Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

Odesílání spamu přes phpmailer.php – jak zakázat?

25. úno 2019 17:35 #139196
Odpověď od Pavel [byPV]
Začátečník
A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.

25. úno 2019 18:11 #139197
Odpověď od MaK.
Zkušený uživatel
Access.log je už aktivovaný, čekám, až do něj něco napadá. Hosting NETIO. Zkusím prolézt a napíšu další info, díky.

MaK.

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.


--- -- -

25. úno 2019 18:25 #139199
Odpověď od MaK.
Zkušený uživatel
Přikládám ukázku, jak např. spamy vypadají. Moc z toho nevyčtu. Uvádí se v nich, že jde o e-mail zaslaný z formuláře, ale žádný na webu není, anebo si toho aspoň nejsem vědom.
Podle toho, na jaký e-mail se to odesílá, se pak vracejí různé verze odpovědi od mailserverů příjemců a mně to zpátky lítá většinou do spamu, ale ne všechno.

Tím se vlastně ale dovídám jen o e-mailech, které se vracejí zpět, zřejmě bude xy dalších, které se k příjemcům dostanou. Většinou obsah e-mailů vede na nějaké prasečinky.

MaK.

--- -- -
Přílohy:

25. úno 2019 18:50 #139200
Odpověď od MaK.
Zkušený uživatel
Tak v access.log už něco nasbíraného je. Ale… co v něm mám prosím hledat, nač se soustředit? Přikládám ukázku do přílohy.

MaK.

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.


--- -- -
Přílohy:

25. úno 2019 19:22 #139202
Odpověď od Rudolf
Joomla Expert
Dobrý den,

otázce zabezpečení se můžeme věnovat i v samostatné diskusi a nikdy nebude konec, co programátor, to jiná zkušenost a jiné rady, vše samozřejmě dle počtu odvirovaných a zabezpečených webů a typů webových prezentací a hostingů.

Do těchto diskusí se taky nechci pouštět, smyslem mé účasti zde na fóru je jen poskytnout informace a osobní zkušenosti, jak jsme to dělali v EasySoftware (což byla svého času jednička na českém trhu ohledně Joomla) a jak to nyní děláme v Minionu, kde se snažíme zase pro změnu implementovat poznatky programátorů v týmu například při vývoji na eshopu Vodafone a cílem je předat zkušenosti i běžným uživatelům, kteří se neživí výrobou Joomla webů.

Na každém pak je, zda si něco z mých informací odnese nebo ne (byť občas obsahují rady doktora Cvacha :) - no aspoň je tu veselo)

Každopádně na téma bezpečnost Joomla chystám článek, kde bude více informací nebo mi můžete napsat a můžeme to probrat samostatně.

S pozdravem

Rudolf

MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla

26. úno 2019 00:22 #139204
Odpověď od Cony
Moderátor
Primárně, opravdu maily ze serveru odchází? To že se něco vrací do schránky nemusí znamenat že to ze serveru opravdu odešlo. Mohl to poslat kdokoliv odkudkoliv jen uvést odesílatele... Jak jsem psal, hosting by měl mít výpis mailů co opravdu ze serveru odcházej. Pokud se dá na úrovni serveru zakázat phpmail, zakaž ho a když to bude chodit dál, není to tvůj problém (teda částečně).

Za druhý, jak přišel hosting na to "zřejmě přes phpmailer.php"? A jaký phpmailer.php? Divil bych se pokud by stránky byly napadený, že by virus používal phpmailer, spíš by skript posílal maily napřímo.

Za třetí Pokud se potvrdí, že to je ze serveru, tak nějaký ten antivir může být zajímavý vodítko. Kontrola souborů pomocí Admin Tools také (zkontrolovat obsah souborů který maj skóre větší než 0, popř. porovnat s originály, nemělo by jich být více než cca 30-50, podle toho co vše na webu je za rozšíření).

Rychlé a poměrně funkční kontrola také bývá podle data souborů, pokud jsi tedy v mezičase neaktualizoval...

V tom access logu se musíš primárně zaměřit na php skripty, obrázky, css, javascripty apod. můžeš ignorovat. Pokud se ti podaří objevit podezřelý skript, hledej přístupy ze stejné IP na jiné skripty. Hezký nástroj, který umí filtrovat a zobrazovat logy je Apache Log Viewer

Pokud by to nechodilo ze serveru, máš nastavené na doméně SPF, popř. DKIM?

Powered by Fórum