На joomla рассылка спама как вылечить
К сожалению, столь любимая и удобная (а еще бесплатная!) CMS Joomla популярна не только среди разработчиков сайтов и веб-мастеров, мирно развивающих свои проекты в интернете. Joomla, будучи опенсорсным движком, открытым «для изучения», часто привлекает внимания хакеров, которые атакуют сайты на Джумле, чтобы использовать их в неблаговидных целях, например, для проведения почтовых спам рассылок. (Более подробно о видах спама можно прочитать в статье «Спам на сайте – это не только почтовая рассылка»).
Времена, когда спам рассылался с целью распространения навязчивой, но все же безобидной рекламы, остались в прошлом. Сегодня за счет рассылки спама злоумышленники все чаще решают более «серьезные» задачи – распространение фишингового контента и троянских программ, заражающих компьютеры пользователей.
О том, что сайт атакован и с него ведется несанкционированная рассылка, владелец может узнать не сразу. Какое-то время злоумышленник эксплуатирует взломанный сайт незаметно для веб-мастера, отправляя тонны нелегитимных сообщений с аккаунта. Зато совсем недолго в неведении будет оставаться хостер. Рассылка спама является нарушением правил пользования хостингом. И ваш хостинг-провайдер или заблокирует функции отправки почты с сайта (при этом сайт будет открываться в браузере и оставаться доступным для посетителей), или поступит строже – заблокирует аккаунт до решения проблемы. Если в это время посетители зайдут на ваш сайт, их будет ждать невеселая заглушка, всем своим видом демонстрирующая, что у вашего сайта проблемы.
Чтобы понять, как бороться со спамом, разберемся, каким образом действуют хакеры. Для проведения почтовых спам рассылок злоумышленники могут использовать несколько способов:
- Эксплуатация уязвимостей в CMS Joomla. Например, эксплуатироваться может компонент VirtueMart в старой версии CMS, именно поэтому владельцы интернет-магазинов на Джумле часто «страдают» от рассылок спама.
- Использование спам-скрипта, который хакер загружает на взломанный сайт после успешной атаки.
- Взлом почтового ящика на одном из доменов, размещенных на аккаунте хостинга.
- Использование уязвимой конфигурации сервера (Open Relay).
Для того чтобы ликвидировать проблему почтовой спам рассылки, нужно определить ее источник, например, местонахождение спам-скрипта. Для этого необходимо проанализировать следующие данные (эту информацию вы можете запросить у своего хостера):
- Примеры спам-писем (включая служебные заголовки). Служебный заголовок может содержать информацию о скрипте, с помощью которого было отправлено конкретное письмо.
- Лог почтового сервера на день спам-рассылки. Если примера спам-письма нет или информации в нем недостаточно, то нужно анализировать записи в журнале почтового сервера, где можно отследить все отправки, которые производились в течение дня.
- Лог веб-сервера на день спам-рассылки. Логи сервера помогут сопоставить информацию, полученную в результате анализа спам-писем и логов почтового сервера, и отследить несанкционированные вызовы скриптов сайта в день спам рассылки. Вероятнее всего некоторые будут вызовами спам-рассыльщиков.
Если по каким-то причинам анализ данной информации и ликвидация спам-скрипта вашими силами невозможны, вы всегда можете обратиться к нам, предоставив выше указанную информацию. В течение 48 часов мы ликвидируем проблему и поставим на сайт защиту от взлома, чтобы вам избежать подобных ситуаций в будущем.
Помните, что само по себе удаление спам-рассыльщика решает проблему только частично. Нужно не просто удалить скрипт, рассылающий сообщения, но и закрыть уязвимости, эксплуатируя которые хакер получил доступ к вашему веб-ресурсу.
В завершении советы для всех, кто хочет избежать проблемы рассылки спама со своего сайта:
- Регулярно проверяйте сайт на предмет взлома и заражения. Поможет в этом сканер вредоносного кода AI-BOLIT. Своевременное обнаружение проблемы (например, когда хакер уже загрузил шелл на ваш сайт, но еще не начал его использовать) поможет избежать печальных последствий взлома и заражения.
- Обновляйте CMS и плагины до последней версии сразу, как только они становятся доступны. Старые версии могут содержать критические уязвимости, через которые вас могут взломать.
- При работе с сайтом через открытые Wi-Fi используйте безопасное VPN соединение.
- Регулярно меняйте пароли к админ-панели сайта и хостингу.
- Работайте с сайтом по безопасному протоколу SFTP, SCP или SSH. Откажитесь от небезопасного FTP.
- Если не используете коммерческий антивирус на компьютере, обязательно установите его. Шанс своевременно обнаружить вирус или троян на компьютере становится намного выше.
- Защитите сайт превентивно – и вы не столкнетесь с проблемами в будущем.
Источник
0 Пользователей и 1 Гость просматривают эту тему.
- 24 Ответов
- 7126 Просмотров
Добрый день, уважаемое сообщество, подскажите пожалуйста как избавиться от спам рассылки.
