Hoi Christian

Wir haben seit Jahren das Script laufen (inkl. dem letzten Patch von 2006). Und, nebenbei, es ist wirklich Spitze!

Nun hat uns aber der Hoster eben "gesperrt".

Beiliegend hat er uns folgende Mail eingefügt. Interessant ist die zweitunterste Zeile (die Mail ist noch länger).

--------------------------------------------------------------------------------
Dear Sirs:

RSA, an anti-fraud and security company, is engaged in contract to
assist Poste Italiane S.p.A. and its related entities “(Gruppo
PosteItaliane)� in preventing or terminating online activities
that target or may potentially target Poste Italiane/Gruppo Poste
Italiane clients as potential fraud victims.

Poste Italiane S.p.A. is one of the largest Italian companies and
operates mainly in the postal and banking/financial sectors. Poste
Italiane official sites (www.posteitaliane.it
<http://www.posteitaliane.it/> and http://www.poste.it
<http://www.poste.it/> are among the most famous Italian sites and
are registered by the competent Italian authority on Italian
top-level domain (.it).

RSA has been made aware that you appear to be providing Internet
Services to a fraudulent Web site, which is part of a phishing
attack* and/or other fraudulent scams against Poste Italiane/Gruppo
Poste Italiane and/or Poste Italiane/Gruppo PosteItaliane clients.
These activities violate Poste Italiane/Gruppo Poste Italiane’s
copyright, trademark and other intellectual property rights and may
violate the criminal laws of the United States and other nations.

E-mail fraudulent messages have been broadly distributed to
individuals by a person or entity pretending to be Poste Italiane.
These e-mails use Poste Italiane name and identity (including
trademarks) without authorization. The e-mails request recipients to
verify and submit sensitive details related to their Poste Italiane
accounts. The fraudulent website is located at the following URL
address (*http://www.haberhuus.ch/webnews/parse/poste/bancoposta/* )
to which you provide services and which is under your control.
------------------------------------------------------------------------------------------------

Was könnte das sein? Wir möchten natürlich mit dem Script weiterarbeiten. An den Rechten kann's nicht liegen, ein 0777 haben wir nie verteilt.

Oder konkret: Ist es möglich, dass jemand über das Script "hineinkam"?

Gerne gebe ich weitere Auskünfte - wir sind etwas überfordert

Merci für Hinweise!

tinu

es gibt tausende wege wie diese seite da hinein kam. dass es in einem webnews-ordner liegt, heißt noch lange nicht, dass es auch über webnews rein kam. wenn du bei einem webhoster bist, muss der angriff nicht mal direkt über deine seite gelaufen sein, sondern kann genauso gut von einer anderen seite kommen, die ebenfalls auf dem server gehosted wird. solange du den letzten patch installiert hast, ist bei webnews alles ok. jedenfalls sind keine neuen sicherheitsmängel bekannt.

ich hatte selbst mal mit phishing-seiten auf meinem webspace zu kämpfen. damals kamen sie über ein ungepatchtes phpbb rein und haben in irgendwelchen tief versteckten ordnern sogenannte php-shells abgelegt, mit denen sie dann immer wieder zugang bekommen haben. bis man das zeug aufgespürt hatte, war es schon wieder zu spät. in dem fall empfehle ich einfach die komplette seite erst mal dicht zu machen, backup runterladen, alle dateien löschen und dann nur vertrauenswürdiges material hochladen. PHP-dateien aus dem backup sind dabei nicht vertrauenswürdig, außer du bist dir 100%ig sicher, dass daran nichts manipuliert wurde. ebenfalls wichtig ist es alle passwörter (ftp, mysql, ...) zu ändern.

Hoi Christian

Merci für die schnelle und ausführliche Antwort!

Ich lade jetzt dann gleich die letzte WebNews-Version frisch herunter, damit wirklich jungfräuliche Ware auf den Server hochkommt ...

Schönen Abend noch!

tinu

Hallo,
hatte das gleiche Problem. Hab nochmals den letzten Patch installiert, obwohl der in der Version eigentlich schon dabei sein sollte. Passwörter sind auch geändert. Jetzt warte ich auch mal ab, ob es nochmals vorkommt.
Ansonsten kann ich mich dem Lob von tinu nur anschließen, wir sind sehr dankbar für das Skript!