Odesílání spamu přes phpmailer.php – jak zakázat?

Odpověď od Pavel [byPV]
25. úno 2019 15:12 #139186

MaK. napsal: To jsem zkoušel, přepnout na SMTP, ale nepomohlo.

MaK.

Pokud ano, tak to očividně nevyužívá rozesílání maily skrze Joomla! (a její konfiguraci) a používá se PHPMailer buď na přímo a nebo se také vůbec nepoužívá. Jak poznali z hostingu, že je zneužíván právě PHPMailer? Jen odhadují, nebo mají nějaký důkaz? Do hlavičky mailu odesílaného přes PHP funkci mail(), SMTP či jinak si můžete kdokoli napsat cokoli, tzn. i to, že je to např. z GMailu, Thunderbirdu či PHPMaileru, ale to nic neznamená.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 15:23 #139187
Díky za obsáhlý rozbor, Pavle,

napříč weby by se to snad samo šířit nemělo, pro jistotu jsem se ale poptal u hostingu.

Ono to asi zřejmě nemá moc řešení. I když bych tu špínu našel, odstranil, a znovu použil všechna rozšíření, co na webu jsou, tak to tam bude zřejmě za nějaký čas znovu. Nějaké rozšíření je asi děravé, ale pravděpodobně nemám šanci zjistit, které. Může to být asi cokoliv…

MaK.

Pavel [byPV.org] napsal: Já osobně se domnívám, že na to jdete úplně špatně...

Pokud chcete skutečně zakázat odesílání e-mailů, tak nejjistější řešení je zakázat to na úrovni serveru/hostingu. Knihovna PHPMailer je integrovaná v Joomla! na úrovni jádra a tudíž tam být musí a pravděpodobně by po smazaní Joomla! padla a bylo by nutné více úprav. Také můžete zkusit vypnout odesílání e-mailů v konfiguraci Joomla!, ale pokud někdo využívá knihovnu PHPMailer napřímo (a nebo ji ani nevyužívá a využívá PHP funkci mail()), tak tím nic nevyřešíte.

Pokud někdo skutečně zneužívá nějakou chybu v této knihovně (podle mého nepravděpodobné), tak je možné ji zkusit aktualizovat, ale v poslední verzi Joomla! je poslední verze PHPMailer ve větvi 5.x, tudíž není kam aktualizovat a nevím jestli je větev 6.x plně kompatibilní.

Spíš bych viděl na problém v tom, že se Vám prostě do webu někdo naboural a má tam teď umístěné skripty, které mu umožňují provádět v systému cokoli. Tzn., že i kdyby jste se PHPMaileru zbavil, tak začne posílat maily jinak a nebo si tam případně PHPMailer znovu nahraje ;-). Dokud tedy ten škodlivý kód nenajdete, nezbavíte se ho a nezalepíte cestu, kudy se Vám tam dostal (nejjednodušší je nahlédnout do access.log v době, kdy se rozeslal SPAM), tak je vše co uděláte jen dočasné řešení. A navíc ani zákaz rozesílání e-mailů nijak nezmění fakt, že má například někdo plný přístup k Vašemu webu a může tam cokoli.

Nedívejte se však na to jen z pohledu, že jediná možnost jak se k Vám nabourat, je přes formuláře na webu. Zranitelný může být naprosto jakýkoli skript na Vašem webu a je úplně jedno co ten skript dělá, zda-li je na první pohled přístupný z URL (to vážně nemusí) a nebo jestli je součástí jádra Joomla!, externí knihovny a nebo nějaké šablony, komponenty, modulu či pluginu.

Navíc, pokud máte jak sám píšete, některé weby na zastaralých verzích Joomla! a nezáplatujete si je manuálně, tak je dost možné, že se Vám tam útočník dostal přes ně. A pokud ty weby sdílí hosting (tzn. např. více domén a složek na jednom placeném programu), tak dost hostingů co jsem v životě potkal nijak neodděluje tyto weby na úrovni systému a každý web má prakticky plný přístup k ostatním webům okolo. Tím chci říci, že pokud to máte jak popisuji, tak je také klidně možné, že Vám někdo hacknul nezáplatovanou Joomla! 1.5 a z ní se dostal (a něco si nahrál) do ostatních webů.

