Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

phpBB-gehacktes mit Spam

21. Oktober 2009 um 15:02 Uhr von Atari-Frosch

Der neueste Hit: Spammer-Dreisprung.

  1. Man setze eine Website mit dem eigentlich beworbenen Content auf.
  2. Man dringe in Dutzende alter phpBB-Installationen, die bekannte Sicherheitslücken haben, ein, und plaziere dort Foreneinträge, die mit teils großen und bunten Hinweisen auf „18+ material” auf den eigentlichen Content linken.
  3. Man miete sich ein Botnet und verschicke Blog-Kommentare, die jeweils rund 30 Links auf die diversen selbst erstellten Foreneinträge enthalten, garniert mit deutlichen Hinweisen, daß man hinter den Links Material zu Kindesmißbrauch, Sex mit Tieren und ähnliche üble Dinge finden werde (was sich wirklich dahinter befindet, habe ich nicht nachgesehen, denn ganz so neugierig bin ich auch wieder nicht, und Spammern möchte ich keine Visits verschaffen).

So sieht jedenfalls eine neue Spammer-Masche aus, die ich seit Montag beobachte. Von den Kommentaren landete bei mir zwar keiner auf dem öffentlichen Blog, weil sie alle in meine Filter plumpsten, aber im Backend habe ich sie halt doch stehen. Trotz weiterer Einträge in meiner WordPress-Blacklist und der .htaccess kommen immer neue derartige Blog-Kommentare herein, auch wenn es langsam weniger werden.

Die Domain mit dem eigentlich beworbenen Content wechselte in der Zeit zwar auch mindestens einmal (ich überprüfe nicht alle Einträge), aber ich glaube, eine Beschwerde über eine .cn-Domain, die in der Ukraine angemeldet wurde, führt nicht wirklich zum Erfolg.

Erschreckend dabei ist, wie viele alte phpBB-Installationen da noch so in der Weltgeschichte herumfliegen. Betroffen sind insbesondere Universitäten und andere wissenschaftliche Einrichtungen in Thailand, Indonesien, auf den Philippinen sowie in Osteuropa. Haben die alle keine fähigen Admins (mehr)?

Dazu kommen verwaiste private Foren, für die sich schon lange keiner mehr interessiert oder die „nur mal so” installiert worden waren, sowie Foren mit recht obskuren Domainnamen von Marketing bis Esoterik. Die beiden peinlichsten bisher: Eine (britische) trägt das Wort „hackerz” im Domainnamen, ein anderer Domainname soll wohl den Eindruck von digitaler Kompetenz erzeugen.

Und dann ist da noch eine wirklich große, bekannte Website betroffen, aber bevor ich dazu was sage, warte ich erstmal ab, ob und wie der Admin reagiert. Dort wird außerdem vermutlich eine andere Software als phpBB eingesetzt.

Gestern Abend hatte ich aus den Spam-Kommentaren 34 Domains herausgefischt. Davon konnte ich 32 Foren-Admins bzw. Hoster (via IP-Adresse zur Domain/Subdomain) ermitteln und habe diese angeschrieben. Zu einem Eintrag konnte ich gar keine Mailadresse finden, und eine der bespammten Domains existiert überhaupt nicht. Reaktionen bisher: Zwei private, ungenutzte Foren wurden plattgemacht, und ein paar größere Hoster schickten automatische Antworten. Ein ebenfalls großer Hoster fragte nach einem Beispiel — das war zwar schon in der ursprünglichen Mail, aber die Kunst des Lesens ist halt nicht jedermanns Sache.

So nebenbei gelernt:

  • Das NIC für Ghana ist ziemlich kaputt und wirft bei einer Domainabfrage mit einer ganzen Ladung mysql-Fehlermeldungen; offenbar kann das Web-Frontend nicht auf die Datenbank zugreifen.
  • Das NIC für die Philippinen kann nur über eine Website abgefragt werden, jedoch existiert diese Website, die ich bei einer whois-Abfrage auf der Konsole genannt bekomme, anscheinend überhaupt nicht; hier habe ich die IP-Adressen zu den Hostnamen abgefragt und die Hoster angeschrieben, in deren Verantwortungsbereich die jeweilige IP liegt.
  • Erstaunlich viele Admins haben ihre Mailadressen bei Yahoo oder GMail. Noch erstaunlicher finde ich jedoch, daß zwei dieser Admins am schnellsten reagiert haben: Das waren die ersten beiden Foren, die offline gingen.

Heute geht's weiter mit den Mails an Admins und Hoster. Mit nur drei neuen durchgekommenen Blog-Kommentaren kamen heute Nacht Links auf 15 weitere Domains mit gehackten phpBB-Installationen herein. Stay tuned ...

3 Kommentare zu “phpBB-gehacktes mit Spam”

  1. Dunkelangst quakte:

    Das ist ja sehr erstaunlich:

    Auch ich konnte in meinem Backend diese neue Masche der Spammer beobachten. Es war, genau wie du sagtest, ein phpBB Forum betroffen in dem dann Werbung für irgendeinen Schwachsinn gemacht worden ist. Das Forum selbst wurde vorher vollgespamt und nach dem erfolgreichen Angriff auf das Forum wurde mir dann der Blog Kommentar (dir wohl ein paar mehr) zugeschickt.

    Seit Sonntag habe ich den Page Restrictor in Betrieb [1] und es kam nur dieser ein beschriebene Spam Kommentar durch, der dann allerdings vom Antispam Bee WordPress Plugin erwischt worden ist. In dem ähnlichen Zeitraum hatte ich bisher immer so 10 bis 15 Spam Kommentare in sofern bin ich von der Leistungsfähigkeit des Page Restrictors [2] hocherfreut. Einen False-Positive habe ich inzwischen schon registriert und zur Zeit arbeite ich an einer Problemlösung. Hiervon ist allerdings nicht direkt mein Blog betroffen.

    Mein Fazit ist jedenfalls ganz klar:
    Ich kann den Page Restrictor weiter empfehlen und finde es überaus erfreulich, dass ich die Bot-Kommentare nun nicht nur löschen brauche, sondern dass ich jetzt auch in der Lage bin den Spammer aktiv zu jagen. :mrgreen:

    [1]: http://www.dunkelangst.org/2009/10/18/und-tschuss-spammer/
    [2]: http://www.bot-trap.de/


  2. dunkelangst.org der private Blog von H. Roewer quakte:

    […] phpBB-gehacktes mit Spam (nachträglich hinzugefügt) Kommentar oder Trackback hinterlassen RSS 2.0 […]


  3. Dunkelangst quakte:

    Ich berichtige mich an dieser Stelle einmal:
    Den Page Restrictor kann ich nicht weiter empfehlen. Siehe [1].

    [1]: http://www.dunkelangst.org/2009/10/18/und-tschuss-spammer/