Spam über Formulare

  • Der @zero24 war fleißig und hat für 3.8 einen PR gebaut, der die Copy-Funktion für neue Installationen per Default deaktiviert:
    https://github.com/joomla/joomla-cms/pull/17848


    Vielleicht noch als Hinweis bis dahin:


    Bei mir wollte das Feld beim ersten Kontakt nicht verschwinden. Habe unter:


    Kontakte-Optionen-Formular-Kopie an Absender auf 'Verbergen'


    und unter


    Kontakte-'Angelegter Kontakt' (Titel)-Formular-Kopie an Absender auch auf 'Verbergen' gestellt.


    Dennoch wurde das Feld beim menüverlinkten Kontakt angezeigt.
    Das war das Stw: Menülink.


    Auch beim Menülink 'Kontakt-Einzelner Kontakt' gibt es noch die Möglichkeit Kopie an Absender zu verbergen.


    Danach klappte es.


    Nur als Info, falls es nicht klappen sollte.

  • Also mich hat es zu diesem Thema auch erwischt und da ich in Joomla nicht so versiert bin wollte ich die Profis unter euch fragen ob ich alles richtig gemacht habe:
    So hat mich der Provider informiert:
    Über das Skript wird Spam versandt:"/home/www0985/www.grinningskull.at/component/contact/contact/4-main-contact/1/index.php" Beispiel:  To: info@beispiel.atSubject: =?utf-8?B?VEVBTSBHUklOTklORyBTS1VMTDog5aSq6Ziz5Z+O6ZuG5Zui5byA5oi3?= =?utf-8?B?5Y2z6YCBMjjlvanph5E=?=X-PHP-Originating-Script: 1798:class.phpmailer.phpDate: Sun, 28 Jan 2018 10:53:49 +0100From: GRINNINGSKULL <franz@beispiel.at>Reply-To: =?utf-8?B?55m95ruh5LiB?= <419785529@qq.com>Message-ID: <b110091723da179b8bd925997ece97ec@www.grinningskull.at>MIME-Version: 1.0Content-Type: text/plain; charset=utf-8Content-Transfer-Encoding: 8bitReturn-Path: franz@beispiel.atX-User: 1798X-Uri: L2luZGV4LnBocA==X-Path: L2hvbWUvd3d3MDk4NS93d3cuZ3Jpbm5pbmdza3VsbC5hdC9jb21wb25lbnQvY29udGFjdC9jb250YWN0LzQtbWFpbi1jb250YWN0LzE=X-Remote: NTkuMzQuMjAzLjExNw==


    Nachdem mich mein Provider informiert hat das mein Joomla spamt und deshalb gesperrt wurde hab ich auf das Stammverzeichnis einen Verzeichnisschutz gegeben und ein Backup zurück gespielt.


    Dann hab ich unter Erweiterungen - Module das Modul Contact deinstalliert.
    Dann hab ich unter Komponenten - Kontakte (hab nur einen Main Contact) unter dem Reiter Formular folgendes eingestellt:
    Kontaktformular: verbergen
    Kopie an Absender: verbergen


    Ich hoffe ich hab da nichts vergessen - vielen Dank für eure Hilfe!

  • Sorry wenn ich das so direkt sage, aber du wurdest gehackt.


    Erstes Indiz dafür ist der Ordner contact innerhalb von components. Alle Erweiterungen die regulär dort installiert werden fangen mit com_ an.


    Das Abschalten der Core-Komponente hilft da nicht weiter. Auch das Deinstallieren des Modules ist hinfällig.


    Wann und wie das passieren konnte, muss nun über die Server-Logs geprüft werden, außer der Ordner contact ist noch vorhanden, dann kannst du mal schauen welches Erstellungsdatum Dieser hat und dann in den Server-Logs prüfen wie bei dir eingebrochen wurde. Solange dieser Ordner noch existiert, bist du aber auch weiterhin gehackt.


    Möglicherweise nutzt du auch eine Erweiterung, die unsicher ist oder du hast die Aktualisierungen der Erweiterungen/Joomla!-Core zu lange vor dich hin geschoben.


    Es ist auch nicht ausgeschlossen, das noch woanders Dateien im System sind, die da nicht hingehören und dich wieder angreifbar machen.


    Sorry für die schlechte Nachricht.

  • Ja schon klar - ich hab ja den ganzen Inhalt des Stammverzeichnisses gelöscht nachdem es mit dem Spamversand losgegangen ist und ein Backup rückgesichert welches einige Zeit vor dem Angriff erstellt wurde.
    Danach hab dich vorher genannte Massnahmen durchgeführt und da gibt es auch dieses von dir genannte nachfolgende Verzeichnis nicht mehr:
    www.grinningskull.at/component…-main-contact/1/index.php


    So sollte dann doch die Version vor dem Hack hergestellt sein oder sehe ich das falsch.
    Danach hab ich halt die oben beschriebenen Maßnahmen durchgeführt oder sollte ich da noch etwas machten außer natürlich alle Updates?

  • Der Spamversand erfolgte nicht über Joomla sondern über ein auf deinem Webspace abgelegtes Script.
    Offensichtlich dieses:
    ..component/contact/contact/4-main-contact/1/index.php


    Durch die Rücksicherung des Backups ist das Script gelöscht. So mit wird im Moment vermutlich erstmal kein Spam versendet.


    Was bleibt ist die Frage: Wie ist es einem Angreifer gelungen auf deinen Webspace zuzugreifen und dort ein Script abzulegen?
    Diese Frage musst du klären - sonst hast du nächste Woche das gleiche Problem wieder.


    Hast du Zugriff auf Log-Dateien?

  • Schau mal, irgendwie konnte doch der Hacker die Dateien auf deinem Server platzieren. Solange das nicht klar ist, kannst du dir auch bei deinen Backups nie sicher sein.


    Also wenn du auf Nummer Sicher gehen willst, empfehle ich dir eine komplette neue Installation mit Joomla 3.8.5 und Stück für Stück die Übertragung deiner Inhalte. Die Maßnahmen, die du getroffen hast sind nicht relevant, da die Core-Erweiterungen sehr wahrscheinlich nicht die Sicherheitslücken sind, zumindest wenn du immer zeitnahe aktualisiert hast (davon will ich mal ausgehen). Es ist also sehr wahrscheinlich, das eine zusätzliche Erweiterung hier eine Lücke ermöglicht hat. Das kannst du über die Server-Logs herausfinden, wenn sie lange genug zurück gehen und du ungefähr den Zeitpunkt des Einbruchs kennst.


    Da das jetzt wohl nicht mehr möglich ist, bleibt dir also nur eine professionelle Prüfung ohne Garantien, oder eben die Neuinstallation mit der aktuellen Version und die genaue Prüfung der zu installierenden, zusätzlichen, Erweiterung.
    Wie auch im verlinkten Post s.o. steht.


    Das ist meine Einschätzung dazu.

  • Es ist sicher, dass sich die Sicherheitslücke auch im Backup befindet. Durch die Nachricht vom Hoster kannst du den Hack zeitlich eingrenzen, dazu gehört die Analyse der Logdateien. Die gesamte Installation muss auf den Kopf gestellt werden, in jedem Verzeichnis und in jeder Datei kann sich Schadcode befinden. Es ist nur eine Frage der Zeit, bis die Seite wieder gehackt werden wird.