Drupal X-Mailer - Ich erhalte merkwürdige Emails
Eingetragen von SilverSunrise1981 (60)am 28.06.2012 - 13:35 Uhr in
Hallo liebe Forumsmitglieder,
ich betreibe seit einigen Jahren die Website http://www.magicofword.com und habe diese vor kurzem auf Drupal 7.x upgegraded.
Seit einigen Tagen erhalte ich unter der Email Adresse info(at)magicofword.com Emails, deren Sinn ich nicht ganz verstehe. Ich muss dazu sagen, dass ich zwar ein Drupal Anwender bin, jedoch nicht über große Expertenkenntnisse verfüge.
Die Emails haben folgenden Inhalt (Email Adressen wurden von mir geändert):
"
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
abcbeispiel(at)mail15.com
SMTP error from remote mail server after RCPT TO::
host mx.qip.ru [62.141.94.151]: 550 User banned
------ This is a copy of the message's headers. ------
Return-path:
Received: from wp1048090 by vwp4712.webpack.hosteurope.de running ExIM with local
id 1Siv1U-00033w-Tl; Mon, 25 Jun 2012 00:11:12 +0200
Date: Mon, 25 Jun 2012 00:11:12 +0200
Message-Id:
To: abcbeispiel(at)mail15.com
Subject: =?UTF-8?B?S29udG9kZXRhaWxzIGbDvHIgSmVzc2ljYUhhcnRtYW4zNSBhdWYgbWFnaWNvZnc=?= =?UTF-8?B?b3JkLmNvbQ==?=
X-PHP-Script: www.magicofword.com/index.php 91.201.64.16
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed; delsp=yes
Content-Transfer-Encoding: 8Bit
X-Mailer: Drupal
From: info(at)magicofword.com
"
Kannn mir jemand erklären, warum ich diese Emails erhalte? Was ist der Drupal X-Mailer?
Kann es sein, dass sich Dritte Zugang zu meiner Drupal Installation verschafft haben und diese nun für Spam Mails missbrauchen?
Ich freue mich auf euer Feedback bzw. euren Rat.
Schon mal im Vorraus herzlichen Dank!!
Falls ihr noch weitere Infos benötigt, könnt ihr mir gerne eine Nachricht zukommen lassen.
- Anmelden oder Registrieren um Kommentare zu schreiben
Update: heute habe ich auch
am 30.06.2012 - 10:18 Uhr
Update:
heute habe ich auch Emails mit folgendem Inhalt bekommen (Email Adressen verändert):
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
beispiel@hotmail.com
Reporting-MTA: dns;COL0-MC1-F47.Col0.hotmail.com
Received-From-MTA: dns;vwp4712.webpack.hosteurope.de
Arrival-Date: Sat, 30 Jun 2012 00:08:04 -0700
Final-Recipient: rfc822;beispiel@hotmail.com
Action: failed
Status: 5.5.0
Diagnostic-Code: smtp;550 Mailbomb Target
Was bedeutet das (Mailbomb Target)?
Jemand hat Deine Mailadresse
am 30.06.2012 - 10:38 Uhr
Jemand hat Deine Mailadresse als Absender für Spam benutzt und Du bekommst jetzt darauf eine Response. Weiteres in diesem Artikel.
Beste Grüße
Werner
Hallo Werner, vielen Dank für
am 30.06.2012 - 12:02 Uhr
Hallo Werner,
vielen Dank für deine prompte Antwort.
Ich habe mich auch gleich ein wenig in den Artikel eingelesen. Leider verstehe ich ihn nicht so richtig.
Hat jemand einfach meine Email Adresse als Absender angegeben oder verschickt er die Emails tatsächlich über meinen SMTP Server? Wenn das letztere der Fall ist, wie bekomme ich das Problem in den Griff? Emails, die ich über meine Email Adresse versende, werden bereits von manchen Email Providern als Spam eingestuft. Das ist nicht gut...
Vielen Dank für deine Hilfe!
Hallo nochmals, ich habe nun
am 30.06.2012 - 14:55 Uhr
Hallo nochmals,
ich habe nun eine Antwort von meinem Hosting Provider bekommen:
-->Anscheinend werden die E-Mails über Ihren Server gesendet:
X-PHP-Script: www.magicofword.com/index.php 91.201.64.16
Die IP 91.201.64.16 ist aus Russland:
http://www.dnsstuff.com/tools?runFromMain=91.201.64.16&toolType=ipInform...
Entweder es gibt eine Sicherheitslücke in dem CMS oder es wird einfach über Ihr Kontaktformular gesendet.
Nun ist die Frage, ob eine Sicherheitslücke bei Drupal bekannt ist. Weiß da jemand vielleicht Bescheid?
Das Kontaktformular könnte ich ja über Captchas absichern, oder weiß da jemand eine bessere Lösung?
Vielen Dank für euer Feedback!
Ich bin gerade über folgenden
am 30.06.2012 - 23:08 Uhr
Ich bin gerade über folgenden Artikel gestolpert:
http://www.wisegeek.com/what-is-a-mail-bomb.htm
Demnach könnte ich Teil eines Botnetzes für Mail Bombs und DDoS Attacken sein. Wie kann ich das überprüfen bzw. welche Maßnahmen kann ich dagegen unternehmen?
Vielen Dank für eure Hilfe!