На сервере в логах выяснил какой файл отвечает за рассылку спама, пока его убрал с сервера, но этот же файл отвечает и за саму почту, видимо надо что-то в коде убрать. Файл phpmailer.php, к сожалению в php я совсем нуб. Посмотрите пожалуйста на код, что тут может рассылать спам?
А зачем смотреть код? Есть сомнения- замени на такой же файл из дистра Joomla.
А вообще начни с пользователей сайта. Кто может воспользоваться рассылкой с сайта, и в каких расширениях на сайте есть рассылка.
Там же mail.log пишется и эмэйл юзера, который отсылает письмо
К сожалению, там только на какой почтовый ящик отправляется письмо, никаких юзеров там нет. Попробую сравнить чистый файл от моего, правда нашел его с более высокой версии, как вы думаете различия будут из-за того что разные версии?
К сожалению, там только на какой почтовый ящик отправляется письмо, никаких юзеров там нет. Попробую сравнить чистый файл от моего, правда нашел его с более высокой версии, как вы думаете различия будут из-за того что разные версии?
Почти никаких различий там не будет. Если найдете различия, скидывайте куски кода, мы посмотрим. Но попробуйте совет от draff – посмотрите, какие юзеры у вас могут пользоваться рассылкой. Так же рассылку могут выполнять через модули, компоненты, посмотрите, что у вас установлено.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Так ведь хостер мне четко сказал, что:
Вот именно поэтому и начал копать этот файл. Посмотрите пожалуйста код, это код как раз из этого файла, что там может рассылать спам.
То есть вы хотите, что бы мы сидели и скурпелезно сравнивали более 1300 строк кода с оригиналом? Вы думаете, кто то здесь будет этим заниматься? Вам дали совет – если есть подозрения – замените файл оригинальным из дистрибутива.
Кроме того, там функция отправки почты, которая всего лишь отправляет почту. У вашего хостера могут быть ограничения – например, не более 1000 писем в сутки, могут быть ограничения на количество писем в минуту и так далее. Уточните эти детали. Быть может произошла отсылка большого пакета, скажем 20 писем в секунду вместо 5. Хостеру плевать, что вы там отправляете – уведомления о регистрации или спам, превышение ограничений расценивается как спам и влечет блокировку почтовой рассылки.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Вы наверное меня Неправильно поняли, я не прошу сравнивать, сравнить я и сам могу, я спросил потому как надеялся, что если спам проблема частая, то может быть уже кто-то с этим сталкивался и точно знает где в коде может быть косяк. Вот и все.
Вы думаете если заменить файл оригиналом проблема исчезнет?
Но тогда вопрос, а в этом файле надо что-то дополнительно самому прописывать чтобы привязать к своему сайту, или просто взять чистый файл и через ftp на хостинг залить и все начнет работать?
Или все же надо что-то в нем прописать чтобы привязать к сайту и почте?
Я применяю проверку на авторизацию в com_mailto
п.с.
При обновлении файл mailto.php перезаписывается, так что нужно следить за наличием кода проверки на авторизацию
« Последнее редактирование: 21.04.2015, 08:37:25 от draff »
Только что залил новый файл, и спам опять тут как тут. Пришлось сразу же удалять этот файл опять. Сейчас попробую сделать изменения в mailto.php, как вы советуете, о результате отпишусь.
Вы что между строк читаете вам же указали файл рассылки
Проверить, рассылается ли спам с Вашего аккаунта Вы можете, просмотрев следующий файл:
/var/www/******/data/phpmail.ru
смотрите его содержание, ищите как он попал на сервер и латайте дыры на своем сайте, и чистите сайт
Вы что между строк читаете вам же указали файл рассылки
смотрите его содержание, ищите как он попал на сервер и латайте дыры на своем сайте, и чистите сайт
В том-то и дело, что я этот файл уже удалил и залил новый из дистрибутива Joomla, но как только я залил этот файл спам рассылка снова началась.
Я применяю проверку на авторизацию в com_mailto
п.с.
При обновлении файл mailto.php перезаписывается, так что нужно следить за наличием кода проверки на авторизацию
К сожалению не помогло. Изменения в mailto.php внес, но как только положил залил phpmailer.php спам рассылка началась по-новой((
Подскажите, может еще какие-то варианты будут?
Вы думаете если заменить файл оригиналом проблема исчезнет?
Я вам изначально говорил, что этот файл – всего лишь транспорт, который доставляет почту. Вы его перезалили из дистрибутива, спам опять пошел. Значит причина не в файле phpmailer.php. Но прав модератор flyingspook, хостер вам в письме дал рекомендацию проверить
Проверить, рассылается ли спам с Вашего аккаунта Вы можете, просмотрев следующий файл:
/var/www/******/data/phpmail.ru
Вот его и смотрите.
Ваша задача – выловить скрипт, который рассылает почту с помощью файла phpmailer.php.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Вот тут, извините, можно по-подробнее, а то действительно не понял. Я залил на хостинг новый файл phpmailer.php спам продолжился. т.е. получается скрипт рассылки находится не в этом файле? Я так понял, что через этот файл, он просто отправляет почту. Т.е. грубо говоря скрипт рассылки спама находится в файле “А”, от туда он передает какие-то данные на отправку в файл phpmailer.php, и этот файл является просто способом отправки переданных в него данных, сам же файл не является носителем кода с помощью которого отправляется спам. Я правильно понял?
