Spam Versand über Joomla

tekknotrip · 25. März 2020

Hallo,

möchte auch meinen Senf dazugeben. Habe heute eine E-Mail vom Provider bekommen:

Zitat

uns ist zur Kenntnis gelangt, dass ein ungesichertes Formular Ihrer Internetpräsenz zur Versendung von Massen-E-Mails missbraucht worden ist. Laut den uns vorliegenden Informationen erfolgte dies über die Datei:

./joomla-3-9-15/index.php

Um weiteren Missbrauch zu vermeiden und die Sicherheit unserer Server nicht weiter zu gefährden, mussten wir eine Sperrung der Mail.CGI-Funktion vornehmen. Das bedeutet, dass der Formularversand (zum Beispiel ein installiertes Gästebuch oder ein Feedback-Formular etc.) nicht mehr ausführbar ist. Die Webseite selber ist davon nicht betroffen und wird weiterhin angezeigt.

Wir bitten Sie hiermit, das Formular zu überprüfen und entsprechend abzusichern (ggf. mit einem Captcha).

Sobald die hier empfohlenen Maßnahmen Ihrerseits eingeleitet wurden bitten wir Sie, dass Sie uns per E-Mail entsprechend informieren.

Alles anzeigen

auf der Seite ist aber gar kein Formular aktiv - was ist in diesem Fall das sinnvolle Vorgehen?

kitepascal · 25. März 2020

tekknotrip Um welche Domain geht es?

Ist unter Komponenten -> Kontakt ein Kontakt angelegt?

Wenn ja, erreicht man das Formular auch per Direkteingabe der URL.
Du könntest a) den Kontakt dort rauslöschen und/oder b) über Erweiterungen -> Verwalten die com_contact deaktivieren.

Re:Later · 25. März 2020

Zitat von tekknotrip

auf der Seite ist aber gar kein Formular aktiv - was ist in diesem Fall das sinnvolle Vorgehen?

Frage ich gefühlt zum 100sten mal nach einem Link zur betroffenen Seite

Vielleicht hast "Mail an Freund" aktiv bzw. nicht geschützt, was ebenfalls mit ECC++ geht..

Code

/joomla-3-9-15/index.php

Diese Datei wird im Hintergrund in Joomla immer ausgeführt, halt mit mehr oder weniger Querystring-Gedöns hinten dran. "Datei" ist ungleich "Link/URL".

addi · 25. März 2020

Es könnte ein aktives Plugin sein, dass sich immer noch zuständig fühlt. Es könnte auch eine Leiche in Joomla sein, da inaktive Erweiterungen auch ausgenutzt werden können.

Genaueres kann man herausfinden, wenn man das Weblog mal durchforstet oder in der angesprochenen Richtung mal Joomla durchkämmt und alles Verdächtige still legt.

Die Registrierung anonymer Nutzer ist in Joomla ja dummerweise auch zunächst möglich, da würde ich auch mal nachschauen.

Indigo66 · 26. März 2020

OT: Haben dem Thread ein neues Thema gegeben da tekknotrip einen anderen gekapert hat der nicht genau mit dem anderen Thema zu tun hatte.

Zitat von tekknotrip

...Laut den uns vorliegenden Informationen erfolgte dies über die Datei:

Und wie heißt die Datei?

JohannesK · 26. März 2020

Zitat von Indigo66

Und wie heißt die Datei?

Na in seinem Fall index.php Aber der größter hat den Querstring nicht angegeben.

Aber wir haben es hier Mal wieder mit einer Geheimseite zu tun. Denke sonst wäre das direkt gelöst

tekknotrip · 27. März 2020

Indigo66,

das steht, wenn du auf alles anzeigen klickst

tekknotrip · 27. März 2020

Zitat von addi

Die Registrierung anonymer Nutzer ist in Joomla ja dummerweise auch zunächst möglich, da würde ich auch mal nachschauen.

Die ist schon seit jeher deaktiviert

tekknotrip · 27. März 2020

Im Log lässt sich folgendes finden:

j!-n · 27. März 2020

Hast du #2 befolgt? Laut Log gibt es einen Kontakt.

addi · 27. März 2020

Oder die Kontakte deaktiveren sollte auch gehen. Dass man da einfach was ungehindert senden kann ist aber auch ein Mega-Schnitzer.

Sieger66 · 27. März 2020

Ansonsten:

Zitat von Re:Later

Frage ich gefühlt zum 100sten mal nach einem Link zur betroffenen Seite

bzw.:

Forenregeln

tekknotrip · 27. März 2020

Soo, habe den Kontakt einmal deaktiviert. Mal sehen, ob das funktioniert.

Sieger66

Habe ich gegen Forenregeln verstoßen?

