Spam über Formulare

Zitat von SniperSister

Der @zero24 war fleißig und hat für 3.8 einen PR gebaut, der die Copy-Funktion für neue Installationen per Default deaktiviert:
https://github.com/joomla/joomla-cms/pull/17848

Vielleicht noch als Hinweis bis dahin:

Bei mir wollte das Feld beim ersten Kontakt nicht verschwinden. Habe unter:

Kontakte-Optionen-Formular-Kopie an Absender auf 'Verbergen'

und unter

Kontakte-'Angelegter Kontakt' (Titel)-Formular-Kopie an Absender auch auf 'Verbergen' gestellt.

Dennoch wurde das Feld beim menüverlinkten Kontakt angezeigt.
Das war das Stw: Menülink.

Auch beim Menülink 'Kontakt-Einzelner Kontakt' gibt es noch die Möglichkeit Kopie an Absender zu verbergen.

Danach klappte es.

Nur als Info, falls es nicht klappen sollte.

Also mich hat es zu diesem Thema auch erwischt und da ich in Joomla nicht so versiert bin wollte ich die Profis unter euch fragen ob ich alles richtig gemacht habe:
So hat mich der Provider informiert:
Über das Skript wird Spam versandt:"/home/www0985/www.grinningskull.at/component/contact/contact/4-main-contact/1/index.php" Beispiel:  To: info@beispiel.atSubject: =?utf-8?B?VEVBTSBHUklOTklORyBTS1VMTDog5aSq6Ziz5Z+O6ZuG5Zui5byA5oi3?= =?utf-8?B?5Y2z6YCBMjjlvanph5E=?=X-PHP-Originating-Script: 1798:class.phpmailer.phpDate: Sun, 28 Jan 2018 10:53:49 +0100From: GRINNINGSKULL <franz@beispiel.at>Reply-To: =?utf-8?B?55m95ruh5LiB?= <419785529@qq.com>Message-ID: <b110091723da179b8bd925997ece97ec@www.grinningskull.at>MIME-Version: 1.0Content-Type: text/plain; charset=utf-8Content-Transfer-Encoding: 8bitReturn-Path: franz@beispiel.atX-User: 1798X-Uri: L2luZGV4LnBocA==X-Path: L2hvbWUvd3d3MDk4NS93d3cuZ3Jpbm5pbmdza3VsbC5hdC9jb21wb25lbnQvY29udGFjdC9jb250YWN0LzQtbWFpbi1jb250YWN0LzE=X-Remote: NTkuMzQuMjAzLjExNw==

Nachdem mich mein Provider informiert hat das mein Joomla spamt und deshalb gesperrt wurde hab ich auf das Stammverzeichnis einen Verzeichnisschutz gegeben und ein Backup zurück gespielt.

Dann hab ich unter Erweiterungen - Module das Modul Contact deinstalliert.
Dann hab ich unter Komponenten - Kontakte (hab nur einen Main Contact) unter dem Reiter Formular folgendes eingestellt:
Kontaktformular: verbergen
Kopie an Absender: verbergen

Ich hoffe ich hab da nichts vergessen - vielen Dank für eure Hilfe!

Sorry wenn ich das so direkt sage, aber du wurdest gehackt.

Erstes Indiz dafür ist der Ordner contact innerhalb von components. Alle Erweiterungen die regulär dort installiert werden fangen mit com_ an.

Das Abschalten der Core-Komponente hilft da nicht weiter. Auch das Deinstallieren des Modules ist hinfällig.

Wann und wie das passieren konnte, muss nun über die Server-Logs geprüft werden, außer der Ordner contact ist noch vorhanden, dann kannst du mal schauen welches Erstellungsdatum Dieser hat und dann in den Server-Logs prüfen wie bei dir eingebrochen wurde. Solange dieser Ordner noch existiert, bist du aber auch weiterhin gehackt.

Möglicherweise nutzt du auch eine Erweiterung, die unsicher ist oder du hast die Aktualisierungen der Erweiterungen/Joomla!-Core zu lange vor dich hin geschoben.

Es ist auch nicht ausgeschlossen, das noch woanders Dateien im System sind, die da nicht hingehören und dich wieder angreifbar machen.

