Ominöser Formular SPAM

    Moin,


    laut Strato versenden die Kontaktformulare einer von mir erstellten Website Spam und müssen durch ein Captcha abgesichert werden.


    Aber ich finde den "Fehler" leider nicht. Habe schon alles versucht: Häkchen bei Kopie weggemacht, Kontakte gelöscht, die gesamte Komponente deaktiviert, Menüpunkte, Module, Komponenten usw. gecheckt - nichts.


    Habe auch eine Logfileanalyse gemacht, die ich euch etwas gekürzt unten dranhänge..


    Auffällig sind die beiden Einträge:

    2533x /index.php/de/?option=com_contact&view=contact&id=1 303 <-- Verdacht auf Formular Spam!

    2501x /index.php/de/?option=com_contact&view=contact&id=2 303 <-- Verdacht auf Formular Spam!


    Diese scheinen auf das Joomla Standardformular, bzw. die ersten beiden Kontakte daraus zu verweisen. Aber mitlerweile sind die ja gelöscht und die gesamte Komponente deaktiviert..


    Benutze ansonsten nur zwei Breezingformsformulare, die aber gut durch ReCaptchas gesichert waren und inzw. auch deaktiviert sind.


    Strato möchte aber den Mailversand einfach nicht wieder freischalten, immer heisst es nur, die Formulare müssten durch Captcha gesichert werden, auch wenn es längst keine Spur mehr von Formularen auf der Website gibt!


    Link:

    https://www.eckartrunge.com/



    Who can help?


    POST Requests nach Häufigkeit

    Frontend

    Statuscode 2xx - Erfolgreiche Operation

    33x /index.php/de/kontakt 200

    4x /index.php/de/?id=9&L=1 200

    3x /index.php/en/contact 200

    2x /configuration.php 200

    1x /index.php/de/?id=9%25%27%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20kgta&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20VGtM&L=1 200

    1x /index.php/de/?id=9%20ORDER%20BY%201--%20cbHz&L=1 200

    1x /index.php/de/?id=9%20ORDER%20BY%208359--%20qhYY&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL--%20FIZa&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL--%20xxmG&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL--%20YUmv&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL--%20iEIU&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL--%20EhCt&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--%20rHZN&L=1 200

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%2040%2C40%2C40%2C40%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27lIcmNKFAfr%27%29%2C%27qvzvq%27%29%2C40%2C40%2C40%2C40--%20bIrp&L=1 200

    Statuscode 3xx - Umleitung

    2533x /index.php/de/?option=com_contact&view=contact&id=1 303 <-- Verdacht auf Formular Spam!

    2501x /index.php/de/?option=com_contact&view=contact&id=2 303 <-- Verdacht auf Formular Spam!

    8x /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form 301

    6x /index.php?option=com_adsmanager&task=upload&tmpl=component 301

    6x /index.php?option=com_jdownloads&Itemid=0&view=upload 301

    6x /components/com_facileforms/libraries/jquery/uploadify.php 301

    3x /index.php/component/users/?task=user.register 301

    3x /index.php?option=com_fabrik&c=import&view=import&filetype=csv&table= 301

    3x /index.php?option=com_myblog&task=ajaxupload 301

    3x /index.php/component/users 303

    3x /index.php/de/?id=9&L=1 301

    2x /modules/megamenu/uploadify/uploadify.php?folder=modules/megamenu/uploadify/%22 301

    2x /modules/mod_simplefileuploadv1.3/elements/udd.php 301

    2x /components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php 301

    2x /index.php?option=com_jwallpapers&task=upload 301

    2x /index.php?option=com_b2jcontact&view=loader&type=uploader&owner=component&bid=1&qqfile=/../../../vuln.php 301

    2x /index.php/component/users 301

    1x /index.php/de/?id=9%20UNION%20ALL%20SELECT%20NULL%2CNULL--%20xxmG&L=1 301

    1x /index.php/de/?id=-2917%20UNION%20ALL%20SELECT%2040%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27sTVrTObhSH%27%29%2C%27qvzvq%27%29%2C40%2C40%2C40%2C40%2C40%2C40%2C40--%20NbPn&L=1 301

    1x /index.php/de/?id=-9394%20UNION%20ALL%20SELECT%2040%2C40%2C40%2C40%2C40%2C40%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27vrAAvtMoCo%27%29%2C%27qvzvq%27%29%2C40%2C40--%20OTuV&L=1 301

    Statuscode 4xx - Client-Fehler

    1x //admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //phpunit/phpunit/Util/PHP/eval-stdin.php 404

    1x //www/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //wp-content/plugins/mm-plugin/inc/vendors/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //wp-content/plugins/jekyll-exporter/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //wp-content/plugins/dzs-videogallery/class_parts/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //wp-content/plugins/cloudflare/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //vendor/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //vendor/phpunit/phpunit/Util/PHP/eval-stdin.php 404

