Hallo

Also ich bin mit folgendem Problem etwas in die Ecke geraten.

Eine Freundin von mir betreibt ein Forum mit einer Shoutbox. Seit einiger Zeit wird die Shoutbox von einem spammer mit links zugetextet. Der Spammer dürfte euch wohlbekannt sein, es ist Inhoster aus Ukraine.

Daraufhin, um dem ein ende zu setzen, haben wir die shoutbox nur für registrierte mitglieder sichtbar gemacht. Wir glücklich, dachten damit ist problem erledigt, doch nix wars.

Die links werden immer noch versendet. Da die shoutbox wirklich nur für registrierte Mitglieder sichtbar ist, bleibt nur die möglichkeit, dass die Spamlinks von eben diesen versendet werden. Ich kann mir aber nicht vorstellen, dass irgendjemand sich hinsetzt und spamlinks versendet, da das per bot viel effizienter erledigt werden kann.

Also bin zu dem schluss gekommen, dass der Rechner eines (oder mehreren) Users(/n) infiziert ist.
Vor allem, wenn der hauptlink des Forums von cydots (.ms) benutzt wird, bekomme ich (Windows XP Pro, SP2; McAfee immer aktuell; und aufruf mit IE) eine Warnung, dass ein Trojaner (ExploitIESpoof) dabei ist. Allerdings wenn meine Freundin den selben aufruf benutzt, bekommt sie keine Meldung..

Mein Rechner ist sauber, HiJackThis schon überprüft.

Also, erstmal die Frage, ist es theoretisch möglich, dass ein trojaner(oder anderer schädling) auf den recher einer unserer registrierten mitglieder diese spamlinks versendet?
(die spamlinks werden immer von der ukrainischen IP gesendet)

Kann die Virusscanmeldung des IESpoof mit diesem Symptom zusammenhängen?

Entschuldigt falls ich blöde sachen frage, bin in dem ganzen erst so neu dabei und verstehe noch lange nicht alles

danke schonmal!

Hallo.

Äh.. zu kompliziert ausgedrückt?

Also, nochmal etwas besser denke ich:

Das Problem ist:

Obwohl unsere Shoutbox im Forum garantiert nur für Registrierte Mitglieder zugänglich ist, werden von einer Ukrainischen IP Spamllinks gesendet.

Die Frage ist, wie ist das möglich?

Ich stehe vor einem kleinen Rätsel...

kleine Randfakten

Wenn das Forum über einen Domainnamen von Cydots (http://www.cydots.com/) mit den Internet Explorer aufgerufen wird, schlägt mein Virenscanner alarm über einen Trojaner(?) names
Exploit-IEPageSpoof

Ich habe auf eurer Seite schonmal einige Threads zu diesem Schädling entdeckt
http://www.trojaner-board.de/33830-t...tml#post241686
und hier
http://www.trojaner-board.de/33871-e...pagespoof.html
Der zweite link besagt dass das Trojanerproblem beim Aufruf ein künstliches sein könnte...
Danke für den Link Yopie .. ich lese gerade deine Pflichtlektüre

Hmmmm... also wäre es unwahrscheinlich dass die Meldung des Exploit-IEPageSpoof mit dem problem der Spamlinks zusammenhängt?

Die einzige Erklärung für diese Spamlinks, die ich habe ist, dass der PC eines unserer Registrierter mitglieder irgendwie infiziert ist und diese Spamlinks versendet... Oder?
Ich meine dass einer der Nutzer absichtlich diese links produzieren ist doch total unwahrscheinlich, vor allem weil diese links nicht sehr irreführend aussehen...

Unsere Mitglieder gehören nicht gerade zu der Gruppe PC-Admin...

Ich hoffe ihr könnt mir helfen und mit mir zusammenrätseln...

Welches AV-Programm wegen Exploit-IEPageSpoof
Welche Internetadresse?
Dito wg. Shoutbox.
Bin allerdings absolut kein "Shoutbox-Experte" (ich halte Gästebücher, Shoutboxen und Chats im Allgemeinen - also es gibt Ausnahmen - für so wichtig wie ein Glas Nordseewasser in der Südsee.)

Ah danke schonmal !!

Also, McAffee meldet das Problem, hab mal ein Screenshot gemacht, obwohl das nicht viel aussagt


Und wie gesagt bisher hat sich kein anderer über diesen Virus (der beim seitenaufruf aufschlägt) beschwert im Forum...

Die Internetadresse von dem die Spamlinks versendet werden ist manchmal die selbe..
85.255.119.74 meistens und einmal bisher die 85.255.119.131

Und die gehören dem hier
person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332

Ist wohl bekannt, jedenfalls nach meiner Internetrechnerche...

Eigentlich ging es mir um die Adresse der Seite die beim McAfee zum Alarm führt. Hat der PC deiner Freundin auch McAfee drauf?

Wird die Shoutbox von einem Service-Provider gehostet oder läuft sie auf einem Homeserver?