Sorry für die schlechte Nachricht.

P.S. Hier findest du ein wenig hilfe für diesen Fall
Mein Joomla wurde gehackt! Was kann ich tun?

Ja schon klar - ich hab ja den ganzen Inhalt des Stammverzeichnisses gelöscht nachdem es mit dem Spamversand losgegangen ist und ein Backup rückgesichert welches einige Zeit vor dem Angriff erstellt wurde.
Danach hab dich vorher genannte Massnahmen durchgeführt und da gibt es auch dieses von dir genannte nachfolgende Verzeichnis nicht mehr:
www.grinningskull.at/component…-main-contact/1/index.php

So sollte dann doch die Version vor dem Hack hergestellt sein oder sehe ich das falsch.
Danach hab ich halt die oben beschriebenen Maßnahmen durchgeführt oder sollte ich da noch etwas machten außer natürlich alle Updates?

Der Spamversand erfolgte nicht über Joomla sondern über ein auf deinem Webspace abgelegtes Script.
Offensichtlich dieses:
..component/contact/contact/4-main-contact/1/index.php

Durch die Rücksicherung des Backups ist das Script gelöscht. So mit wird im Moment vermutlich erstmal kein Spam versendet.

Was bleibt ist die Frage: Wie ist es einem Angreifer gelungen auf deinen Webspace zuzugreifen und dort ein Script abzulegen?
Diese Frage musst du klären - sonst hast du nächste Woche das gleiche Problem wieder.

Hast du Zugriff auf Log-Dateien?

Schau mal, irgendwie konnte doch der Hacker die Dateien auf deinem Server platzieren. Solange das nicht klar ist, kannst du dir auch bei deinen Backups nie sicher sein.

Also wenn du auf Nummer Sicher gehen willst, empfehle ich dir eine komplette neue Installation mit Joomla 3.8.5 und Stück für Stück die Übertragung deiner Inhalte. Die Maßnahmen, die du getroffen hast sind nicht relevant, da die Core-Erweiterungen sehr wahrscheinlich nicht die Sicherheitslücken sind, zumindest wenn du immer zeitnahe aktualisiert hast (davon will ich mal ausgehen). Es ist also sehr wahrscheinlich, das eine zusätzliche Erweiterung hier eine Lücke ermöglicht hat. Das kannst du über die Server-Logs herausfinden, wenn sie lange genug zurück gehen und du ungefähr den Zeitpunkt des Einbruchs kennst.

Da das jetzt wohl nicht mehr möglich ist, bleibt dir also nur eine professionelle Prüfung ohne Garantien, oder eben die Neuinstallation mit der aktuellen Version und die genaue Prüfung der zu installierenden, zusätzlichen, Erweiterung.
Wie auch im verlinkten Post s.o. steht.

Das ist meine Einschätzung dazu.

....und nicht nur das Problem bei Joomla suchen. Ist Dein Rechner "sauber"? Bzw. von denen die Zugriff haben aufs Backend und FTP?

OK - danke an alle - dazu reicht mein Wissen wohl nicht aus - werde jetzt mal schaun ob das wieder passiert und wenn ja muss ich wohl einen Profi suchen.

Zitat von Regenmacher

werde jetzt mal schaun ob das wieder passiert

Das ist nicht Dein ernst oder?

Es ist sicher, dass sich die Sicherheitslücke auch im Backup befindet. Durch die Nachricht vom Hoster kannst du den Hack zeitlich eingrenzen, dazu gehört die Analyse der Logdateien. Die gesamte Installation muss auf den Kopf gestellt werden, in jedem Verzeichnis und in jeder Datei kann sich Schadcode befinden. Es ist nur eine Frage der Zeit, bis die Seite wieder gehackt werden wird.

Zitat von Regenmacher

mal schaun ob das wieder passiert

Da kannst Du auch einfach nur dabei zusehen, da der Hacker im übertragenen Sinne schon lägst den Schlüssel für Deine Kellertür hat.