    1x //vendor/phpunit/Util/PHP/eval-stdin.php 404

    1x //sites/all/libraries/mailchimp/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //protected/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //phpunit/src/Util/PHP/eval-stdin.php 404

    1x //phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //phpunit/Util/PHP/eval-stdin.php 404

    1x //api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //panel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //old/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //new/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //lib/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //lib/phpunit/phpunit/Util/PHP/evalF-stdin.php 404

    1x //lib/phpunit/Util/PHP/eval-stdin.php 404

    1x //laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //dev/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //demo/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //crm/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //cms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //blog/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x //backup/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 404

    1x /index.php/de/?id=9&L=1&YZXK%3D6467%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswdstat


    Statuscode 5xx - Server-Fehler

    5x /b.php 500

    1x /index.php/de/?id=-5911%20UNION%20ALL%20SELECT%2040%2C40%2C40%2C40%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27AGlSxBFEdx%27%29%2C%27qvzvq%27%29%2C40%2C40%2C40%2C40--%20Hwzt&L=1 500

    1x /index.php/de/?id=-2488%20UNION%20ALL%20SELECT%2040%2C40%2C40%2C40%2C40%2C40%2C40%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27NkLzGVbzviYEDawjdLlnvccdqYeIEbIiIfgUDmFr%27%29%2C%27qvzvq%27%29%2C40--%20uQkN&L=1 500

    1x /index.php/de/?id=-8413%20UNION%20ALL%20SELECT%2040%2C40%2C40%2C40%2C40%2CCONCAT%28CONCAT%28%27qvxxq%27%2C%27EPeQjXbJEMoeZsmdwDyDEnAMeGrWuFItGsoRUxQK%27%29%2C%27qvzvq%27%29%2C40%2C40%2C40%2C40--%20KIRW&L=1 500


    Statuscode 3xx - Umleitung

    29x /administrator/index.php 301

    6x /administrator/components/com_extplorer/uploadhandler.php 301

    6x /administrator/index.php?option=com_templates&layout=edit&id=22 303

    6x /administrator/components/com_rokdownloads/assets/uploadhandler.php 301

    6x /administrator/index.php?option=com_config 303

    4x /administrator/index.php 303

    4x /administrator/index.php?option=com_installer&view=manage 303

    4x /administrator/index.php?option=com_contact 303

    3x /administrator/index.php?option=com_menus&view=item&client_id=0&layout=edit&id=555 303

    3x /administrator/index.php?option=com_categories&view=categories 303

    2x /administrator/index.php?option=com_plugins&view=plugin&layout=edit&extension_id=439 303

    2x /administrator/components/com_bt_portfolio/helpers/uploadify/uploadify.php 301

    2x /administrator/components/com_civicrm/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php?name=vuln.php 301

    2x /administrator/components/com_redmystic/chart/ofc-library/ofc_upload_image.php?name=vuln.php 301

    2x /administrator/components/com_simplephotogallery/lib/uploadFile.php 301

    2x /administrator/index.php?option=com_installer&view=update 303

    1x /administrator/index.php?option=com_menus&view=item&client_id=0&layout=edit&id=702 303

    1x /administrator/index.php?option=com_modules&layout=edit&id=134 303

    1x /administrator/index.php?option=com_templates&layout=edit&id=19 303

    1x /administrator/index.php?option=com_contact&layout=edit&id=0 303


    Statuscode 4xx - Client-Fehler

    Statuscode 5xx - Server-Fehler

    85x /administrator/index.php 503

    Bedrohliche GET Requests

    Admin Vorgänge nach Land [15/Apr/2020:09:41:34 +0200] /administrator/index.php?option=com_templates&layout=edit&id=22 303

    [15/Apr/2020:09:42:15 +0200] /administrator/index.php?option=com_templates&layout=edit&id=22 303

    [15/Apr/2020:09:53:57 +0200] /administrator/index.php?option=com_templates&layout=edit&id=19 303








    Was sagt denn Strato dazu, wenn du sagst es gibt kein "offenes" Formular mehr?


    Habe gerade mal in die bei mir hochgeladene Logdatei geschaut.

    Etwas ungünstig ist es, dass die Formular Aufrufe nun einen Error 500 (Serverfehler) erzeugen, wie auch alle anderen nicht vorhandenen Seiten.

    z.B. https://www.eckartrunge.com/index.php/de/sdglakdjq

    Das liegt an der veralteten error.php in deinem Template.


    /templates/lt_donut/error.php

    Diese kannst du entweder aktualisieren (den Fehler beheben) oder löschen. Dann ist die Standard Joomla Error Seite aktiv und es wird - korrekt - ein 404 ausgegeben.