiert sind und gegebenenfalls das Update aufspielen. Erspart eine Menge Ärger!
Und: ein guter Webhoster ist Gold wert.
7. Februar 2006 um 08:02
Tja, 1und1 – Die Götter des Webspaces. Da zahlt man 12,99 € im Monat und hat gerade mal 2 SQL Datenbanken. Wenn man dann eine SQL Datenbank anlegen will springt einem folgender Satz entgegen:
Danke das man das erst sieht wenn man den Vertrag hat.
Ich bin mit meinen Domains bei 1und1 und meinen Server bei server4you.
Das ist eine Mischung die passt.
7. Februar 2006 um 09:21
[...] Torsten vom taxiblog (btw: sehr zu empfehlen) hat unfreiwillig bewiesen, was eigentlich logisch erscheint: Update = neuere Version = besser. In diesem Fall handelte es sich um das WP-Plugin “wp-contactform“, über welches bis zur Version 1.3 Spamversand von externer Seite aus möglich war. Genau das ist ihm passiert, und er ist nicht der Erste. [...]
7. Februar 2006 um 17:52
Wie jedoch auch auf Spreeblick zu lesen ist:
(http://www.spreeblick.com/2006/02/01/spreebli...) “Max konnte zumindest sehen, dass der Server tatsächlich gehackt worden war, 1&1 hat also komplett richtig gehandelt, indem der Server abgeschaltet wurde. Massig illegales Videozeugs lag auf dem Rechner…”
hat 1&1 absolut richtig gehandelt….!
7. Februar 2006 um 18:44
@Michael: Richtig gehandelt mit der Abschaltung: Ja. Das ganze Hickhack mit “erst unterschreiben, sonst kommen Sie nicht mehr an Ihre Daten” finde ich albern.
7. Februar 2006 um 20:39
Also ich finde Unterlassungserklärung auch albern, den gemacht hat Spreeblick ja nichts, die sind ja selbst nur Opfer.
Vor allem lässt sich sowas nie 100% ausschließen, also das der Server wieder gehackt wird.
Stellen ma uns mal vor es gibt da noch ein Sicherheitsloch in WordPress und das wird von Spammern oder Warez Gruppen genutzt bevor es öffentlich bekannt ist (Derjeniger der es entdeckt hat hats verkauft, sowas ist ja bei der WMF Lücke auch passiert). Mit etwass Pech nutzen die dann deren Server, obwohl dem Besitzer dann keinerlei nachlässigkeit vorzuwerfen ist.
Also ich hätte da keinen Bock drauf mich mit 1&1 da um die Vertragsstrafe zu streiten.
Wobei mir dazu noch einfällt wo da der Schaden bzw. die Höhe bei 1&1 ist, also auf Beschwerde oder Monitoring reagieren und Server ausknipsen inkl. Rücksprache mit dem Kunden da sehe ich mal keinen Aufwand von 5K EUR.
Was den Traffic angeht, der ist dort ja eh inklusvie, da sehe ich dann auch mal keinen Schaden.
8. Februar 2006 um 12:42
wie soll man das eigentlich jetzt verstehen?!
Wurde deren Server gehackt und für Französische Porn.. – äh Gingong Filme misbraucht
UND
wegen “wp-contactform” mit Mails überflutet?
oder doch nur das erste?
Untersuch deinen Server am besten auch mal;)
8. Februar 2006 um 13:29
Das waren 2 unterschiedliche Sachen, bei Spreeblick konnte wohl beliebiger Code über ein Loch in einem phpBB ausgeführt werden.
Beim Thorsten konnte über den Bug in dem wp-contact Plugin “nur” beleibige Mails versendet werden. Es konnte und wurde also Spam über seinene Account verschickt.
Gemeinsamkeit ist denke ich mal, das beide benutzt wurden um böse Dinge zu tun.
8. Februar 2006 um 13:41
eine grammatische Sache: ist es nicht “der Blog”? z.B. böser Blog statt böses Blog?
8. Februar 2006 um 18:26
@Joachim: Eine Korrektur noch… T(h)orsten schreibt man hier mit ohne H! Menno!
@kyla: Instinktiv würde ich für “das Blog” stimmen. Googlefight.com unterstützt meine Meinung mit sehr wechselnden Zahlen: Googlefight-Ergebnis. Letztlich geklärt ist das Thema allerdings noch lange nicht, duden.de hält sich da leider raus.
8. Februar 2006 um 18:39
Solche Meldungen lösen doch immer panikartige Schweißattacken aus. Musste ich, der übrigens auch eine Update-Faule-Sau ist, doch erstmal meine eigene Contact-Form-Version kontrollieren…
Unschöne Sache sowas. Gibt es eigentlich irgendwo ein Örtchen auf dieser Welt, wo man seine Ruhe hat?
9. Februar 2006 um 10:32
Dein Zuhause, vorzugsweise dein Klo natürlich? Du bringst auch dein Auto zum TÜV und warum machst du das? Weil es dich sonst Geld kostet, richtig?
9. Februar 2006 um 10:39
@Erik: Bei meinem Auto kommt aber auch nicht ständig einer an und will Selbstschußanlagen installieren. Vergleich->Rollstuhl?
10. Februar 2006 um 01:14
Da muss ich jetzt aber mal 1&1 verteidigen – ich hatte mit denen noch nie Probleme. Auch nicht, als zweimal innerhalb eines Monats PHP-Skripte zum “in den Server haken” genutzt wurden (zwei verschiedene wohlegemerkt). Mir wurde freundlich geholfen, die Ursache zu beseitigen und erledigt wars.
30. April 2006 um 05:31
[...] Tja, nachdem die Jungs von hier, hier, hier und hier es auch nach fast 6 Wochen nicht geschafft haben, ihre Versprechungen einzuhalten, ist es also soweit. [...]