E-Mail Angriff

[Tommy Herrmann]

Wichtiger Hinweis:

ich hatte ja vor einigen Tagen große Schwierigkeiten mit dem E-Mail-Versand über unser Forum und musste dabei auch feststellen, dass sich niemand mehr nach dem Registrieren freischalten konnte.

Das habe ich erst nach einigen Tagen bemerkt, da es keine Fehlermeldungen beim Versand von E-Mail diesbezüglich gab, so wie ich bereits hier berichtet hatte:

viewtopic.php?t=1281

Erst im Administrator-Protokoll meines Forums habe ich dann Fehlermeldungen entdeckt, die ich aber zunächst auch nicht zuordnen konnte.

Es wurden keinerlei E-Mails mehr versendet - und das ohne einen Hinweis auf einen Fehler.

Nun habe ich heute meine Formulare auf meinen Tutorial-Seiten überprüft und musste feststellen, dass sämtliche Formulare mit direktem PHP-Mail Versand, wie eben auch alle Formulare, die ich über den "Formular-Generator" von Werner-Zenk.de erstellt habe (und das sind Dutzende), nicht mehr funktionieren

... da mein Provider "1&1 IONOS" aus Sicherheitsgründen nur noch den Versand über ein E-Mail-Konto zulässt - also dann eben nur noch über den Ausgangsserver "SMTP".

Bei "1&1 IONOS" ist das der Server:

smtp.ionos.de

mit dem Port: 587

Bisher ging das alles bei mir über "1&1 IONOS" reibungslos. Das muss also innerhalb der letzten Tage umgestellt worden sein, bzw. der direkte Versand über PHP-Mail abgestellt worden sein.

Man muss somit also nun auch seinen Benutzernamen (seine E-Mail-Adresse) und sein Passwort dazu eintragen, eben so wie auch bei einem Mail-Programm wie z.B. "Outlook".

Ich habe nun an Werner geschrieben und hoffe auf eine Lösung.

Der Formular-Generator ist weiterhin über den "PHPMailer" zu verwenden aber eben bei meinem Provider "1&1 IONOS" nicht mehr über einen direkten Versand.

Ich habe daher mein Kontakt-Formular soeben mit meinem Mail-Programm von "Arclab" neu erstellt:

https://www.mobirise-tutorials.com/Formular/

Alle meine "Arclab" Beispiel-Formulare hatten genau das gleiche Problem, da ich diese vor Jahren alle mit dem direkten PHP-Mail-Versand erstellt hatte.

Alle meine "Arclab" Formulare habe ich aber soeben bereits mit "SMTP" angepasst.

[Tommy Herrmann]

Moin,

ich habe neu Erkenntnisse. Ich bin Opfer eines Spam-Bots Hackers geworden, der mit ca. 300 Spam-Mails innerhalb von 10 Minuten sendet.

Keine Ahnung was so etwas soll - das ist der blanke Terror. Da steht ja auch nichts weiter in so einer Spam-Mail drinnen.

Also hat IONOS mein E-Mail Konto gesperrt. Alles was nicht über "SMTP" gesendet wird kommt also nicht mehr an.

Sobald die Sperrung aufgehoben wird, kommen gleich Hunderte von neuen Mails an - alle aus China.

Damit ist nun ausgerechnet meine wichtigste E-Mail Adresse betroffen, die alle kennen und die ich auch überall in Scripten, wie z.B. jenen von Werner-Zenk.de, verbaut habe.

Daher erhalte ich im Moment von diesen Scripten keine E-Mails mehr, da der einfache Mail-Empfang erneut von IONOS gesperrt werden musste.

Der Support arbeitet an dem Problem.

[Tommy Herrmann]

Ich habe jetzt, aufgrund der Log-Datei vom Provider IONOS, 124.000 (einhundertvierundzwanzigtausend) Zugriffe auf ein einziges Kontakt-Formular von mir an einem einzigen Tag ausmachen können

Alle IPs sind aus China ...

Ich habe dieses Formular vorerst gelöscht.

Kann aber erst am Montag mit der Technik von IONOS telefonieren (sie sind am Wochenende nicht verfügbar), die dann die Sperrung aufheben können.

Erst dann kann ich mit Sicherheit sagen, ob es dieses Formular auch war.

