Odesílání spamu přes phpmailer.php – jak zakázat?

Odpověď od MaK.
26. úno 2019 10:25 #139208
Asi jo, Cony, odchází, protože na jednom webu mám jako admin/odchozí nastaven seznamácký e-mail, odlišný od domény. Ve spamech je ten e-mail uveden a doména též.

Nevím, jak na to hosting přišel.

Teď 1 web z FTP stahuju, abych ho projel antivirem.

„Vypnout“ phpmailer – je např. tohle, myslíš, vhodný postup? www.itoctopus.com/how-to-completely-disa...ctionality-in-joomla nebo doporučuješ něco jiného?

Za návod, jak lovit neřády a tip na prohlížení access.logu díky.

Ano, mám na DNS nastavené SPF, DKIM, DMARC.

Dík, MaK.

Cony napsal: Primárně, opravdu maily ze serveru odchází? To že se něco vrací do schránky nemusí znamenat že to ze serveru opravdu odešlo. Mohl to poslat kdokoliv odkudkoliv jen uvést odesílatele... Jak jsem psal, hosting by měl mít výpis mailů co opravdu ze serveru odcházej. Pokud se dá na úrovni serveru zakázat phpmail, zakaž ho a když to bude chodit dál, není to tvůj problém (teda částečně).

Za druhý, jak přišel hosting na to "zřejmě přes phpmailer.php"? A jaký phpmailer.php? Divil bych se pokud by stránky byly napadený, že by virus používal phpmailer, spíš by skript posílal maily napřímo.

Za třetí Pokud se potvrdí, že to je ze serveru, tak nějaký ten antivir může být zajímavý vodítko. Kontrola souborů pomocí Admin Tools také (zkontrolovat obsah souborů který maj skóre větší než 0, popř. porovnat s originály, nemělo by jich být více než cca 30-50, podle toho co vše na webu je za rozšíření).

Rychlé a poměrně funkční kontrola také bývá podle data souborů, pokud jsi tedy v mezičase neaktualizoval...

V tom access logu se musíš primárně zaměřit na php skripty, obrázky, css, javascripty apod. můžeš ignorovat. Pokud se ti podaří objevit podezřelý skript, hledej přístupy ze stejné IP na jiné skripty. Hezký nástroj, který umí filtrovat a zobrazovat logy je Apache Log Viewer

Pokud by to nechodilo ze serveru, máš nastavené na doméně SPF, popř. DKIM?


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 11:58 #139212
Na jaké verzi joomla ten problematický web běží? Můžete dát url toho webu?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
26. úno 2019 12:55 #139214

MaK. napsal: „Vypnout“ phpmailer – je např. tohle, myslíš, vhodný postup? www.itoctopus.com/how-to-completely-disa...ctionality-in-joomla nebo doporučuješ něco jiného?

Ne, tím jsem myslel na úrovni hostingu. Některé hostingy mají v nastavení přepínátko "Zakázat maily" (nebo naopak "Povolit maily"). To je jediná jistá možnost.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
26. úno 2019 12:57 #139215
Hosting vypínátko na mail funkce nemá, mohou prý nastavit globálně, ale jen pro všechny weby, co u nich mám. Provozuju je na multihostingu. Plošně to však nechci, zatím hledám jiné řešení.

MaK.

Cony napsal:

MaK. napsal: „Vypnout“ phpmailer – je např. tohle, myslíš, vhodný postup? www.itoctopus.com/how-to-completely-disa...ctionality-in-joomla nebo doporučuješ něco jiného?

Ne, tím jsem myslel na úrovni hostingu. Některé hostingy mají v nastavení přepínátko "Zakázat maily" (nebo naopak "Povolit maily"). To je jediná jistá možnost.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 12:59 - 26. úno 2019 12:59 #139216
Řešte příčinu, pošlete tu url?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
26. úno 2019 13:01 #139217
Na různých verzích, od 1.5 až po 3.9, jedná se o více webů.

Stáhl jsem 2 weby z FTP sobě, projel 3 antiviry, a nic, žádný škodlivý balast neobjevily.

Z hostingu mi psali, že vysledovali pokusy o napojování na kontaktní formuláře, které na webech však vidět vůbec nejsou.

