Odesílání spamu přes phpmailer.php – jak zakázat?

Asi jo, Cony, odchází, protože na jednom webu mám jako admin/odchozí nastaven seznamácký e-mail, odlišný od domény. Ve spamech je ten e-mail uveden a doména též.

Nevím, jak na to hosting přišel.

Teď 1 web z FTP stahuju, abych ho projel antivirem.

„Vypnout“ phpmailer – je např. tohle, myslíš, vhodný postup? www.itoctopus.com/how-to-completely-disa...ctionality-in-joomla nebo doporučuješ něco jiného?

Za návod, jak lovit neřády a tip na prohlížení access.logu díky.

Ano, mám na DNS nastavené SPF, DKIM, DMARC.

Dík, MaK.

Cony napsal: Primárně, opravdu maily ze serveru odchází? To že se něco vrací do schránky nemusí znamenat že to ze serveru opravdu odešlo. Mohl to poslat kdokoliv odkudkoliv jen uvést odesílatele... Jak jsem psal, hosting by měl mít výpis mailů co opravdu ze serveru odcházej. Pokud se dá na úrovni serveru zakázat phpmail, zakaž ho a když to bude chodit dál, není to tvůj problém (teda částečně).

Za druhý, jak přišel hosting na to "zřejmě přes phpmailer.php"? A jaký phpmailer.php? Divil bych se pokud by stránky byly napadený, že by virus používal phpmailer, spíš by skript posílal maily napřímo.

Za třetí Pokud se potvrdí, že to je ze serveru, tak nějaký ten antivir může být zajímavý vodítko. Kontrola souborů pomocí Admin Tools také (zkontrolovat obsah souborů který maj skóre větší než 0, popř. porovnat s originály, nemělo by jich být více než cca 30-50, podle toho co vše na webu je za rozšíření).

Rychlé a poměrně funkční kontrola také bývá podle data souborů, pokud jsi tedy v mezičase neaktualizoval...

V tom access logu se musíš primárně zaměřit na php skripty, obrázky, css, javascripty apod. můžeš ignorovat. Pokud se ti podaří objevit podezřelý skript, hledej přístupy ze stejné IP na jiné skripty. Hezký nástroj, který umí filtrovat a zobrazovat logy je Apache Log Viewer

Pokud by to nechodilo ze serveru, máš nastavené na doméně SPF, popř. DKIM?

Hosting vypínátko na mail funkce nemá, mohou prý nastavit globálně, ale jen pro všechny weby, co u nich mám. Provozuju je na multihostingu. Plošně to však nechci, zatím hledám jiné řešení.

MaK.

Cony napsal:

MaK. napsal: „Vypnout“ phpmailer – je např. tohle, myslíš, vhodný postup? www.itoctopus.com/how-to-completely-disa...ctionality-in-joomla nebo doporučuješ něco jiného?

Ne, tím jsem myslel na úrovni hostingu. Některé hostingy mají v nastavení přepínátko "Zakázat maily" (nebo naopak "Povolit maily"). To je jediná jistá možnost.

Na různých verzích, od 1.5 až po 3.9, jedná se o více webů.

Stáhl jsem 2 weby z FTP sobě, projel 3 antiviry, a nic, žádný škodlivý balast neobjevily.

Z hostingu mi psali, že vysledovali pokusy o napojování na kontaktní formuláře, které na webech však vidět vůbec nejsou.

"GET /index.php?option=com_contact&view=contact&id=1 HTTP/1.1" 200 13692"

Zkusmo jsem zakázal celou komponentu Kontakty. Uvidím, jestli to pomůže.

MaK.

Linelabcz napsal: Na jaké verzi joomla ten problematický web běží? Můžete dát url toho webu?

Je to možné. Prozatím to vypadá, že zákaz komponenty Kontakty a všeho souvisejícího snad pomohl, ale ještě počkám.

MaK.

Linelabcz napsal: Aha, Typuju že používáte nějakou starou verzi Joomla šablony s přepsaným com_contact tam hledejte možný problém. Základ jsou logy.

Snažím se mít vše aktualizované, zabezpečené. U starších webů na J!1.5 toho už ale moc neaktualizuju. U nových žádná nová aktualizace šablony není k dispozici.

Co tedy dalšího bych měl dělat, když je zakázat komponentu Kontakty blbost? Tu komponentu stejně nijak nepoužívám, tak proč je blbost ji zakázat, pokud je děravá?

Z logu toho moc nevyčtu, nejsem programátor. Proto dělám to, co (doufám) funguje.

Není přeci možné, aby běžní uživatelé Joomly tohle všechno podstupovali. Útočníci zřejmě nějak zneužívají komponentu Kontakty. Na webech, kde jsem ji zakázal, rozesílání spamu prozatím ustalo. Je samozřejmě možné, že objeví další cestu, uvidím.

MaK.

Linelabcz napsal: Udělejte co vám píšu "zakazovat" komponentu jádra je blbost.

Víte co?

Mě to nějak zahlcuje (hlavně ty rady ptáka loskutáka od každého trochu)

Nabízím Vám profesionální odvirování webu a následné profesionální zabezpečení (i když je staré verze J15) pokud máte zájem.

Jde o pečlivě otestované postupné kroky, které jsme vyvinuli v EasySoftware v roce 2013. Nasazeno asi na 150 joomla webech různých verzí. Od té doby není ani jeden web zavirovaný.

Kopírování prezentace na local a projítí antivirem tam fakt není

S pozdravem

Rudolf

Franto, přesně

Víš kolik takových joomla webů mám zabezpečených == Joomla 10 let starých a již nejsou nikdy napadené?