Also meine Freundin hat kein McAfee, dürfte Norton Antivirus sein oder wie der heisst

Die Shoutbox wird von Shoubox-4-free gehosted...

ansonsten, u got pm..

Tach und Friede!

So also bisherige Ergebnisse.

- Unwahrscheinlich dass das "Trojaner-Problem" von dem Weiterleitungslink was mit den Spamlinks zu tun hat. (da wahrscheinlich falschmeldung)

Dann noch folgende Informationen:

Zuerst befand sich die Shoutbox am ende der Seite.
Als dann die spamlinks auftauchten, integrierten wir die Shoutbox ins Forum, sozusagen als eigene Kategorie. Somit zählt sie zum Forum dazu und nur für Registrierte Mitglieder zugänglich

Was mich letzendlich total verwirrt.
Gestern gab es 3 mal Einträge mit dem Spam. Es war aber keinesfalls bei allen 3 der gleiche User online. Das ergibt ja 2 möglichkeiten(die mir einfallen)
- Es sind mehrere User mit dem gleichen Trojaner(virus,malware oder wie auch immer) infiziert
- Es hat nichts mit den Usern zu tun (aber wie kann der dann zugriff auf einen geschützten bereich haben?)

Desweiteren, die Links, seitedem die Shoutbox integriert wurde, sind zwar vom aussehen die gleichen her, sie sind aber kaputt. Sie führen nirgendswo hin
hier so ein Beispiel

h**p://www.shoutbox-4-free.de//puglia.9ell.
h**p://www.shoutbox-4-free.de//tattoo.camoulnesi60.

Davor waren sie aber gültig. Leider habe ich von so einem gültigen Link kein Beispiel, da wir damals die einfach nur loswerden wollte. Wir können aber testweise die Shoutbox wieder aus dem geschützen Bereich "wegintegrieren" um zu testen wie die links dann aussehen, falls es was bringt...

Desweiteren, derjenige, dessen Name in der Shoutbox als Verfasser der Spamlinks steht, ist folgende (ist mir grad so aufgefallen, weiss nicht wie die adresse vorher war)

mailto:Jeremy1769@yahoo.com



Bin echt dankbar für jedes mitraten!

Zitat:

Desweiteren, die Links, seitedem die Shoutbox integriert wurde, sind zwar vom aussehen die gleichen her, sie sind aber kaputt. Sie führen nirgendswo hin
hier so ein Beispiel

h**p://www.shoutbox-4-free.de//puglia.9ell.
h**p://www.shoutbox-4-free.de//tattoo.camoulnesi60.

Hoppla Fehler! Ich wollte mein Beitrag editieren, geht aber net

Also dass die links nicht funktionieren rührt daher dass meine Freundin die Wörter http org net www usw. auf die gesperrte Wörter liste gesetzt. Aus irgendeinen Grund macht die Shoutbox dass dann so...

naja...

auf der Website von Shoutbox4XX steht:
IP-Adresse wird zur Nachverfolgung von jedem Poster gesichert <= wo werden die gesichert? Genau dort nachsehen, dann bekommst du deine SPAM-Quelle raus.

(Deren Shoutbox ist übrigens nur noch Porno-verspammt.

Ja also ich selbst weiss es nicht, aber meine Freundin nannte mir eben immer die Adressen und das sind die von dem Ukrainer (die ich ja vorher schon gepostet hatte)

Fragen:

Ich wusste zwar das die IP Adressen aus der Ukraine stammten. Ich dachte aber, eventuell ist es möglich, dass der "Trojaner" auf dem Rechner des Forumteilnehmers sozusagen ein Tunnel aufgebaut hat, so dass die Einträge in der Shoutbox mit der Ukrainischen IP auftauchten, aber durch den Rechner des Mitglieds sozusagen erst die möglichkeit hatten, auf der Shoutbox zu nerven.
1. Ist das beschriebene Szenario (a) möglich? (b) überhaupt wahrscheinlich?

Mir ist noch etwas eingefallen. Da du sagtest dass die Shoutbox von dem Anbieter voll ist (hab grad mal ein blick riskiert, die spamlinks sehen sich gerade nicht änlich). Ist es möglich dass der Server des Anbieters irgendwie Spamattacken ausgesetzt ist, und somit alle Shoutboxen, die er Anbietet vollgespammt werden? (ich kenne leider keinen der ebenfalls so eine box hätte um mal nachzufragen) und es somit nichts mit uns zu tun hat sondern mit dem Anbieter..
2. Ist das möglich?

Ich habe nach tagelangem Googeln etwas gefunden...

Könnte das gleiche Problem sein...

shoutbox-spam « blogsport.de Forum

In diesem Blog schrieb ein User namens zeank folgendem Kommetar:

"Naja, das geht einfach dadurch, dass die sich die URL für das Absenden von Einträgen gemerkt haben und dadurch, dass das Plugin bei Dir noch aktiv ist, ist diese auch nachwievor gültig (bzw. ich bin mir jetzt gar nicht sicher, ob sich das überhaupt ändern lässt)."