"GET /index.php?option=com_contact&view=contact&id=1 HTTP/1.1" 200 13692"

Zkusmo jsem zakázal celou komponentu Kontakty. Uvidím, jestli to pomůže.

MaK.

Linelabcz napsal: Na jaké verzi joomla ten problematický web běží? Můžete dát url toho webu?


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 13:19 - 26. úno 2019 13:27 #139219
Aha, Typuju že používáte nějakou starou verzi Joomla šablony s přepsaným com_contact tam hledejte možný problém. Základ jsou logy.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 13:22 #139220

MaK. napsal: Z hostingu mi psali, že vysledovali pokusy o napojování na kontaktní formuláře, které na webech však vidět vůbec nejsou.


To že na webu jakákoliv joomla komponenta není vidět neznamená vubec nic.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
26. úno 2019 13:30 #139221
Je to možné. Prozatím to vypadá, že zákaz komponenty Kontakty a všeho souvisejícího snad pomohl, ale ještě počkám.

MaK.

Linelabcz napsal: Aha, Typuju že používáte nějakou starou verzi Joomla šablony s přepsaným com_contact tam hledejte možný problém. Základ jsou logy.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 13:35 - 26. úno 2019 13:38 #139222
Udělejte co vám píšu "zakazovat" komponentu jádra je blbost.

Jestli přesně nevíte co myslím tak:

v defaultní šabloně na webu zkontrolujte adresář templates/vase_sablona/html/com_contact, adresář přejmenujte

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od MaK.
26. úno 2019 13:41 - 26. úno 2019 13:43 #139223
Snažím se mít vše aktualizované, zabezpečené. U starších webů na J!1.5 toho už ale moc neaktualizuju. U nových žádná nová aktualizace šablony není k dispozici.

Co tedy dalšího bych měl dělat, když je zakázat komponentu Kontakty blbost? Tu komponentu stejně nijak nepoužívám, tak proč je blbost ji zakázat, pokud je děravá?

Z logu toho moc nevyčtu, nejsem programátor. Proto dělám to, co (doufám) funguje.

Není přeci možné, aby běžní uživatelé Joomly tohle všechno podstupovali. Útočníci zřejmě nějak zneužívají komponentu Kontakty. Na webech, kde jsem ji zakázal, rozesílání spamu prozatím ustalo. Je samozřejmě možné, že objeví další cestu, uvidím.

MaK.

Linelabcz napsal: Udělejte co vám píšu "zakazovat" komponentu jádra je blbost.


--- -- -

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 13:51 #139224
Joomla 1.5 je přes 10 let stará záležitost :-( To jsem přehlédl.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
26. úno 2019 13:54 #139225
Víte co?

Mě to nějak zahlcuje (hlavně ty rady ptáka loskutáka od každého trochu) :D

Nabízím Vám profesionální odvirování webu a následné profesionální zabezpečení (i když je staré verze J15) pokud máte zájem.

Jde o pečlivě otestované postupné kroky, které jsme vyvinuli v EasySoftware v roce 2013. Nasazeno asi na 150 joomla webech různých verzí. Od té doby není ani jeden web zavirovaný.

Kopírování prezentace na local a projítí antivirem tam fakt není :D

S pozdravem

Rudolf

MiniJoomla! - www.minijoomla.org - eshop s rozšířením
Virtuemart Mailing Manager - aplikace na správu šablon emailů pro VirtueMart
XML Easy Feeder - aplikace na generování feedů, napojení na ERP pro VirtueMart
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla!

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Linelabcz
26. úno 2019 14:02 #139227
Co bys chtěl Rudo odvirovávat přesně? :-) 10 let starou Joomla s nahlášenými desítkami kritických bezpečnostních chyb?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
26. úno 2019 17:29 #139234
Franto, přesně :)

Víš kolik takových joomla webů mám zabezpečených == Joomla 10 let starých a již nejsou nikdy napadené?

MiniJoomla! - www.minijoomla.org - eshop s rozšířením
Virtuemart Mailing Manager - aplikace na správu šablon emailů pro VirtueMart
XML Easy Feeder - aplikace na generování feedů, napojení na ERP pro VirtueMart
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla!

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.