Joomla-Webserver als Spamserver missbraucht - was tun?

Suche_Hilfe

Liebe Joomla-Community,

ich bin der Verantwortliche (Lehrer) für die Homepage unserer Schule. Vor kurzem war unsere Homepage nicht mehr erreichbar. Unser Hoster musste diese offline nehmen aufgrund von einem Spam-Versand durch Dritte. Hier ein Auszug der E-Mail:

Zitat
Code
uns ist aufgefallen, dass Ihr Webhosting-Paket Spam versendet.
Nachfolgend finden Sie Informationen darüber, welches Skript bzw.
welcher User dies tut:

\/home\/**\/***\/web\/***\/libraries\/vendor\/phpmailer\/phpmailer\/src\/PHPMailer.php

Wir haben Ihre Seite bzw. den betroffenen User gesperrt und bitten Sie um Überprüfung.

Bitte überprüfen Sie ggf. Ihre Skripte und Passwörter. Nicht selten
führt ein unsicheres Skript oder ein einfaches Passwort dazu, dass
Dritte Ihr Webhosting-Paket nutzen, um Spam zu versenden.
Alles anzeigen
Mir fehlt (vermutlich) die technische Expertise, um dieses Problem zu lösen. Kann man dies als Anfänger selbst lösen oder empfehlt ihr, eine Firma zu kontaktieren und diese das Problem lösen zu lassen? Darf man hier im Forum Empfehlungen einholen von Firmen, die solche Probleme schnell und kompetent lösen können?
Danke für eure Hilfe!

Sieger66

Als Anfänger wird man wohl überfordert sein die Sicherheitslücke und die Ursache zu finden und dauerhaft zu beheben usw.

Siehe z.B.:

Thema

Mein Joomla wurde gehackt! Was kann ich tun?

Deutsche Anlaufstelle, wenn die Seite gehackt wurde - und für noch wesentlich mehr Informationen rund um Joomla!-Sicherheit:
http://www.joomla-security.de/joomla-gehackt-was-tun.html

Weitere Hilfeseite:
https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Indigo66

9. März 2015 um 11:17

Kannst dir z.B. dort einen suchen oder eventuell meldet sich ja der ein oder andere bei dir per PN(Konversation):

Dienstleister

WM-Loose

In diesem Fall rate ich dringend zu professioneller Hilfe. Es geht hier um eine Webseite innerhalb der öffentlichen Verwaltung und nicht um ein Hobby Webseite. Entweder über den Button Dienstsleister (oben rechts) Profis kontaktieren und Angebote einholen oder über den Schulträger direkte Hilfe beim kommunalen IT-Dienstleister Ihres Bundeslandes anfordern.

Weitere Infos zum Thema:

Thema

Mein Joomla wurde gehackt! Was kann ich tun?

Deutsche Anlaufstelle, wenn die Seite gehackt wurde - und für noch wesentlich mehr Informationen rund um Joomla!-Sicherheit:
http://www.joomla-security.de/joomla-gehackt-was-tun.html

Weitere Hilfeseite:
https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Indigo66

9. März 2015 um 11:17

flotte

Entweder die Seite ist gehackt oder aber die Kontaktformulare wurden mißbraucht, was leider sehr häufig der Fall ist.

Tipps für letzteres Problem hier

Sieger66

Ist denn beim Kontaktformular oder anderen Formularen auf eurer Website das "Kopie an Absender" vorhanden ?

Rolf Dautrich

Als Ersatz für die genannten Captchas eventuell auch interessant: https://extensions.joomla.org/extension/cloudflare-turnstile/

crimle

Welche Formularkomponente wird verwendet? Wenn es die gleiche ist wie meine, wüsste ich eine relativ einfache Lösung.

Suche_Hilfe

Zitat von flotte

Entweder die Seite ist gehackt oder aber die Kontaktformulare wurden mißbraucht, was leider sehr häufig der Fall ist.
Tipps für letzteres Problem hier

Auf unserer Website gab es kein Kontaktforumular - nur eine "normale" E-Mail-Adresse im Impressum.

Zitat von crimle

Welche Formularkomponente wird verwendet? Wenn es die gleiche ist wie meine, wüsste ich eine relativ einfache Lösung.

Wir nutzen auf unserer Website keine Formulare

Zitat von WM-Loose

In diesem Fall rate ich dringend zu professioneller Hilfe. Es geht hier um eine Webseite innerhalb der öffentlichen Verwaltung und nicht um ein Hobby Webseite. Entweder über den Button Dienstsleister (oben rechts) Profis kontaktieren und Angebote einholen oder über den Schulträger direkte Hilfe beim kommunalen IT-Dienstleister Ihres Bundeslandes anfordern.
Weitere Infos zum Thema:

Thema

Mein Joomla wurde gehackt! Was kann ich tun?

Deutsche Anlaufstelle, wenn die Seite gehackt wurde - und für noch wesentlich mehr Informationen rund um Joomla!-Sicherheit:
http://www.joomla-security.de/joomla-gehackt-was-tun.html

Weitere Hilfeseite:
https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Indigo66

9. März 2015 um 11:17

Der IT'ler beim Schulträger hat schon abgelehnt Danke für den Tipp mit dem Button "Dienstleister"!

WM-Loose

Welche Kommune ist für euch zuständig?

crimle

Wenn keine Formularkomponente verwendet wird (und falls auch sonst kein Mailversand von der Webseite aus stattfindet), dann kann man ganz einfach bei der Datei libraries/vendor/phpmailer/phpmailer/srcPHPMailer.php die Dateiattribute von «644» in «000» ändern und der Spuk hat ein Ende.

Indigo66

Zitat von crimle

libraries/vendor/phpmailer/phpmailer/srcPHPMailer.php die Dateiattribute von «644» in «000» ändern und der Spuk hat ein Ende.

Das reicht nicht, da es ein Einfallstor geben muss, um diese Datei missbrauchen zu können.

JoomlaWunder

Ist denn wenigstens dein Joomla inkl. aller Drittanbieter-Erweiterungen aktuell?

Zitat von Suche_Hilfe

Vor kurzem war unsere Homepage nicht mehr erreichbar. Unser Hoster musste diese offline nehmen aufgrund von einem Spam-Versand durch Dritte.

Da klingt so, als sei die Seite wieder online. Was habt ihr denn unternommen?

Sieger66

Link zur Website mit dem Problem?

Gegebenenfalls per PN (Konversation).

Re:Later

Zitat von Suche_Hilfe

Auf unserer Website gab es kein Kontaktforumular

Und es ist auch kein Kontakt angelegt, auch kein archivierter? Weil es dann ggf. Möglichkeiten gibt ein Kontaktformular "hinten rum aufzurufen". Einfachste Möglichkeit dann, die Kontakt-Komponente zu deaktivieren, falls man sie ansonsten nicht benötigt.

Elwood

Ich finde deine Joomla-Version auch veraltet und unsicher:

Aktuelle 4er ist 4.4.3

Besser wäre 5.0.3!