[stobi_de]

Ich hatte zuletzt den Fall, dass scheinbar ein interner Virus bei Amazon tätig war.
Im Abstand von 5 Minuten wurden über mein Konto 100-Euro Gutscheine für ein Online-Spiel gekauft.
Ich hatte das sehr schnell gemerkt und sofort meine Bankverbindung gelöscht, dabei habe ich festgestellt, dass in meinem Amazon-Konto eine neue Bankverbindung einer Bank im Odenwald eingetragen war.
Nach einem Anruf dort konnte man die Existenz diesen Kontos zwar nachweisen, aber da es nicht mein Konto war, wurde es auch nicht gesperrt.
Danach dauerte es Wochen, bis ich keine Mahnungen von Amazon mehr erhielt, doch endlich die 148000 Euro zu zahlen.
Bei Amazon konnte man das nachvollziehen, aber auch hier scheint die linke Hand nicht zu wissen, was die rechte macht. Also kamen ständige Briefe von Anwälten Amazons, dass ich umgehend zu zahlen hätte.

Sehr unangenehm

[Tommy Herrmann]

Nachtrag zu meinem Hacker Erlebnis:

... jetzt geht wieder alles. Sämtliche Scripte und alle Formulare.

IONOS hatte mir alle PHP Mail(), egal mit welcher meiner E-Mail Adressen, gesperrt und gerade eben wieder freigeschaltet.

Ich konnte das Formular, das der Spambot verwendet hat, über die Log-Datei von IONOS ausfindig machen und löschen.

Zuvor hatte ich ca. 50 alte NOF-Formulare gelöscht - das hätte ich nicht machen brauchen. Ist mir jetzt aber egal - die braucht keiner mehr.

Es war ein Formular mit einer einfachen Rechenaufgabe als Spamschutz. Ich habe jetzt bereits verschiedene andere Formulare in eine "Buchstaben" Abfrage geändert und auch eine Floodsperre zusätzlich eingebaut.

Ich hätte nicht gedacht, dass Spambots diese Rechenaufgabe lösen können oder wie machen die das?

Der Spambot hat mir über eine Woche lang täglich ca. 100.000 (einhunderttausend) E-Mails gesendet

Das ist mehr als eine Mail pro Sekunde, denn der Tag hat bekanntlich 86400 Sekunden Die kamen teilweise im 10er Päckchen

... und mit ständig wechselnden IPs (Tausende verschiedener IPs) - allerdings alle aus Hongkong (China).

Sage und schreibe fast 1 Millionen mal gesendet

[Tommy Herrmann]

... dass in meinem Amazon-Konto eine neue Bankverbindung einer Bank im Odenwald eingetragen war.

Oh Mann - das ist ja schrecklich

Da ist aber dann jemand mit Deinen Zugangsdaten bei Amazon rein.

[Tommy Herrmann]

Ich möchte hier noch eine für mich neue und recht interessante Erkenntnis bezüglich meines Massen-Spams nachtragen.

Ich habe eben gerade nochmals mit "1&1 IONOS" diesbezüglich telefoniert.

Da ich das betroffene Kontakt-Formular ja am Sonntag finden konnte und es sofort gelöscht habe, bekam ich seither auch keine Spam mehr, bzw. meine PHP Mail() wurde wieder freigeschaltet und alles ist (im Moment) auch in Ordnung.

Allerdings macht der Spambot unbeirrt weiter, was man an den Log-Dateien von "IONOS" sehen kann, obwohl das Formular nun ja gar nicht mehr existiert.

In der Log-Datei von IONOS stehen um die 140.000 Einträge (35-40MB) pro Tag vom Spambot

Das ist ein riesen Datenvolumen, dass da nun vielleicht die nächsten 100 Jahre täglich anfällt, solange der Spambot nicht abgestellt wird.

Hätte ich eine Speicherung der Mails bei "IONOS" beantragt, würde ich jetzt richtig viel bezahlen müssen. Und bloß gut, dass ich die Mails auch nicht in eine Datenbank schreibe und archiviere.

Es ist auch dadurch fast unmöglich noch die normalen Einträge in dieser Log-Datei zu lesen, man findet ja bei der Menge an Einträgen nichts mehr.

Deswegen rief ich heute dort nochmals an - da kann aber auch IONOS absolut gar nichts gegen tun

[Wolfgang Z]

Hallo Tommy,

ist aber schon bedenklich, dass da selbst der Provider IONOS nichts gegen diesen Spambot
tun kann.