2. Antwort von meinem Provider
am 01.07.2012 - 11:32 Uhr
Hallo nochmal,
ich habe nun die zweite Antwort von meinem Hosting Provider bekommen:
Anhand des Headers sieht man das die E-Mail per Skript verschickt wurde. Es ist hier Sinnvoll X-PHP-Script: www.magicofword.com/index.php 91.201.64.16 abzusichern.
Dazu habe ich folgenden Artikel im Netz gefunden:
http://www.the-art-of-web.com/php/x-php-script/
Leider verstehe ich immer noch nicht, wie die Spammer es schaffen, die Mails zu versenden? Haben Sie einen entsprechenden Code/Skript in eine meiner Dateien auf dem Server eingeschleust?
Wie schaffe ich es, das X-PHP-Script abzusichern? Ist dieses Problem bei Drupal 7.x nicht schon bekannt?
Ich bin dankbar für jeden Tipp.
Hallo, hast du eine Lösung
am 23.10.2012 - 09:28 Uhr
Hallo,
hast du eine Lösung für dein Problem gefunden. Ich habe leider exakt das gleiche.
Bekomme seit ca. 2 Wochen fast täglich die unten stehende Mailer-Daemon-Mail. (Die E-Mail Adressen haben ich verfälscht)
Habe meine betroffene E-Mail-Adresse auf all meinen Drupal-Seiten rausgenommen. Jedoch half das nicht. Meine Drupal-Seiten sind alle aktuell und die Webformulare per Captcha oder Mollom gesichtert. Auf Zweien ist Simple Mail und Mime-Mail installiert.
Eine Einzige ist nicht mehr auf dem aktuellen Stand, aber dort steht auch meine betroffene E-Mail Adresse nicht drin.
Danke für Tipps.
______________________________________________________________
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of
its recipients. The following addresses failed:
SMTP error from remote server after RCPT command:
host mailin-03.mx.aol.com[64.12.137.161]:
550 5.1.1 : Recipient address rejected: aol.com
--- The header of the original message is following. ---
Received: from icpu1637.kundenserver.de (infong708.kundenserver.de [212.227.29.41])
by mrelayeu.kundenserver.de (node=mreu2) with ESMTP (Nemesis)
id 0M0N4b-1TAUWk2Wkv-00u9y6; Tue, 23 Oct 2012 06:07:39 +0200
Received: from 173.208.175.250 (IP may be forged by CGI script)
by icpu1637.kundenserver.de with HTTP
id 4AoKxH-1TXhaX27Gw-00AYGN; Tue, 23 Oct 2012 06:07:39 +0200
X-Sender-Info: <233666455@icpu1637.kundenserver.de>
Date: Tue, 23 Oct 2012 06:07:39 +0200
Message-Id: <4AoKxH-1TXhaX27Gw-00AYGN@icpu1637.kundenserver.de>
Precedence: bulk
To: aaa@aol.com
Subject: =?UTF-8?B?Q29uZmlybWF0aW9uIGZvciBNdXphZmZlciBHw7xyZW5jIE5ld3NsZXR0ZXIgZnI=?= =?UTF-8?B?b20gTXV6YWZmZXIgR8O8cmVuYw==?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="e249920d401034572bd47b1d633e4c1a"
Content-Transfer-Encoding: 8Bit
X-Mailer: Drupal
Errors-To: bbb@gmx.net
Sender: bbb@gmx.net
From: bbb@gmx.net
X-Provags-ID: V02:K0:MnJeDI7I2XqkDgQzMK4td8NFRtzvvu+wz6yzPfabyRW
91GPZ7vpInhlPcH9v66UvLJVG8mCz1GiAFjuK4ZFfrxERNHwfY
bFVtVnAS9qKUm5bM0YbQwj3tUSI72gjpz0GgsCxBB4kHCEjpKb
tH2L1sXtceXNFoGxTSo9uMcmdFuL5buxRBG0nwRSvFDkymU8PY
Y5kC/ILInx2eNdsVJjkTKgiiNeWZ0Sf/nkuoZ2wo9pW7WBUC5x
qvEG4Me0CdwOJVxydLhFj/1PGTyxf+u8iW5O60R97+kRQEYWVJ
/LmmWcvMVkcE7h5oWyk6deNLqBuDDz2AJw77/RVpPUV9pt7xku
IMtQD2ZVLDBANRxDKnbwW+YFNGwOml7TdvLRIgKE4P8Nte4+dD
Hn+QQQ0/6khHo766JLqWs4Hqlut1uPPW+r6J7YbTk4vs/xSP30
HZ+UD
noch keine konkrete Lösung...
am 30.10.2012 - 21:49 Uhr
Hallo totox,
leider habe ich noch keine konkrete Lösung für das Problem bzw. konnte ihm nicht auf den Grund gehen. Ich habe nun meine Website mit einem Captcha Modul gesichert (vor allem das Kontaktformular). Seitdem erhalte ich keine Mails dieser Art mehr, aber ich habe immer noch das Problem, dass ich viel zu viele Datenbankanfragen habe und das meinen Server immer wieder in die Knie zwingt. Vielleicht hängen diese Probleme zusammen.
Mein Drupal ist auch auf dem neuesten Stand.
Hat sonst jemand in diesem Forum einen Lösungsansatz für unser Problem?
Vielen Dank für Antworten!
Viele Grüße,
SilverSunrise1981