Tudíž, pokud to tak máte a budete čistit jeden hacknutý web, tak je potřeba zkontrolovat i vše ostatní na stejném hostingu, jinak je otázka času, než se malware zase rozleze po okolí.

Co já mám zkušenost, tak se většina malwaru chová tak, že když útočník najde slabé místo kudy tam něco dostat, tak pak co nejdříve volá vzdálené příkazy, které umožní škodlivému kódu se v různých podobách rozkopírovat na co nejvíce míst a co nejhlouběji do webu (termín "virus" je zde na místě ;-)). Během chvilky může být napadeno třeba 100 souborů a když útočník hodlá rozeslat e-maily a jeden např. nefunguje, tak prostě zvolí jiný a nebo si kdykoli napadne další soubory, aby měl další "zálohu" až na ty původní přijdete a opravíte/smažete. Jsou to hrozní hajzlící a dokud se nezbavíte všeho a naráz a nezalepíte díru kudy přišel první malware, tak to může být, jak se říká, boj s větrnými mlýny :-(.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
25. úno 2019 15:34 #139188
nevím, jestli je to s tím antivirem jasné.
Já jsem navrhoval stáhnout webový prostor (celý web) pomocí ftp nebo i jinak na lokální disk (flash, či cokoliv jiného) a nechat to pod windows zkontrolovat antivirem.
Tedy ne pouštět antivir na serveru či si nechat nějak antivirem měnit obsah webu.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 15:37 #139189
Jo, je to jasné, Ernste. Ale tím se případně (možná) vyřeší jen aktuální stav, nezalepí se však díra, která je kdoví kde.

Půjdu někam najít Windows, pro zajímavost to u 1 webu zkusím :) Jaký antivir doporučuješ/te?

MaK.

Ernst napsal: nevím, jestli je to s tím antivirem jasné.
Já jsem navrhoval stáhnout webový prostor (celý web) pomocí ftp nebo i jinak na lokální disk (flash, či cokoliv jiného) a nechat to pod windows zkontrolovat antivirem.
Tedy ne pouštět antivir na serveru či si nechat nějak antivirem měnit obsah webu.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
25. úno 2019 16:10 #139191
použil jsem klidně i obyčejný defender. U pár webů to pomohlo, netvrdím, že vždy.

Znáš tohle? haveibeenpwned.com/

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 16:18 #139192
Dobře, zkusím, dík. Neznám, trošku mám obavu tam e-mail vložit, aby to nebylo ukládátko na blacklisty :)

MaK.

Ernst napsal: použil jsem klidně i obyčejný defender. U pár webů to pomohlo, netvrdím, že vždy.

Znáš tohle? haveibeenpwned.com/


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
25. úno 2019 16:36 - 25. úno 2019 16:36 #139193
neboj, je to prověřený
já ho tam kdysi dal a pak jsem si hned měnil pro jistotu hesla :)

ono to jen prohledá veřejné a poloveřejné databáze

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 16:48 #139194
A ještě ti začaly hned chodit nabídky od prodavačů teplé vody, ne? Asi to nejprve zkusím někde jinde… jaký máš e-mail? :cheer:

MaK.

Ernst napsal: neboj, je to prověřený
já ho tam kdysi dal a pak jsem si hned měnil pro jistotu hesla :)

ono to jen prohledá veřejné a poloveřejné databáze


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
25. úno 2019 17:28 #139195
nezačaly. Trochu se tě začínám bát :)

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Pavel [byPV]
25. úno 2019 17:35 #139196
A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 18:11 #139197
Access.log je už aktivovaný, čekám, až do něj něco napadá. Hosting NETIO. Zkusím prolézt a napíšu další info, díky.

MaK.

