Die Situation war folgende. Ein Webseite aufgebaut auf Joomla 1.5.26 wurde Opfer eines Hacks und diente dem Massenmailversand, also als Spamschleuder. Es wurde mehrere 10.000 Mails innerhalb eines Tages versendet. Nun ist natürlich grundlegend Joomla in der Version 1.5.x veraltert und sollte aktualisiert werden, aber nun gut. Nachfolgend ein paar Schritte die mir bei der Findung der Ursache und Lösung des Problems halfen. Das ist nun mehr als 4 Wochen her und ein Problem ist seitdem nicht mehr aufgetreten, wobei die Webseite wieder 100% läuft .
Stoppen des Mailversandes
Soweit möglich, sofortiger Stopp des Mailversandes von diesem Account, bzw. über diesen Account. Je nach eingesetzter Software unterschiedlich. Ggf. Postfix z.B. über “/etc/init.d/postfix stop” komplett anhalten.
Überprüfung der laufenden Prozesse:
# ps auxwf | grep ‘ R’
Hierfür wird Rootzugriff auf dem Server benötigt. Alles was hier auffält und nicht so sein sollte, muss weiter kontrolliert werden. Bei mir war alles in Ordnung.
Überprüfung des Mailheader einer Spam-Mail:
Mit dem Befehl “mailq” die Queue anzeigen und eine Mail auswählen, die mittels “postcat -q MAILID” näher betrachtet wird. Dabei fiel mir eine Stelle besonders auf:
X-PHP-Originating-Script: 5006:b8i5bk.php
X-Mailer: MailStyleVersion4.2.3
In der ersten zeile steht das Script was hier aktiv ist und die Zweite Zeile der Mailer. Da dies bei der Überprüfung weiterer Mails aus der Queue identisch war, folgte die Suche nach dem Script im Webverzeichnis:
Script in folgendem Verzeichnis von Joomla gefunden:
/components/com_user/b8i5bk.php
Dieses gelöscht bzw. zur Beiweissischerung in ein sicheres Verzeichnis verschoben.
Weitere Überprüfung der Dateien:
Das Joomla Verzeichnis nach weiteren Auffälligkeiten durchsucht und fündig geworden:
direkt im Joomla Root:
– .sqmaildata (.aba057.php und error.php)
– cpmove.psql (.84fe93.php und javasript.php)- private (.22dc76.php und sql.hpp)
– php (.4ab929.php und help.php)
– projekte (.fe431f.php und menu.php)
– statistik (.53c69a.php und error.php)
Diese wurden ebenfalls gesichert und somit aus dem Webverzeichnis entfernt.
Abschließend alle Dateien die älter als 3 Tage sind anzeigen lassen:
# find /WEBDIR/JOOMLA -type f -mtime +3
Das sah soweit gut aus.
Rechte der Dateien und Verzeichnisse neu gesetzt:
find /WEBDIR/JOOMLA -type f -exec chmod 644 {} +
find /WEBDIR/JOOMLA -type d -exec chmod 755 {} +
Abschließend Betrachtung von Joomla selbst im Administratorbereich und Update der Komponenten:
Joomla JCE von 2.3.1 auf 2.3.4.4
AcyMailing Starter auf 4.5.1
Außerdem alle unnötigen Komponnenten und Plugins, sowie Module die nicht gebraucht wurden, oder bereits deaktiviert wurden, deinstalliert. Darunter auch den Extplorer.
Alle Spammails vom lokalen Absender löschen Bsp.:”joomlamail@meine-domain.de” aus der Queue löschen:
# mailq|grep ‘joomlamail@meine-domain.de’|awk {‘print $1′}|grep -v “(host”|tr -d ‘*!’|postsuper -d –
Hier kann selbstverständlich auch ein anderer Suchstring eingetragen werden. Ziel ist es nur diese Mails zu löschen und alle anderen zu behalten.
Danach war Ruhe. Somit war die Ursache höchstwahrscheinlich in einer veralterten Komponente zu suchen, die zudem ein Sicherheitsloch aufwies, wodurch ein Angriff mit der Folge als Spamer missbraucht zu werden, statt fand. Die hier vorgestellten Schritte sind bestimmt optimierbar und je nach Situation erweiterbar. Auch gibt es bestimmt noch mehr Möglichkeiten einem Spamer auf die Schliche zu kommen. Obige halfen mir.
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.