Как найти источник спама с сайта? Логгер стека вызова функций.
Друзья, очень нужен ваш совет.
Как отследить, каким модулем вызывается class.phpmailer.php? Именно на него ссылаются логи полученные от хостера.
Знаний не хватает, а хотелось бы, (но не знаю как) реализовать логгер стека вызова функций. Это должно помочь в поиске первоисточника «заразы».
Заранее каюсь, что «новичок», поэтому прошу сильно не троллить.
Как план действий:
Хочу обновить MODX и все дополнения до последних версий. Запилить по возможности логгер и попросить хостера разблокировать почту.
Если это была просто не закрытая уязвимость в неактуальных версиях софта и спам прекратиться, то хорошо. Если не прекратиться, то хотя-бы лог поможет отследить источник.
Подробности:
Хостер прислал письмо о спаме, рассылаемом с сайта, в связи с чем им была заблокирована возможность отправки почты.
Благо, аккаунт не заблокировали и сайт работает.
Прислали логи веб-сервера и почтовика. В логах почты обнаружились строки отсылающие к модулю «class.phpmailer.php» такого вида:
«X-PHP-Originating-Script: „1550:class.phpmailer.php“
Из этого лога так же видно, что спам рассылался на адреса зарегистрованных на сайте пользователей, а не просто „кому-попало“.
Сопоставление логов по времени не дало каких-либо зацепок.
Прогон по онлайн-сканерам virustotal.com, rescan.pro, drweb.ru и другим не выявил ничего подозрительного, равно как и сканирование AI-Bolit-ом через ssh и локальное сканирование Norton Security.
Пароли админа CMS, БД и хостинга поменял в первую очередь.
Исходные данные:
На сайте MODX Revo (2.5.4).
Компоненты: Login (1.9.2), FormIt (2.2.11), Tickets (1.8.0), pdoTools (2.8.0), EasyComm (1.2.6), ajaxform (1.1.8).
Знаю, что надо было обновляться вовремя, но момент уже упущен.
На сайте реализован форум на Tickets, сообщения могут оставлять только зареганные пользователи. Есть регистрация/авторизация пользователей через Login.
На формах обратной связи (FormIt) и EasyComm стоит гугловская Recapcha2.
Конкретных вопросов два:
1. Как бы вы поступили в подобном случае?
2. Как отследить откуда вызывается class.phpmailer.php?
Как отследить, каким модулем вызывается class.phpmailer.php? Именно на него ссылаются логи полученные от хостера.
Знаний не хватает, а хотелось бы, (но не знаю как) реализовать логгер стека вызова функций. Это должно помочь в поиске первоисточника «заразы».
Заранее каюсь, что «новичок», поэтому прошу сильно не троллить.
Как план действий:
Хочу обновить MODX и все дополнения до последних версий. Запилить по возможности логгер и попросить хостера разблокировать почту.
Если это была просто не закрытая уязвимость в неактуальных версиях софта и спам прекратиться, то хорошо. Если не прекратиться, то хотя-бы лог поможет отследить источник.
Подробности:
Хостер прислал письмо о спаме, рассылаемом с сайта, в связи с чем им была заблокирована возможность отправки почты.
Благо, аккаунт не заблокировали и сайт работает.
Прислали логи веб-сервера и почтовика. В логах почты обнаружились строки отсылающие к модулю «class.phpmailer.php» такого вида:
«X-PHP-Originating-Script: „1550:class.phpmailer.php“
Из этого лога так же видно, что спам рассылался на адреса зарегистрованных на сайте пользователей, а не просто „кому-попало“.
Сопоставление логов по времени не дало каких-либо зацепок.
Прогон по онлайн-сканерам virustotal.com, rescan.pro, drweb.ru и другим не выявил ничего подозрительного, равно как и сканирование AI-Bolit-ом через ssh и локальное сканирование Norton Security.
Пароли админа CMS, БД и хостинга поменял в первую очередь.
Исходные данные:
На сайте MODX Revo (2.5.4).
Компоненты: Login (1.9.2), FormIt (2.2.11), Tickets (1.8.0), pdoTools (2.8.0), EasyComm (1.2.6), ajaxform (1.1.8).
Знаю, что надо было обновляться вовремя, но момент уже упущен.
На сайте реализован форум на Tickets, сообщения могут оставлять только зареганные пользователи. Есть регистрация/авторизация пользователей через Login.
На формах обратной связи (FormIt) и EasyComm стоит гугловская Recapcha2.
Конкретных вопросов два:
1. Как бы вы поступили в подобном случае?
2. Как отследить откуда вызывается class.phpmailer.php?
07 декабря 2017, 10:14
Комментарии: 16
Для начала переименуйте директорию assets.
У меня пару раз были (сопоставил по времени access-лог и лог mail-сервера) массовые обращения к assets/components/office/action.php
Переименовал assets — все прошло )) Видно кто-то целенаправленно долбит Office. То же самое, теоретически возможно и с Login.
Только не забудьте после переименования переписать пути в core/config/config.inc.php
Ну и потестируйте — в некоторых дополнениях assets явно задан (например, в JS-скрипте Shopkeeper).
У меня пару раз были (сопоставил по времени access-лог и лог mail-сервера) массовые обращения к assets/components/office/action.php
Переименовал assets — все прошло )) Видно кто-то целенаправленно долбит Office. То же самое, теоретически возможно и с Login.
