Hallo!

Kann mir jemand sagen, was sich hinter folgendem Logeintrag verbirgt?

0-1pool136-5.nas7.houston2.tx.us.da.qwest.net - - [08/Feb/2002:10:51:32 +0100] "GET /cgi-bin/formmail.pl?recipient=ledit73467@aol.com&subject=www.suchreflex.de/cgi-bin/formmail.pl&email=hurmik1@yahoo.com&=www.suchreflex.de/cgi-bin/formmail.pl HTTP/1.0" 404 287 "-" "Microsoft URL Control - 6.00.8169"

Er tauchte heute zum 2. Mal in meiner Logdatei auf und es existiert keine Datei "formmail.pl" in meinem cgi-Verzeichnis...
Versucht da jmd. so Standardmailorte als Spamversender zu nutzen?

Keine Ahnung...


---

Komische Sache...

hattest du vielleicht mal ein formmail dort liegen irgendwann ?
Du sagst es taucht zum zweiten mal auf, wars beim ersten mal die gleiche Mailadresse ?

Greets
Rieke


---
Blumenbeet

mm... es gibt da gerüchte über den missbrauchs von formmail.pl's. weiss leider nichts genaues...

Hier ist der erste Eintrag in dieser Form:
0-1pool136-196.nas7.houston2.tx.us.da.qwest.net - - [07/Feb/2002:14:59:06 +0100] "GET /cgi-bin/formmail.pl?recipient=ledit73467@aol.com&subject=www.suchreflex.de/cgi-bin/formmail.pl&email=hurmik@yahoo.com&=www.suchreflex.de/cgi-bin/formmail.pl HTTP/1.0" 404 287 "-" "Microsoft URL Control - 6.00.8169"

Bis auf die IP (die sehr ähnlich ist) ist es identisch mit dem neueren.

Ich hatte definitiv nie ein formmail.pl-Skript da rumfliegen. Kann es "hidden" sein?

_________________
www.suchreflex.de
www.cyrin.de

<font size=-1>[ Diese Nachricht wurde ge&auml;ndert von: Manticor am 2002-02-09 15:07 ]</font>

---

hidden?? was meinst du damit?

öhem frag doch mal bei qwest nach...

Öhm, meinte versteckt, so dass ich es nicht sehen kann, es aber da ist, wie .htaccess und so...

Mal gucken, was qwest ist...

EDIT: Quest ist 'ne Firma. Wie kann die mir helfen?
_________________
www.suchreflex.de
www.cyrin.de

<font size=-1>[ Diese Nachricht wurde geändert von: Manticor am 2002-02-09 16:59 ]</font>

<font size=-1>[ Diese Nachricht wurde ge&auml;ndert von: Manticor am 2002-02-09 17:01 ]</font>

---

naja der aufrufer kam doch über die server von qwest.net....


hidden ist da nix.. <IMG SRC="/phpBB/images/smiles/icon_wink.gif">

Oh, oops. Nicht registriert...

Eine Verwandte der Spammail habe ich von qwst.net erhalten, nämlich eine Autoresponder-Mail <IMG SRC="/phpBB/images/smiles/icon_wink.gif">:

Thank you for reporting this incident to Qwest. We are have received your
report and are investigating the situation. Once we have completed our
investigation, we will take appropriate action against the offending customer account.

Due to the current high volume of abuse mail we handle, this may be the
only response you receive, unless we need further information to complete the investigation.
_________________
www.suchreflex.de
www.cyrin.de

<font size=-1>[ Diese Nachricht wurde ge&auml;ndert von: Manticor am 2002-02-09 18:09 ]</font>

---

http://www.securiteam.com/securitynews/5KP0C2K3PM.html

Es gibt aber mittlerweile ein Update: http://worldwidemart.com/scripts/formmail.shtml

Gruß
Gargamel

[ Diese Nachricht wurde ge&auml;ndert von: Gargamel am 2002-04-18 14:06 ]

Dieser Logeintrag ist das Ergebnis des Versuchs eine (in diesem Fall nicht vorhandene ) formmail.pl zu Spamzwecken zu mißbrauchen. Es wir einfach jede greifbare Domain durchprobiert bis eine erfolgreiche Rückmeldung kommt.
Meißtens kommen die Aufrufe aus den USA und somit sind die Täter kaum greifbar.

Wir empfehlen dringenst grundsätzlich niemals ein Formmailscript mit orginalname zu verwenden sondern es imme erst umzu benennen in irgend was weniger gebräuchliches wie "mein_mailscript.pl" oder "xyz_formmail_script.pl"

Wir hatten bereits 2 mal den Fall das diese Formmail.pl wirklich vorhanden war und dann massiv bis hin zur Serverüberlastung zu Spamzwecken mißbraucht wurde.

Soetwas kann verdammt hoche Traffik-Kosten erzeugen, daher sollte man dieses Risiko wirklich nicht eingehen...

Viele Grüße
Rieke


---
Blumenbeet

Also mein Beitrag ist ja schon ein paar Monate alt und ich hatte ja auch nie ein formmail-Script auf dem Server liegen. Ich habe mich, wie mir geraten wurde bei dem Provider "beschwert", der hat mir zwar nur eine Larifarie-Mail zurück geschickt, aber ich habe schon seit geraumer Zeit keine Anfrage mehr nach einem formmail.pl-Script .


---