PDA

Bekijk Volledige Versie : Hack mails naar de server?!?!



Technotop
23/09/05, 09:02
Ik kreeg vandaag een aantal mails achter elkaar die bleken verzonden te zijn via: sales@technotop.nl ??? erg raar.

Verder gaf DirectAdmin een warning van een hack poging (in de logs) maar verder hebben andere security programma's geen alarm geslagen.

Wat zijn dit voor damm mails??!?!

Mail soort 1 (waarvan ik er 5 heb mogen ontvangen):


cxgxr@technotop.nl
Content-Type: multipart/mixed; boundary=\"===============1605558265==\"
MIME-Version: 1.0
Subject: a5d802a0
To: cxgxr@technotop.nl
bcc: PeiCanteenMc@aol.com
From: cxgxr@technotop.nl

This is a multi-part message in MIME format.

--===============1605558265==
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

kvtrkopruv
--===============1605558265==--
Via server1.technotop.nl.

Bericht:cxgxr@technotop.nl

E-mail: cxgxr@technotop.nl


Mail soort 2 (waar ik er 10 van hem mogen ontvangen)



Naam: tdasv@technotop.nl

Adres: tdasv@technotop.nl
Content-Type: multipart/mixed; boundary=\"===============0060604430==\"
MIME-Version: 1.0
Subject: 473ae40a
To: tdasv@technotop.nl
bcc: PeiCanteenMc@aol.com
From: tdasv@technotop.nl

This is a multi-part message in MIME format.

--===============0060604430==
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

uby
--===============0060604430==--


Postcode: tdasv@technotop.nl tdasv@technotop.nl
Woonplaats: tdasv@technotop.nl
E-mail Adres: tdasv@technotop.nl
Zijn pakket:
Domeinnaam: www.
Zijn reactie/opmerking: tdasv@technotop.nl


en dit geeft dan DirectAdmin aan in de logs: (server logs het zelfde)



2005:09:23-03:23:28: ***HACKER WARNING ./data/admin/login.hist has a newline or linefeed in the param value: 213.129.203.41=attempts=2&date=1127438608&username=exwicmvga@technotop.nl
Content-Type: multipart/mixed; boundary="===============0322519228=="
MIME-Version: 1.0
Subject: 225f9271
To: exwicmvga@technotop.nl
bcc: PeiCanteenMc@aol.com
From: exwicmvga@technotop.nl

This is a multi-part message in MIME format.

--===============0322519228==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

soqjkspcvf
--===============0322519228==--



Wtf is dit? Heeft het schade? Hoe kan ik dit verhelpen??!

Digiover
23/09/05, 09:19
Wtf is dit?E-mail Injection in PHP:
http://securephp.damonkohler.com/index.php/Email_Injection
Heeft het schade?Ja, het kan schade doen (spam versturen).

Hoe kan ik dit verhelpen??!
Fatsoenlijk scripten :)

Technotop
23/09/05, 09:27
Origineel geplaatst door Digiover
E-mail Injection in PHP:
http://securephp.damonkohler.com/index.php/Email_InjectionJa, het kan schade doen (spam versturen).

Fatsoenlijk scripten :) \

Script code is goed lijkt mij... ik neem aan dat het hem niet is gelukt.. anders zou ik die mails niet krijgen en ik die ook nergens een log dat er een mail is verstuurd maar die @oal.com mail.

IP is btw al gebanned van de servers.

mmmm snap er nog weinig van..

WH-Tim
23/09/05, 11:59
Wel grappig bedacht van die mensjes. Dacht dat we al ver waren met beveiligen maar ze hebben toch nog een lek gevonden die bij vrijwel alle websites toch nog openstaat :p

Triloxigen
23/09/05, 12:01
Die injection methode's zijn echt al zo oud als internet, dus niks nieuws.

Technotop
23/09/05, 14:36
Origineel geplaatst door Triloxigen
Die injection methode's zijn echt al zo oud als internet, dus niks nieuws.

Niks nieuws nee, snap ik, maar dit is de eerste keer dat ik hier een melding van zie... dus ja :)