Hallo zusammen

Ich habe dasselbe Problem heute nacht, innerhalb einer Stunde mehrere hundert emails über eine bestimmte Seite. Ich habe auf dieser Seite ein Kontaktformular und einen Login Bereich. Was ich nicht verstehe: Plötzlich erscheint auf fast jeder Seite oben (ähnlich wie ein Breadcrumb)
Drucken / Email / Zugriffe (component mailto und component print)

Wie kommt das dorthin? Das habe ich nicht als Modul eingearbeitet. Über diesen email-Link kommen offensichtlich diese Spamnachrichten.
Kann mir jemand sagen, wie ich das wieder weg bekomme?

Deine Seite ist höchstwahrscheinlich gehackt. Du hattest da schon Probleme Fremde Benutzer sind angelegt, onwohl die Registrierung "aus" ist

Was hast du damals unternommen? Has sich zwischenzeitlich etwas geändert?

Informiere deinen Hoster, er soll die Seite komplett sperren. Dann kann ein Profi herausfinden wie der Hacker eingedrungen ist - oder Entwarnung geben - man muss mit allem rechnen, auch mit dem Guten.

Hallo Christiane

Vielen Dank für deine schnelle Antwort. Ich habe die Benutzerregistrierung ausgeschaltet, ja und seither auch keine fremden Benutzer mehr. Die Seite komplett sperren könnte ich ja auch selber, aber ich denke nicht, dass die Seite gehackt ist. Ich werde erstmal Kontakt mit dem Hoster aufnehmen.
Wie diese Drucken / Email / Zugriffe auf den (Unterseiten) angezeigt werden, bzw. wieder ausgeblendet werden können, kannst du mir nicht sagen?

Nein, das kann man ohne Link nicht sagen. Schau doch, wohin diese Links genau führen?

Normalerweise erscheint nichts von selbst und normalerweise werden auch nicht innerhalb von Minuten hunderte mails versendet.

Liebe Christiane

Ich habe jetzt erstmal das ReCaptcha aktiviert (nach Rücksprache mit dem Hoster).

Diese Navigation Drucken / Email auf den einzelnen Seiten muss irgendwo im Joomla aktiviert / positioniert sein. Ich habe es auch auf anderen Seiten. Vielleicht im Template diekt?

Ach ich habe es entdeckt. Es hat nichts mit den Templates zu tun, da es auch mit einem Standardtemplate angezeigt wird.

Ist einfach die Option eines Menüeintrages (globale Einstellung = Anzeigen) z.B. bei Drucken und bei Email...

vielen Dank trotzdem

Hallo,

schließe mich Christianes' Worten an. Solltest die Seite von einem Fachmann untersuchen lassen.

Folgendes gilt jetzt nur zur Frage wegen: Drucken/Email etc.

backend: Inhalt > Beiträge > Optionen > Beiträge: dort kannst Du die globalen Einstellungen machen.

Weiters im Beitrag selbst, ob dort unter: dein Beitrag > Optionen > Globale Einstellung (Verbergen) steht.

Liebe Grüße

Christine

Von sich aus stellen sicj auch bei Updates die getroffenen Einstellungen nicht um.

Wenn du allein auf der Seite arbeitest und es ist plötzlich umgestellt deutet alles auf einen Hack hin.

Das solltest du nicht auf die Leichte Schulter nehmen.

Zitat von quittmann

Ich werde erstmal Kontakt mit dem Hoster aufnehmen.

Die Mittel von Hostern zur Identifizierung von Hacks sind ungenügend. Es gibt nur diese Varianten: Wenn sie was finden, kannst sicher sein, dass du gehackt bist. Wenn sie nichts finden, kannst du NICHT sicher sein, dass du nicht gehackt bist.

Und auch die Liste mit Dateien, in denen vom Hoster VIELLEICHT Schadcode gefunden wurde, ist nahezu NIE vollständig. Das Löschen dieser Dateien ist also keine ernstzunehmende Bereinigung. Und das Einfallstor hast du dadurch auch nicht ermittelt und es bleibt wie mit den Essigfliegen "Hab doch gestern erst alle totgeklatscht"

Zitat von quittmann

Die Seite komplett sperren könnte ich ja auch selber

Dann denke daran, dass der Wartungsmodus von Joomla KEINE adäquate Sperrung ist.