А каким образом тогда вычислить где находится этот скрипт?
Вот тут, извините, можно по-подробнее, а то действительно не понял. Я залил на хостинг новый файл phpmailer.php спам продолжился. т.е. получается скрипт рассылки находится не в этом файле? Я так понял, что через этот файл, он просто отправляет почту. Т.е. грубо говоря скрипт рассылки спама находится в файле “А”, от туда он передает какие-то данные на отправку в файл phpmailer.php, и этот файл является просто способом отправки переданных в него данных, сам же файл не является носителем кода с помощью которого отправляется спам. Я правильно понял?
А каким образом тогда вычислить где находится этот скрипт?
Вы правильно поняли. Есть скрипт, который формирует сообщение и есть скрипт, который это сообщение доставляет. В данном случае почтальоном является phpmailer.php. Смотрите, что его вызывает, какой файл. Проверьте рекомендации хостера.
Что у вас тут: /var/www/******/data/phpmail.ru ?
« Последнее редактирование: 21.04.2015, 09:46:33 от sebun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Вы правильно поняли. Есть скрипт, который формирует сообщение и есть скрипт, который это сообщение доставляет. В данном случае почтальоном является phpmailer.php. Смотрите, что его вызывает, какой файл. Проверьте рекомендации хостера.
Что у вас тут: /var/www/******/data/phpmail.ru ?
Здесь вот, что и соответственно таких строк целая куча.
Как же вычислить где этот скрипт?
А может проще сканер айболит запустить. Заодно и весь сайт проверит.
Здесь вот, что и соответственно таких строк целая куча. Как же вычислить где этот скрипт?
У вас большой сайт? Может имеет смысл даже не айболитом проверять, а скачать с Joomla.org дистрибутив и залить в чистую папку, перенести ваш шаблон, компоненты, базы (пользователи, материалы, комментарии и т.д.), то есть кардинально обновить систему. Если вас взломали и засунули в код спамилку, то если и почистите, взломают опять.
Ваши действия следующие:
1. Разворачиваете сайт на локальном сервере
2. Переносите данные (шаблон, компоненты, материалы, картинки)
3. Переносите сайт на хостинг
Думаю, это будет лучше, чем искать иголку в стоге сена. Заодно обновите движок.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
У вас большой сайт? Может имеет смысл даже не айболитом проверять, а скачать с Joomla.org дистрибутив и залить в чистую папку, перенести ваш шаблон, компоненты, базы (пользователи, материалы, комментарии и т.д.), то есть кардинально обновить систему. Если вас взломали и засунули в код спамилку, то если и почистите, взломают опять.
Ваши действия следующие:
1. Разворачиваете сайт на локальном сервере
2. Переносите данные (шаблон, компоненты, материалы, картинки)
3. Переносите сайт на хостингДумаю, это будет лучше, чем искать иголку в стоге сена. Заодно обновите движок.
Попробую, спасибо. Хотя если скрипт сидит в каком-нибудь компоненте он же, по идее, тоже перенесется?
Попробую, спасибо. Хотя если скрипт сидит в каком-нибудь компоненте он же, по идее, тоже перенесется?
нет, компоненты вы скачаете и установите заново, новые версии, перенесете только их базы.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Вобщем, пока, проблема решена таким образом. Непосредственный хозяин сайта решил, что ему ненужна никакая почта приходящая с сайта, а также он ничего с него отправлять не хочет, поэтому просто удалили phpmailer.php и на этом остановились, а жаль, хотелось бы самому разобраться как с этим бороться, ведь проблема частая. Всем огромное спасибо за помощь, действительно живой и полезный форум. Еще раз всем спасибо.
Как вариант на будущее- искать в файлах сайта создание объекта PHPMailer. И сверять файлы, с исходным кодом расширений.
Столкнулся с такой же бедой! Спам сыпется ежесекундно, скачал файловый архив сайта 3,5 ГБ, проверил айболитом.
Такой результат:
Затрачено времени: 2 h 4 m . Сканирование начато 22-05-2018 в 07:31:35, сканирование завершено 22-05-2018 в 09:36:02
Всего проверено 2683 директорий и 31951 файлов. Использовано памяти при сканировании: 10.71 Mb.
Сводный отчет
Вредоносных скриптов 21
JS Вирусов 2
Исполняемых файлов 1
Пропущенных больших файлов 550
Рекламных ссылок и кодов 6
Сравнивал с рабочей версией файлового архива от марта 2018 г. и там где были расхождения, все возвращал в “родное ” состояние. В марте 2018 г. сайт работал нормально.
Хостер включил сайт и спустя 5 минут опять его выключили.
В журналах хостера такая картина:
https://cloud.mail.ru/public/AMjS/XivzhyF51
Я попробовал зайти по быстрому выключил всех пользователей кроме себя, удалил phpmailer.php,
а в журнале как шел поток спама, так и продолжался
Помогите, пожалуйста!
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
Делать сайт самому с нуля, вот как!
Источник