Das würde ja bedeuten dass der Spambot aus der Ukraine sich die URL der shoutbox gemerkt hat, und somit direkten Zugriff bekommt, sozusagen ohne das Forum? Der Spambot sieht sozusagen nur die Shoutbox und kommt garnicht über das Forum?

Zitat:

Zitat von Amayah

Ja also ich selbst weiss es nicht, aber meine Freundin nannte mir eben immer die Adressen und das sind die von dem Ukrainer (die ich ja vorher schon gepostet hatte)

Hattest du geschrieben, in meinem Kopf wurde dies zu den Adressen die der Spammer gespamt hat. Wenn dies tatsächlich die Absender-IP-Adressen sind, dann dürfte es wohl stimmen.

Falsche IP-Adressen als Absender zu hinterlassen ist immer möglich, aber selten sinnvoll (da man natürlich keine Antwort/Bestätigung erhält) , in solch einem Fall wäre es IMO aber nicht hinderlich für den Spammer. Aber ob der dann die Ukraine als Absende-IP nähme? (siehe weiter unten)

Zitat:

Zitat von Amayah

"Naja, das geht einfach dadurch, dass die sich die URL für das Absenden von Einträgen gemerkt haben und dadurch, dass das Plugin bei Dir noch aktiv ist, ist diese auch nachwievor gültig (bzw. ich bin mir jetzt gar nicht sicher, ob sich das überhaupt ändern lässt)."

Das würde ja bedeuten dass der Spambot aus der Ukraine sich die URL der shoutbox gemerkt hat, und somit direkten Zugriff bekommt, sozusagen ohne das Forum? Der Spambot sieht sozusagen nur die Shoutbox und kommt garnicht über das Forum?

Natürlich ist dies möglich, sogar sehr wahrscheinlich wenn du einfach nur den Link zur Shoutbox von der Homepage genommen hast, die URL und alles andere aber gleich geblieben ist.

Es ist halt die Frage, wieviel legale Nutzer du aus der Ukraine haben könntest oder wolltest. Da aber die ukrainische Bevölkerung wohl nicht dein wahrscheinliches Publikum ist, sperre einfach "alle" ukrainische IP-Adressen, zumindest die Adress-Kreise/Adressen die bisher aufgefallen sind.
Stichwort .htaccess
Irgendwas in der Form
# Beispiel für IP-Sperren
order deny,allow
allow from all
deny from Ukraine

Ukraine bitte ersetzen durch entsprechenden IP-Bereich

ich glaub ich hab des rätsels Lösung:

Der Bot der sich unsere Shoutbox gemerkt hat und vollspammt, ruft die Shoutbox direkt über die URL des Shoutboxbetreibers, also
h**p://www.shoutbox-4-free.de//shoutbox.php?id=idnummer

somit kommt der bot erst garnicht bei uns im forum vorbei, sondern direkt an der shoutbox. die Shoutbox an sich hat ja keine Zugriffskontrollen, sondern ist direkt aufrufbar, solange man die URL kennt

.. Oder? seht ihr Experten es auch so? Oder kann es noch eine andere Lösung geben?

BTW: Kennt jemand eine Shoutbox in der man IP-Ranges Sperren kann????

oh

hab deine antwort nciht gesehen entschuldige

:aplaus: das es doch so einfach ist hätt ich nicht gedacht

werde das mit dem htaccess probieren.. Äh an welcher stelle muss ich das reinschreiben? im code für die box? oder im code "vor" die box?

Übrigens, man nehme einfach die IP Range des Hosters aus der Ukraine, der hat so viel beschwerden im Netz hinterlassen, ich glaube nicht dass irgendein normaler User den Hoster hat...

Zitat:

Zitat von Amayah

Der Bot der sich unsere Shoutbox gemerkt hat und vollspammt, ruft die Shoutbox direkt über die URL des Shoutboxbetreibers, also
h**p://www.shoutbox-4-free.de//shoutbox.php?id=idnummer

habe ich doch geschrieben, allerdings nicht bedacht, dass eventuell sogar die Shoutbox noch bei dieser Firma liegt.
Ein "Homepagetool" ist für mich primär ein Tool welches ich auf meinem Webspace einsetzen kann und nicht auf welches ich von meiner Website aus hinverlinke.

Zitat:

Zitat von Amayah

BTW: Kennt jemand eine Shoutbox in der man IP-Ranges Sperren kann????

Du solltest wohl eher mal eine eigenen echten Webspace benötigen, auf dem du u.a. deine Shoutbox selber betreiben kannst und dann per htaccess die Ukraine aussperren.

Wenn die Shoutbox weiter bei dem Anbieter liegt, kannst du vermutlich nichts per htaccess aussperren!

Ansonsten:

Dieser (dein) Anbieter schreibt: IP-Sperre, um Flooding zu verhindern
(*optional*)

Nachtrag: Ist nur eine "Flooding"-Schutz und keine echte IP-Sperre