Ergebnis 1 bis 9 von 9

Thema: Contao index.php versendet angeblich massenhaft Spam-Emails

  1. #1
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    357

    Standard Contao index.php versendet angeblich massenhaft Spam-Emails

    Code:
    Vor wenigen Minuten haben unsere Sicherheitsmechanismen erkannt, dass auf Ihrem Webspace ein ungewöhnliches Versandverhalten von E-Mails aufgetreten ist.
    
    Der Versand wurde über folgende Dateien auf Ihrem Webspace angestoßen:
    
    ~/domain.de.de/cms/index.php
    
    Details zum Vorfall:
    
    Absender: no-reply@domain.de, internet@domain.de Zeitpunkt des Versands: 2020-01-20 14:39:16 UTC Anzahl der E-Mails: 72 Anzahl der Zustellversuche: 72 Land der Versand-IP: 5.188.x.x (RU)
    Empfängerdomain: domain.de, mail.ru, gmail.com
    
    Um den Versand zu stoppen und weiteren Missbrauch Ihres Vertrages zu verhindern, haben wir die oben genannten Dateien gesperrt.
    Kann mir jemand da mal weiterhelfen? Ist das ein Fehler in Contao 3.5.4? Wie lässt sich das verhindern, bzw. was genau passiert da?

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    22.645
    Partner-ID
    10107
    User beschenken
    Wunschliste

    Standard

    Es könnte sein, dass das indirekt über ein Formular auf der Seite gemacht wurde. Bspw. bei einem Formular wo du auch eingestellt hast, dass eine Kopie an den Absender geschickt werden soll.

    Du solltest dringend auf Contao 4.4.46 oder in kürze 4.9.0 aktualisieren.

  3. #3
    Contao-Urgestein
    Registriert seit
    22.10.2013.
    Beiträge
    8.207
    User beschenken
    Wunschliste

    Standard

    Ich schätze mal, die Website wurde gehackt. Bekannte Sicherheitslücken enthält sie ja.

    Edit: Was Spooky da schreibt klingt allerdings auch einleuchtend.

  4. #4
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    357

    Standard

    Ok, danke. Macht da eine kurzfristige Notlösung über ein reCaptcha-Modul oder ähnliches einen Sinn? So schnell bekommen wir die Seite ja nicht umgebaut und aktuell ist sie offline.

  5. #5
    Contao-Urgestein
    Registriert seit
    29.10.2009.
    Ort
    Magdeburg
    Beiträge
    1.916
    Partner-ID
    626
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von Dublay Beitrag anzeigen
    Ok, danke. Macht da eine kurzfristige Notlösung über ein reCaptcha-Modul oder ähnliches einen Sinn? So schnell bekommen wir die Seite ja nicht umgebaut und aktuell ist sie offline.
    Angenommen die Seite ist gehackt worden: Wenn der Dieb schon im Haus ist, ergibt es wenig Sinn ein "Betreten verboten" Schild aufzuhängen.

    Erstmal müsste die Ursache gefunden werden. Seite gehackt? Oder nur ein Formular? Danach lassen sich Maßnahmen ableiten.

  6. #6
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    357

    Standard

    Tja, nur wie findet man das heraus

  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    22.645
    Partner-ID
    10107
    User beschenken
    Wunschliste

    Standard

    Wenn es über ein Formular war solltest du im System Log Einträge sehen, wann ein Formular gesendet wurde und von wem und im system/log/email.log an welche E-Mail Adressen E-Mails gesendet wurden.

  8. #8
    Contao-Fan
    Registriert seit
    10.11.2010.
    Beiträge
    357

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Wenn es über ein Formular war solltest du im System Log Einträge sehen, wann ein Formular gesendet wurde und von wem und im system/log/email.log an welche E-Mail Adressen E-Mails gesendet wurden.
    Hunderte " Form "Kontaktformular" has been submitted by 5.188.84.0." - hab jetzt einfach mal ein recaptcha-Modul installiert und hoffe, das jetzt erstmal Ruhe ist, bis das Update läuft.

  9. #9
    Contao-Urgestein
    Registriert seit
    22.10.2013.
    Beiträge
    8.207
    User beschenken
    Wunschliste

    Standard

    Auch wenn ich mittlerweile davon ausgehe, dass es wohl nur ein Formular ist, das den Missbrauch ermöglicht, sollte doch möglichst bald das Update auf eine aktuelle, noch unterstützte Version angegangen werden. Eine Kopie an den Absender ohne irgendeine Authentifizierung ist m.E. eigentlich immer eine schlechte Idee. Kann man bei angemeldeten Mitgliedern machen, ansonsten ist das ein Damoklesschwert, das über dem Websitebetreiber schwebt. Man kann es ja nicht nur für typische Spam-Mails missbrauchen - was jetzt hier wohl passiert ist. Man kann damit auch dem Websitebetreiber gezielt echten, materiellen Schaden zufügen, indem man als Absender irgendeinen als streitlustig bekannten Zeitgenossen angibt. Wenn der dann die ersten ungewollten Mails erhält wird der Websitebetreiber auf die kostenpflichtige Abmahnung durch dessen Anwalt nicht lange warten müssen. Das muss man nicht unbedingt haben und dagegen hilft auch kein reCaptcha-Modul.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •