ezt írtam én is.. csak vannak olyan domainek is rajta, amit más használ.. azért írtam, hogy ki.. "melyik domain alól" akar lenni.. utána lehet továbbmenni, hogy melyik cms lyukas. és azt lezúzni, frissíteni stb. az, hogy ki, mint személy.. az nem érdekel.. valamelyik köcsög spammer a világ másik oldaláról.. nem sokra mennék vele, ha tudnám, hogy Theodor Smith-nek hívják..

amit tudni: az info@g-easy.hu-n 36000+ visszapattanó mél van, az info@g-easy az alapértelmezett, így a szerveren lévő összes domain oda vágja vissza. fekete listán vagyok, saját levél már nem megy ki egyáltalán.. ennyi..

de most cserélik le a teljes mélszerverem, szal valszeg hamarosan megoldódik..

Jól gondoltam:
Ez a mailserver nincs rendesen konfigurálva, emiatt tudták használni a spammerek (bárki, én is tudnám használni mail továbbításra).

Az első néhány próbálkozást még visszaveri, azután végülis átengedi az ismeretlen mailt.
Ez abszolute nem CMS gond a szerveren. És nem is kell hozzá feltörni egyetlen weblapot sem.
Ez egy sima mail szerver beállítási gond.

Ha megkérlek, ezt részleteznéd? Csak mert most tesznek rá újat.. De nem az, aki ezt tette fel.. akkor elvileg nem lesz vele gond? Mi a hiba? Mit kellett volna módosítani? Hogy jöttél rá?

Először is megnézem, hogy mi a mail szerver neve:


Rögtön látszik, hogy az MX rekod: mx 5 g-easy.hu 212.52.167.214

Tehát a mail szerver is g-easy.hu
Most indítok egy Open Relay tesztet itt és itt. Csak írd be a g-easy.hu-t.

Ezek pillanatok alatt megmutatják bárkinek, hogy ezt pl. lehet használni, mert a hatodik, hetedik próbálkozástól át-átengedi leveleket.

ki van javítva, új rendszer van megy.. és még így is küldik, hülyét kapok, komolyan.. szal nem a hibát találták meg, hanem csak valamelyik cms a rossz. ááá

Megvan!

Egy régi elfeledett (és átirányított) aldomainen fent marad joomla (régi verzió) volt a bibi..

ezzel csinálták:

Megnéztem a hxxp://dark-solace.com/blog.txt címen lévő scriptet, hogy mit csinál (simán megnyithatod, ez csak egy txt fájl) és valóban ez egy email küldő progi: "PHP-Mailer by MICARI" Maga a script semmi mást nem csinál, csak email-eket lehet küldeni vele. Azt viszont sokat, távvezérléssel.
Rosszul beállított (magára hagyott) Joomla konfig tette lehetővé ezt az SQL injection támadást.

Továbbra is állítom, hogy azért tudott működni ez az email küldő script, mert a mail szerver open relay-ként működött.
(A script sima php mail() függvényt használ.) Ma reggel is ellenőriztem, mostmár nem ez a helyzet, úgy látszik sikerült tagnap beállítani.

Az más kérdés, hogy ez a sebezhetőség alkalmas (volt) arra, hogy bármilyen php script lefuttatható legyen, pl. iframe tag befecskendezése a weboldalra és hasonlók.

Gyakorlatilag dupla sebezhetőség vezetett a kálváriádhoz: meghekkelt Joomla és open relay mail szerver