Только не забудьте после переименования переписать пути в core/config/config.inc.php
Ну и потестируйте — в некоторых дополнениях assets явно задан (например, в JS-скрипте Shopkeeper).
Я так понимаю непонятно, что провоцирует отправку писем.
Пробегитесь поиском по mysql по фразе «modx->mail», может где встречается в плагинах, сниппетах.
И так же по этой фразе по всем файлам.
Далее — самое сложное, нужно логировать отправку писем, т.е. везде дописать лог (факт) отправки писем. (время, тема, тело письма и т.д.).
Лучше начать с тех мест, до которых дотронулись руки не автора компонента (системы).
Пробегитесь поиском по mysql по фразе «modx->mail», может где встречается в плагинах, сниппетах.
И так же по этой фразе по всем файлам.
Далее — самое сложное, нужно логировать отправку писем, т.е. везде дописать лог (факт) отправки писем. (время, тема, тело письма и т.д.).
Лучше начать с тех мест, до которых дотронулись руки не автора компонента (системы).
Можно уточню?
Сори заранее за нубский вопрос. Сформулирую как смогу.
Получается, если нам известно из логов, что при отправке спама был задействован модуль «class.phpmailer.php», то в любом случае был использован встроенный почтовик MODXа?
То есть, в любом случае был использован метод modx->mail->send()?
Нет ли каких то обходных вариантов, при которых метод modx->mail->send() не используется, но в конечном итоге задействуется «class.phpmailer.php»?
Сори заранее за нубский вопрос. Сформулирую как смогу.
Получается, если нам известно из логов, что при отправке спама был задействован модуль «class.phpmailer.php», то в любом случае был использован встроенный почтовик MODXа?
То есть, в любом случае был использован метод modx->mail->send()?
Нет ли каких то обходных вариантов, при которых метод modx->mail->send() не используется, но в конечном итоге задействуется «class.phpmailer.php»?
Тут новые подробности выясняются по ходу дела. Покопался в логах, сопоставил некоторые факты. Пока только предположение. Но если подтвердится — то это полный успех.
Похоже, что дело вовсе не в зловреде каком-то. А все гораздо прозаичнее.
У нас к сайту почта mail.ru привязана, и есть подозрение, что забанили за большое количество одновременно высылаемых писем-уведомлений от Tickets-a. Такие дела :)
Сейчас жду ответа от саппорта мэйла.
Похоже, что дело вовсе не в зловреде каком-то. А все гораздо прозаичнее.
У нас к сайту почта mail.ru привязана, и есть подозрение, что забанили за большое количество одновременно высылаемых писем-уведомлений от Tickets-a. Такие дела :)
Сейчас жду ответа от саппорта мэйла.
Вы знаете, пробовал в самом начале этой истории. Но что-то у меня не взлетело.
Насколько помню у меня даже запись в лог не пошла. Пробовал как то так:
Насколько помню у меня даже запись в лог не пошла. Пробовал как то так:
$modx->log(1, 'что-то для записи в лог');$this->modx->log(1, 'что-то для записи в лог');
Спасибо, но вопрос уже решен.
Дело было не во взломе и не в каком-либо зловредном скрипте.
На сайте блог на Tickets. Когда пользователи оставляют комментарий, Tickets отсылает всем подписанным на данный пост уведомления на электронку. Робот хостера посчитал большое количество этих писем-уведомлений за спамную активность и отрубил почтовый сервис. Решилось все после добавления пары доменных записей DKIM и SPF и общения с тех.поддержкой хостера.
Дело было не во взломе и не в каком-либо зловредном скрипте.
На сайте блог на Tickets. Когда пользователи оставляют комментарий, Tickets отсылает всем подписанным на данный пост уведомления на электронку. Робот хостера посчитал большое количество этих писем-уведомлений за спамную активность и отрубил почтовый сервис. Решилось все после добавления пары доменных записей DKIM и SPF и общения с тех.поддержкой хостера.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| Tickets | 1.13.0-pl от 10.03.2020 | 19 439 |
| pdoTools | 2.13.2-pl от 02.09.2021 | 53 738 |
| easyComm | 3.3.0-pl от 04.01.2024 | 4 842 |
| AjaxForm | 1.2.2-pl от 17.10.2021 | 19 344 |
| Office | 1.9.5-pl от 01.10.2021 | 6 971 |
22 апреля 2024, 17:19
Я нафигачил просто несколько условий
22 апреля 2024, 12:57
Данная ошибка в логе никак не связана с проверкой доступа по модификатору pasraccess.
Можете написать в ТГ в профиле.
20 апреля 2024, 16:08
Смотрите ошибки в консоли браузера.
20 апреля 2024, 15:47
{set $data = id_ресурса | resource : 'название_тв_migx' | fromJSON}
{foreach $data as $item}
{$item.name}
...
19 апреля 2024, 12:48
Постараюсь в свободное время это сделать, спасибо за предложение
19 апреля 2024, 11:49
Самое лучшее решение в данной ситуации — это сделать отдельный файл для работы с этим API, например:
/assets/components/mycomponent/api.phpну или про...
18 апреля 2024, 21:54
Не отображаются добавленные поля в редактировании пользователя.
Добавил одно поле в «общую информацию», для другого создал вкладку, в ней ещё вкладку...
18 апреля 2024, 17:01
попробуйте убрать exit(true);
17 апреля 2024, 19:46
cпасибо!
