Spamversand über Joomla

    Hallo, ich habe bei Strato ein Webspace auf dem ich mehrere Webprojekte habe.

    Es ist so das dort seit ein paar Wochen ständig Spammails verschickt werden.


    Nach Rücksprache mit Strato gibt man mir Recht das diese Spammails direkt von Strato aus versendet werden.

    Leider kann mir Strato nicht sagen von welchem Web Projekt aus direkt versendet wird.

    Nachdem ich nun einige Dinge verändert habe, habe ich den verdacht das es von einer meiner beiden Joomla Installationen aus Versand wird.


    Da ich die aktuelle Joomla Version installiert habe und der Spam Terror nicht aufhört bräuchte ich die Unterstützung vom Joomla Team.

    Wer kann mir da weiter helfen?


    Gruß


    Sven

    Zitat von svenp

    Leider kann mir Strato nicht sagen von welchem Web Projekt aus direkt versendet wird.

    Gibt es überhaupt Hnweise, dass die Mails von einem Webprojekt versendet werden?

    Zitat von svenp

    Nach Rücksprache mit Strato gibt man mir Recht das diese Spammails direkt von Strato aus versendet werden.

    Es kann ja auch Dein Mailaccount gehackt worden sein. Passwörter schon geändert?


    Bitte lies die Forenregeln, wir brauchen viel mehr infos um helfen zu können.

    Hallo, die Passwörter habe ich alle geändert und die Header der erzeugt wird deutet darauf hin das es von Joomla aus gesendet wird.

    Leider kann ich es noch nicht im Detail belegen da mir Strato keine Logfiles zur Verfügung stellt aus denen das hervor geht.


    Ich frage mich nun ob es eine Möglichkeit gibt ein paar Zeilen Code in Joomla einzufügen z.b. bei der Funktion die für den Emailversand zuständig ist und so der Sache auf die Spur zu kommen.

    Ich habe nur leider von PHP Programmierung 0 Ahnung.


    p.s.


    Sorry Foren Regeln lese ich mir gleich durch.

    Wenn man als Hoster bestätigt das die Emails vom Webspace versendet werden dann gibt es in den http Logs des Accounts auch die Hinweise woher das kommt.

    Wenn du Zugriff auf die http Logs deiner Domains hat dann suche nach "POST" aufrufen.

    Schauen deine Joomlas durch ob du dort Kontakte angelegt und veröffentlich hast die du garnicht verwendest bzw. wenn ein Kontakt verwendet wird ob du die Funktion "kopie an mich" aktiviert hast.
    Nicht verwendete Kontakte löschen. Spamversand findet oftmals einfach nur über die Url statt, es muss keinen Menüpunkt zum Kontakt geben.

    Finden sich keine Aufrufe in den Logdateien und sind die Kontakte nicht das Problem dann muss der Webspace genauer angeschaut werden.


    Gruß
    Micha

    Hallo, vielen Dank für die vielen Antworten.


    Ja ich habe viele Emails die angeblich von mir gesendet wurden.


    Zu den Logfiles habe ich ich vielleicht schon eine Spur.

    Ich finde in tatsächlich viele Posts im Log. Hier ein Beispiel:


    anon-188-68-208-81.sber19opros.ru - - [10/Jul/2019:09:18:23 +0200] "POST /index.php?option=com_contact&view=contact&id=1 HTTP/1.1" 303 - "-" "-"


    Joomla nutze ich nur um eine Webseite darzustellen. Es soll sich niemand darauf einloggen außer meine Frau und ich.


    Die Grundinstallation habe ich mir, weil ich wenig Erfahrung mit Joomla hatte vor Jahren von einer Firma anfertigen lassen und seitdem regelmäßig alle Updates gemacht.

    Verstehe ich die Log Zeile richtig das diese Posts von User Anonymous ausgeführt werden?

    Du hast einen Kontakt mit Kontakt ID1 veröffentlicht. Dieser wird ein Kontaktformular haben über das der Spam kommt.


    Wenn du den Kontakt nicht brauchst deaktiviere ihn, wenn du gar keinen brauchst am besten die ganze Komponente (deaktivieren, nicht deinstallieren). Falls du ihn brauchst aber ohne Kontaktformular deaktivieren nur dieses im Kontakt.


    Falls du den Kontakt samt Formular brauchst Guck das "Kopie an Absender" deaktiviert ist und baue einen spam Schutz ein.

    Ja also das Kontaktformular. Jeder Kontakt hat automatisch so ein Formular mit jeweils anderer id. Auch wenn Du ein Formular gar nicht verlinkt hast.

    Spammer hängen einfach "?option=com_contact&view=contact&id=1" an die Domain und zählendie id ich und schon hat man den Zugriff auf die Kontaktformulare.


    Diese Problematik ist mittlerweile schon lange bekannt und die Ansicherung sollte sich eigentlich auch shcon rumgesprochen haben. Lösung siehe mein Link im ersten Posting von mir oder hier in der Sigmatur.

    Es wird direkt wohl versucht eine Seite aufzurufen indem an deine Domain /index.php?option=com_contact&view=contact&id= sowie eine ID angehängt wird. Gibt es die ID, so ist man quasi direkt auf der entsprechenden Kontaktseite und kann ggf. Emails versenden.

    Hast du ECC oder ein Captcha eingerichtet? Dies könnte schon helfen.

    Email an Absender auf jeden Fall deaktivieren.

    Bzgl. Login gibt es einen alten Thread, wo beschrieben ist, wie man das Frontend-Login umbiegt, so dass es nicht möglich ist. Müsste leicht über Forensuche zu finden sein.

    Backend solltest du über weiteren Passwortschutz auf das Admin-verzeichnis entweder htacess oder einfacher über Hoster geschützt werden.


    Zu langsam, oben schon alles gesagt,

    Es ist tatsächlich so dass das Kontaktformular aktiviert war.

    Auf der Webseite wird das Formular aber nicht angezeigt.


    Dann schaue ich Mal ob der Spam endlich aufhört.


    Wenn dem so ist, gibt es keine grundsätzliche Sicherheitslücke in Joomla. Das ist ja auch gut :).


    Und die Welt hat einen ungewollten Spammer weniger.

    Hallo, noch einmal vielen Dank für die schnelle Unterstützung.


    Seit Stunden läuft nun kein Spam mehr ein.

    Die nächsten Tage werde ich mir die Links von flotte einmal genauer anschauen.

    Da scheint es wohl Bedarf zu geben :/.


    Gruß


    Sven