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 18:25 #139199
Přikládám ukázku, jak např. spamy vypadají. Moc z toho nevyčtu. Uvádí se v nich, že jde o e-mail zaslaný z formuláře, ale žádný na webu není, anebo si toho aspoň nejsem vědom.
Podle toho, na jaký e-mail se to odesílá, se pak vracejí různé verze odpovědi od mailserverů příjemců a mně to zpátky lítá většinou do spamu, ale ne všechno.

Tím se vlastně ale dovídám jen o e-mailech, které se vracejí zpět, zřejmě bude xy dalších, které se k příjemcům dostanou. Většinou obsah e-mailů vede na nějaké prasečinky.

MaK.

--- -- -
Přílohy:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
25. úno 2019 18:50 #139200
Tak v access.log už něco nasbíraného je. Ale… co v něm mám prosím hledat, nač se soustředit? Přikládám ukázku do přílohy.

MaK.

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.


--- -- -
Přílohy:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
25. úno 2019 19:22 #139202
Dobrý den,

otázce zabezpečení se můžeme věnovat i v samostatné diskusi a nikdy nebude konec, co programátor, to jiná zkušenost a jiné rady, vše samozřejmě dle počtu odvirovaných a zabezpečených webů a typů webových prezentací a hostingů.

Do těchto diskusí se taky nechci pouštět, smyslem mé účasti zde na fóru je jen poskytnout informace a osobní zkušenosti, jak jsme to dělali v EasySoftware (což byla svého času jednička na českém trhu ohledně Joomla) a jak to nyní děláme v Minionu, kde se snažíme zase pro změnu implementovat poznatky programátorů v týmu například při vývoji na eshopu Vodafone a cílem je předat zkušenosti i běžným uživatelům, kteří se neživí výrobou Joomla webů.

Na každém pak je, zda si něco z mých informací odnese nebo ne (byť občas obsahují rady doktora Cvacha :) - no aspoň je tu veselo)

Každopádně na téma bezpečnost Joomla chystám článek, kde bude více informací nebo mi můžete napsat a můžeme to probrat samostatně.

S pozdravem

Rudolf

MiniJoomla! - www.minijoomla.org - eshop s rozšířením
Virtuemart Mailing Manager - aplikace na správu šablon emailů pro VirtueMart
XML Easy Feeder - aplikace na generování feedů, napojení na ERP pro VirtueMart
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla!

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
26. úno 2019 00:22 #139204
Primárně, opravdu maily ze serveru odchází? To že se něco vrací do schránky nemusí znamenat že to ze serveru opravdu odešlo. Mohl to poslat kdokoliv odkudkoliv jen uvést odesílatele... Jak jsem psal, hosting by měl mít výpis mailů co opravdu ze serveru odcházej. Pokud se dá na úrovni serveru zakázat phpmail, zakaž ho a když to bude chodit dál, není to tvůj problém (teda částečně).

Za druhý, jak přišel hosting na to "zřejmě přes phpmailer.php"? A jaký phpmailer.php? Divil bych se pokud by stránky byly napadený, že by virus používal phpmailer, spíš by skript posílal maily napřímo.

Za třetí Pokud se potvrdí, že to je ze serveru, tak nějaký ten antivir může být zajímavý vodítko. Kontrola souborů pomocí Admin Tools také (zkontrolovat obsah souborů který maj skóre větší než 0, popř. porovnat s originály, nemělo by jich být více než cca 30-50, podle toho co vše na webu je za rozšíření).

Rychlé a poměrně funkční kontrola také bývá podle data souborů, pokud jsi tedy v mezičase neaktualizoval...

V tom access logu se musíš primárně zaměřit na php skripty, obrázky, css, javascripty apod. můžeš ignorovat. Pokud se ti podaří objevit podezřelý skript, hledej přístupy ze stejné IP na jiné skripty. Hezký nástroj, který umí filtrovat a zobrazovat logy je Apache Log Viewer

Pokud by to nechodilo ze serveru, máš nastavené na doméně SPF, popř. DKIM?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.