Und ja, Re:Later kennt den Link

Die Frage, die ich mir aber stelle: Wie kann es sein, dass über den Aufruf eines Kontaktformulares Spam-Mails an andere E-Mailadressen versendet werden kann? Wenn, dann sollte das doch nur an die eigene Adresse gehen!?

j!-n · 28. März 2020

Vermutlich, weil dort im Formular oder in den Optionen eingestellt ist, dass eine Kopie an den Absender geschickt werden soll. Der Absender ist dann in diesem Moment der Adressat. Der Empfänger einer Spam Mail. Die Option "Kopie an den Absender" funktioniert nur dann gut, wenn das Captcha gut ist.

tekknotrip · 28. März 2020

j!-n

Danke für den Hinweis - jetzt verstehe ich, wie das missbraucht werden kann!!!

Sieger66 · 28. März 2020

Zitat von tekknotrip

Habe ich gegen Forenregeln verstoßen?

Und ja, Re:Later kennt den Link

Aber andere Supporter haben auch danach gefragt und kennen den Link nicht und können daher nur rumraten.

Außerdem:

Der Link zur Website und um weitere Details wird ja schon in den Forenregeln gebeten:

Zitat von Das Forenteam

Für die Fragesteller:

Stellt Fragen in vollständigen Sätzen.

Gebt so viel Information bei wie möglich, bedenkt dass die Supporter nicht das sehen, was ihr vor euch seht.

Hast du schon bei einer Suchmaschine nach einer Lösung gesucht??

Joomla Version angeben

Welche PHP- / MySQL Version?

Gebt alle Angaben zu Versionen, Betriebssystemen, Erweiterungen, die ihr habt an

Welche Erweiterungen und Templates sind installiert?

Link zur Webseite bzw. Link zum Problem, nur so kann effektiv geholfen werden.

Was hast du bereits versucht und was hat nicht funktioniert und was hast Du getan, bevor es nicht mehr funktionierte?

Stelle die Joomla Fehlermeldung temporär auf "Maximum" und gebe die Fehlermeldung an

Sind alle Erweiterungen und Joomla selbst auf dem aktuellen Stand?

Besteht der Verdacht das eure Seite gehackt wurde, bitte keinen ausführbaren Link einstellen. Lasst in dem Fall das http:// und www. weg. (Die Moderatoren haben das Recht, verdächtige Links zu löschen oder zu entschärfen)

Wenn eine Frage in mehreren Foren gestellt wird ist es ein Gebot der Fairness, diese Fragen zu verlinken (Crossposting)

Neue Fragen, vor allem, wenn diese nicht vom Threadersteller kommen, nicht in schon bestehende Threads posten (Kapern eines Threads), sondern einen neuen eigenen Thread eröffnen.

Fragen sollen nur einmal gestellt werden, pushen ist unerwünscht.

TIPP: Ein "Dringende HILFE!!!!" führt nicht zu einer schnelleren oder besseren Antwort (in einem Supportforum will ausnahmslos jeder schnelle Hilfe erhalten). Im Gegenteil, viele Supporter fühlen sich stattdessen davon genervt und ignorieren gerne aufdringliche Threads.

Bedanke Dich mit einem "Like" oder dem Button "Danke, das ist hilfreich" (Icon grüner Stern ~~Glühbirne~~) bei den Antworten, die zur Lösung Deiner Frage beigesteuert haben.
Auch ein Feedback, welche Antwort zur Lösung beitrug, hilft den Supportern und in der Forensuche.

Ist die Frage beatwortet, stelle den Thread auf "gelöst".

tekknotrip · 28. März 2020

Ich habe so meine Probleme in Spam oder sicherheitsrelevanten Themen eine Webseite zu posten, so lange nicht klar ist, was die Ursache war. Zu groß ist die Versuchung, eine mögliche Lücke auszunutzen - so zumindest meine Erfahrung.

Es handelt sich aber nicht um eine Lücke, sondern um eine etwas unglückliche Einstellung, bzw. eine standardisierte Möglichkeit Joomla als Spammaschine zu nutzen.

Sieger66 · 28. März 2020

Zitat von tekknotrip

Um weiteren Missbrauch zu vermeiden und die Sicherheit unserer Server nicht weiter zu gefährden, mussten wir eine Sperrung der Mail.CGI-Funktion vornehmen. Das bedeutet, dass der Formularversand (zum Beispiel ein installiertes Gästebuch oder ein Feedback-Formular etc.) nicht mehr ausführbar ist.

Wenn die Mailfunktion aber ohnehin vom Provider deaktiviert ist kann ja kein Spamversand mehr erfolgen und somit kannst du den Link zur Website auch bekannt geben.