gerade bekomme ich vom Provider folgende Nachricht:
Is grad ganz frisch, d.h. ich bin erst noch dran nachzuvollziehen was/wie passiert ist.. stay tuned.Von: technik@domainfactory.de
Datum: 3. Juni 2007 19:58:38 MESZ
Betreff: Spam über PHP-Datei //
Sehr geehrter Herr ...,
leider mussten wir feststellen, dass Ihr Script von Dritten missbraucht wurde um unerwünschte E-Mails über unsere Systeme abzusetzen.
Da wir als Webhoster jedoch Spam jeglicher Art ablehnen und dementsprechend auch nicht Ursprung von Spam sein möchten, mussten wir sofort reagieren und Ihr Script umbenennen:
/kunden/....../domain.de//redaxo/include/addons/import_export/pages/index.inc.php
Dies haben wir in Ihrem Fall getan.
Ist Ihnen die oben genannte Datei unbekannt oder sollte diese Datei niemals für einen E-Mailversand gedacht gewesen sein, so könnte dies die Folge eines Angriffs auf Ihre Webseite sein.
... etc.
*update*
Yo, wies scheint tatsächlich ein exploit über addons/import_export/pages/index.inc.php. Bei Domainfactory ist allow_url_fopen standardmäßig auf on.. Angriff erfolgte über nen include eines externen scripts das zunächst den absoluten Pfad ermittelt: http://www.dgsport.be/components/res.txt und danach über ein massmailer script das ausgeführt wird: http://tha-design.de/kmatic/v2/images/CMD.TXT
Wie die präparierten URLs konkret aussehen poste ich hier jetzt mal besser nicht.. ;-)
Werd jetzt mal flugs bei allen von mir betreuten Domains die PHP Einstellungen entsprechend anpassen und dann weitersehn..
Jan