Odesílání spamu přes phpmailer.php – jak zakázat?

MaK. napsal: To jsem zkoušel, přepnout na SMTP, ale nepomohlo.

MaK.

Pavel [byPV.org] napsal: Já osobně se domnívám, že na to jdete úplně špatně...

Pokud chcete skutečně zakázat odesílání e-mailů, tak nejjistější řešení je zakázat to na úrovni serveru/hostingu. Knihovna PHPMailer je integrovaná v Joomla! na úrovni jádra a tudíž tam být musí a pravděpodobně by po smazaní Joomla! padla a bylo by nutné více úprav. Také můžete zkusit vypnout odesílání e-mailů v konfiguraci Joomla!, ale pokud někdo využívá knihovnu PHPMailer napřímo (a nebo ji ani nevyužívá a využívá PHP funkci mail()), tak tím nic nevyřešíte.

Pokud někdo skutečně zneužívá nějakou chybu v této knihovně (podle mého nepravděpodobné), tak je možné ji zkusit aktualizovat, ale v poslední verzi Joomla! je poslední verze PHPMailer ve větvi 5.x, tudíž není kam aktualizovat a nevím jestli je větev 6.x plně kompatibilní.

Spíš bych viděl na problém v tom, že se Vám prostě do webu někdo naboural a má tam teď umístěné skripty, které mu umožňují provádět v systému cokoli. Tzn., že i kdyby jste se PHPMaileru zbavil, tak začne posílat maily jinak a nebo si tam případně PHPMailer znovu nahraje . Dokud tedy ten škodlivý kód nenajdete, nezbavíte se ho a nezalepíte cestu, kudy se Vám tam dostal (nejjednodušší je nahlédnout do access.log v době, kdy se rozeslal SPAM), tak je vše co uděláte jen dočasné řešení. A navíc ani zákaz rozesílání e-mailů nijak nezmění fakt, že má například někdo plný přístup k Vašemu webu a může tam cokoli.

Nedívejte se však na to jen z pohledu, že jediná možnost jak se k Vám nabourat, je přes formuláře na webu. Zranitelný může být naprosto jakýkoli skript na Vašem webu a je úplně jedno co ten skript dělá, zda-li je na první pohled přístupný z URL (to vážně nemusí) a nebo jestli je součástí jádra Joomla!, externí knihovny a nebo nějaké šablony, komponenty, modulu či pluginu.

Navíc, pokud máte jak sám píšete, některé weby na zastaralých verzích Joomla! a nezáplatujete si je manuálně, tak je dost možné, že se Vám tam útočník dostal přes ně. A pokud ty weby sdílí hosting (tzn. např. více domén a složek na jednom placeném programu), tak dost hostingů co jsem v životě potkal nijak neodděluje tyto weby na úrovni systému a každý web má prakticky plný přístup k ostatním webům okolo. Tím chci říci, že pokud to máte jak popisuji, tak je také klidně možné, že Vám někdo hacknul nezáplatovanou Joomla! 1.5 a z ní se dostal (a něco si nahrál) do ostatních webů.

Tudíž, pokud to tak máte a budete čistit jeden hacknutý web, tak je potřeba zkontrolovat i vše ostatní na stejném hostingu, jinak je otázka času, než se malware zase rozleze po okolí.

Co já mám zkušenost, tak se většina malwaru chová tak, že když útočník najde slabé místo kudy tam něco dostat, tak pak co nejdříve volá vzdálené příkazy, které umožní škodlivému kódu se v různých podobách rozkopírovat na co nejvíce míst a co nejhlouběji do webu (termín "virus" je zde na místě ). Během chvilky může být napadeno třeba 100 souborů a když útočník hodlá rozeslat e-maily a jeden např. nefunguje, tak prostě zvolí jiný a nebo si kdykoli napadne další soubory, aby měl další "zálohu" až na ty původní přijdete a opravíte/smažete. Jsou to hrozní hajzlící a dokud se nezbavíte všeho a naráz a nezalepíte díru kudy přišel první malware, tak to může být, jak se říká, boj s větrnými mlýny .

Ernst napsal: nevím, jestli je to s tím antivirem jasné.
Já jsem navrhoval stáhnout webový prostor (celý web) pomocí ftp nebo i jinak na lokální disk (flash, či cokoliv jiného) a nechat to pod windows zkontrolovat antivirem.
Tedy ne pouštět antivir na serveru či si nechat nějak antivirem měnit obsah webu.

Ernst napsal: použil jsem klidně i obyčejný defender. U pár webů to pomohlo, netvrdím, že vždy.

Znáš tohle? haveibeenpwned.com/

Ernst napsal: neboj, je to prověřený
já ho tam kdysi dal a pak jsem si hned měnil pro jistotu hesla

ono to jen prohledá veřejné a poloveřejné databáze

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.

Pavel [byPV.org] napsal: A o jaký jde hosting? Zkoušel jste ten access.log a porovnat čas kam kdo přistupuje v době, kdy se rozesílají spamy? To je dost silné vodítko, protože obvykle musí dát útočník nějaký vzdálený impuls k rozeslání těch spamů.