GET /roundcube/bin/msgimport – Exploit

Januar 9, 2009
Aktuelles, Security

So wie es aussieht gibt es einen ganz frischen Exploit im RoundCube Webmailer, seit gestern ist die Anzahl der Zugriffe auf die folgenden Dateien rasant in die Höhe geschossen. Ursprung der Zugriffe scheinen verschiedene große Botnetze zu sein.

GET /roundcube/bin/msgimport GET /webmail/bin/msgimport

Da bisher weder die Entwickler von RoundCube noch eine andere Internetseite den genauen Grund der Zugriffe kennt, sollte der Zugriff in jedem Fall vorübergehend gesperrt werden. Eine IP-Sperre bringt leider nicht viel, da es zu viele verschiedene sind.

Eine schnelle und sichere Methode ist mod_security mit folgender Regel:

SecRule REQUEST_URI "@contains /msgimport" "log,drop,msg:'unknown attack! Denied!'"

Sobald es neue Erkenntnisse gibt werden wir den Beitrag ergänzen.

2 Gedanken zu „GET /roundcube/bin/msgimport – Exploit“

Gast

10. Januar 2009 um 8:33 Uhr

Ziemlich nervig, spammt einem die ganzen Logs zu …
rack::SPEED

10. Januar 2009 um 11:51 Uhr

Wenn du die Zugriffe mit mod_security abfängst kannst du das Logging durch den Parameter „nolog“ auch unterbinden. – Ich bin sehr gespannt was daraus wird…

Kommentare sind geschlossen.

Ebenfalls interessant

4,2 PetaByte Backup-Speicher und 1:1 Sicherungen

Es ist noch gar nicht so lange her da haben wir die Einführung von JetBackup in unserem Blog gefeiert. Damals ging es…

Performance Weeks 2021

Die letzten Wochen und Monate haben wir intensiv dazu genutzt unsere Angebote grundlegend zu überarbeiten. Herausgekommen sind die schnellsten Hosting-Lösungen…

Exim security update (21Nails)

Es wurden zum Teil gravierende bzw. kritische Sicherheitslücken im Mailserver Exim gefunden, da es sich gleich um mehrere Lücken handelt…

Hosting Lösungen

Kunden

Kontakt

rackSPEED GmbH
In der Steele 35 // Connecta Park
40599 Düsseldorf

Tel.: +49 (0)211-93673737
eMail: info(at)rackspeed.de

Notfall: 0800-RACKSPEED