Das tägliche ankommende Datenvolumen von diesem Spambot in einen Temp-Ordner umleiten/weiterleiten,
der dann täglich automatisiert gelöscht werden kann - nur so eine Idee. . .

Aber Hauptsache du hast das Problem gelöst und es kehrt wieder etwas Ruhe ein.

Viele Grüße
Wolfgang

[Tommy Herrmann]

Moin Wolfgang,

man kann nichts aus einer Log-Datei umleiten oder verhindern, dass es in der Log-Datei eben hinterlegt wird.

Genau deswegen gibt es ja Log-Dateien, die eben alles protokollieren, was auf einer Webseite passiert - alles aber auch wirklich alles.

Mails kommen ja auch gar keine mehr an, derweil die URL zu dem gelöschten Formular gar nicht mehr existiert.

Ein einzelner Eintrag von diesem Spam-Bot kann z.B. so aussehen. Bei den weit über 100.000 täglichen Einträgen wechselt aber die IP und andere Daten auch ständig - allerdings kommen alle IPs aus Hongkong, wie eben jene in diesem Beispiel:

https://www.whtop.com/de/tools.ip/182.16.21.0

Im Beispiel von heute Morgen um 10:41 Uhr sieht man auch, dass längst über meine .htaccess auf meine Fehlerseite umgeleitet wird, da ja die Seite "kontakt.php" nicht mehr existiert.

Code: Alles auswählen

182.16.21.0 - - [22/Nov/2023:10:41:55 +0100] "GET /Fehler.html HTTP/1.1" 200 14621 
www.mobirise-tutorials.com "https://www.mobirise-tutorials.com/Formular-Generator/kontakt.php" 
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/118.0.0.0 Safari/537.36" "-"

Log-Dateien werden bei IONOS aber auch nur 8 Wochen aufbewahrt und dann automatisch wieder gelöscht. Das enstehende Datenvolumen wird meinem Konto aber nicht zugerechnet.

Mir geht es jetzt nur darum, dass diese riesen Log-Dateien eben nicht vorteilhaft sind, wenn man mal was Wichtiges dort sucht.

[stobi_de]

Ich hatte etwas ähnliches letztens auf der afripix.de Seite, die ich ja schon seit sehr langer Zeit nicht angefasst hatte.
Hier lag noch ein altes Kontaktform mit dem alten php-Mailer von anno dazumal ohne Captcha.
Auch Strato hatte mir die Seite dicht gemacht.
Habe dann einen Captcha eingebaut und erst danach wurde sie wieder freigegeben.

[Tommy Herrmann]

Moin,

ja - und das geht ungebrochen immer so weiter.

Ich habe jetzt mehr als 2 Millionen Zugriffe - täglich über 120.000. Das sehe ich in der "Log" Datei von meinem Provider "1&1 IONOS" - besser gesagt, ich sehe da nichts anderes.

Gesperrt wird da nichts mehr, derweil ich ja dieses Formular gelöscht habe und die Zugriffe ins Leere laufen.

[Tommy Herrmann]

Jetzt hat der Spambot aufgegeben.

Der letzte Versuch war am 26.11.23 um 13:18. Also haben sie erst nach 1 Woche bemerkt, dass es das gehackte Formular gar nicht mehr gibt.

Dafür durchsuchen sie jetzt alle meine Domains nach neuen Formularen, die sie angreifen könnten

Das kann man recht eindeutig aus den Aktivitäten zu Formularen in der Log-Datei erkennen. Diesmal alles IPs, aus Thailand.

Ich hatte vor einer Woche dann auch bei "1&1 IONOS" noch den Service "Site Scan + Repair" für EUR 6.00/Monat dazu gebucht:

https://www.ionos.de/hilfe/sicherheit/s ... bietet-es/

... vielleicht gibt das noch etwas mehr Schutz vor solchen Angriffen.

Im Dashboard kann man dann sehr detaillierte Einsicht nehmen.

Hier wurden übrigens unter "Smart" alle "PHPMailer" als verdächtige Dateien eingestuft und unter Beobachtung gestellt

Beim ersten Scan wurden 26 Dateien "repariert".

Man kann sich dann auch einen Bericht als PDF downloaden:

SiteLock_mobirise-tutorials.com_27Nov2023.pdf

(86.66 KiB) 31-mal heruntergeladen