GET /roundcube/bin/msgimport – Exploit

9. Januar 2009

So wie es aussieht gibt es einen ganz frischen Exploit im RoundCube Webmailer, seit gestern ist die Anzahl der Zugriffe auf die folgenden Dateien rasant in die Höhe geschossen. Ursprung der Zugriffe scheinen verschiedene große Botnetze zu sein.

GET /roundcube/bin/msgimport
GET /webmail/bin/msgimport

Da bisher weder die Entwickler von RoundCube noch eine andere Internetseite den genauen Grund der Zugriffe kennt, sollte der Zugriff in jedem Fall vorübergehend gesperrt werden. Eine IP-Sperre bringt leider nicht viel, da es zu viele verschiedene sind.

Eine schnelle und sichere Methode ist mod_security mit folgender Regel:

SecRule REQUEST_URI "@contains /msgimport" "log,drop,msg:'unknown attack! Denied!'"

Sobald es neue Erkenntnisse gibt werden wir den Beitrag ergänzen.

Ebenfalls interessant

17 Jahre rack::SPEED und ein besonderes Jubiläumsangebot

Seit 17 Jahren liefern wir hochperformante und flexible Hosting- und Serverlösungen mit einzigartigem Kundensupport für die täglichen Herausforderungen des Online-Business.…

PHP 8.4 & Imagick für PHP 8.3 - Mehr Performance und neue Möglichkeiten

Gute Nachrichten für alle Entwickler und Agenturen: Ab sofort sind PHP 8.4 und Imagick für PHP 8.3 bei uns erhältlich.…

PCI DSS 4.0 - Was du jetzt wissen musst

Ab dem 31. März 2025 wird die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) 4.0 für alle…