Hallo in die Runde, ich habe heute ein ziemliches Durcheinander in meinen Mails. Offensichtlich wurde auf der Seite autopoint-connewitz.de (Seite ist derzeit gesperrt), welche ich auf DomainFactory hoste, das enthaltene Formular für irgendwelchen Quatsch missbraucht. Ich habe etwa 4.000 Mails plus nochmal "failure notices" in der Menge vom Mailer-Daemon bekommen. Nach einem Anruf beim Provider habe ich die Info bekommen, dass es sich um ein Script auf eben dieser Seite handelt, von dem die Mails kommen. Darauf hin bin ich ersteinmal in den Wartungsmodus gegangen mit der Seite und habe etwas später eine Mail vom Provider mit Hinweisen bekommen. Darin stand, dass das Script class.phpmailer.php des PHPMailer missbraucht wurde. In dem Zusammnehang habe ich Fragen und hoffe, ihr könnt mir helfen. Vorab die Versionen:
Joomla: 3.8.2
PHP ver.: 7
PHPMailer: 5.2.24
- Muß ich davon ausgehen, dass der PHPMailer komprimittiert ist, also sich jemand Zugang verschafft hat und einen schadhaften Script eingeschleust hat?
- Reicht es eventuell eine Captcha-Abrage in das Mailformular zu integrieren?
- Empfehlt ihr alle Passworte zu ändern?
- Worauf sollte ich noch achten zukünftig oder was könnt ihr mir zur Unterbindung solcher Überaschungen an Vorsorge empfehlen?
Vielen Dank und Viele Grüße
Volker