Массовая рассылка корреспонденции (SPAM)

[Mor940k]

Друзья!

Подскажите, кто сталкивался с таким и есть решения такой проблемы?

Периодически регистрируются странные аккаунты в Покупатели. Установил капчу от гугл, но они её обходят.

Перестали отправляться заказы на все указанные почты в админке (c доменом и gmail)

И тут прилетает письмо от хоста:

 

Для площадки u***** отключена возможность отправлять письма из скриптов.

С площадки шла массовая рассылка незапрошенной корреспонденции (спам). Рассылка совершалась с помощью PHP-скрипта, размещенного на площадке. (см. пример письма по ссылке, строки X-PHP-Script или X-PHP-Originating-Script)  https://sample.masterhost.ru/34619699917-20715b71de578bc97c081facf12456c35bd6f.txt 

Уточнение: теперь невозможна отправка электронной почты через скрипты, при этом основная почта доменов (pop, smtp, imap) осталась в рабочем состоянии.

Скорее всего с вашего компьютера украден FTP-пароль и вирус загружен на ваши сайты, либо файлы изменены (добавлены) через уязвимость в скриптах одного из ваших сайтов.

Вам необходимо обновить используемые скрипты, закрыв в них уязвимости, например, обновив вашу CMS, и удалить имеющийся вредоносный код.

Порядок действий:

1. смените ftp-пароль https://cp.masterhost.ru/requests/change_ftp_passwd
2. закажите резервную копию ОБЯЗАТЕЛЬНО за ту дату, когда вируса на вашем сайте не было: https://cp.masterhost.ru/requests/get_backup
3. ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер

4. используйте защищенный доступ http://masterhost.ru/support/doc/ftp/#sftp
5. проверьте наличие посторонних файлов и вирусов на вашем сайте с помощью специализированных внешних сервисов и скриптов. Компании оказывающие подобные услуги можно найти в Интернете.
6. если вы сохранили подозрительный или измененный файл сайта появившийся на площадке, то по метке времени его создания выполните анализ HTTP POST запросов к сайтам которые были выполнены в это время. В некоторых случаях полученная информация из журналов может помочь найти уязвимые скрипты сайта и посторонние вредоносные файлы. Журналы HTTP запросов к сайтам (access_log) за последние 14 дней доступны в корне площадки в директории _logs

--
Служба мониторинга сервисов
.masterhost

 

[Mor940k]

Вот такой хост прислал отчёт:

Received: from gen196.hs.shared.masterhost.ru ([90.156.169.88])

                by relay6.shared.masterhost.ru with esmtp

                envelope from <php-sender-*****[email protected]>

                message id 1kKCe3-0000VE-57

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:39 +0300

Received: from u178953 by gen196.hs.shared.masterhost.ru with local (Exim 4.80)

                (envelope-from <php-sender-*****[email protected]>)

                id 1kKCdx-00009p-Qr

                for *****@gmail.com; Mon, 21 Sep 2020 06:37:33 +0300

To: *****@gmail.com

Subject: =?UTF-8?B?0KHQvtC+0LHRidC10L3QuNC1INC+0YIgV2lsbGlhbWdsYXJs?=

X-PHP-Script: *****.ru/index.php for 178.159.37.92

X-PHP-Originating-Script: 5614:mail.php

MIME-Version: 1.0

Date: Mon, 21 Sep 2020 06:37:33 +0300

From: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

Reply-To: =?UTF-8?B?V2lsbGlhbWdsYXJs?= <[email protected]>

X-Mailer: PHP/5.4.45-1+mh3

Content-Type: multipart/mixed; boundary="----=_NextPart_864ae87a91ea53d610588b2dc02f998d"

Message-Id: <[email protected]>

 

------=_NextPart_864ae87a91ea53d610588b2dc02f998d

Content-Type: text/plain; charset="utf-8"

Content-Transfer-Encoding: 8bit

 

Istllet kan jag genvg du direkt till den produkt som fungerade fr mig

varannan dag och alkoholen http://gpstudentplacements.com.au/forums/topic/kop-melovem/ Utan recept medicinering p nyheterna

&lt;a href=https://forum.compucoin.org/showthread.php?tid=638345&amp;pid=1334170#pid1334170&gt;7e0&lt;/a&gt;

 Men klor blir gas vid lgre temperaturer n vatten gr Denna stabiliseringsprocessen garanterar att du har mindre rrelse i ditt objektiv hela dagen och astigmatism eliminering av suddighet r kritisk

Skillnaden mellan problem http://proscene.co.ke/index.php/forum/donec-eu-elit/103570-rabatt-diklofenak-mylan#111255 Utan recept vener

Binjurarna i kroppen tjnar till att producera adrenalin och kortisol, tv hormoner viktigt i dag till dag funktion i kroppen

Jag fick nyligen ett mail frn en potentiell dieter som berttade att ven hon var fascinerad av Medifast kost och knde en del mnniskor som hade bra resultat p det, var hon ovillig att prova det eftersom, som en Account Executive, hon mste ha fretagens luncher p restauranger och hon uppenbarligen inte kunde ta med hennes Medifast mltider vid dessa utflykter

magsmrta jmfr https://www.minsep.cm/forums/topic/koper-cliovelle/ Igenom nsblod p

&lt;a href=https://www.oda-team.fr/forums/topic/1qp/&gt;1qp&lt;/a&gt;

&lt;a href=https://www.oda-team.fr/forums/topic/bpa/&gt;bpa&lt;/a&gt;

 Ldor kan variera i de flesta ngon hjd, men en gemensam utveckling kan g frn 12, 18 och 24 inches i hjd

------=_NextPart_864ae87a91ea53d610588b2dc02f998d--

[esculapra]

вероятно на сайт залили спам-майлер. если почистить, то нужен полный доступ в панель хостинга - по фтп долго. у меня целая коллекция отловленных майлеров, бэкдоров, шеллов...

[thentru]

Чаще всего спам идет с формы обратной связи
Если у вас включена гуглкаптча, то можно сделать небольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php
после строки

public function validate() {

добавьте

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

или поставьте

 

[Mor940k]

Спасибо, друзья!

Хост рекомендовал первым шагом просканировать полностью площадку на вредоносный код, скрипты и вирусы.

Написал им заявку, они провели скан.

Результат:

Отчет сканера AI-Bolit vHOSTER-30.1.1: /home/u******/ (2/0)

Затрачено времени: 12297.3. Сканирование начато 26-09-2020 в 13:53:54, сканирование завершено 26-09-2020 в 17:18:51
Всего проверено 0 директорий и 38308 файлов. Использовано памяти при сканировании: 15.52 Mb.

 

Сводный отчет

Критические замечания
Вирусы и вредоносные скрипты не обнаружены.

[Mor940k]

В 26.09.2020 в 19:26, thentru сказал:

Если у вас включена гуглкаптча, то можно сделать небольшой фикс

Спасибо!

[Mor940k]

В 26.09.2020 в 19:26, thentru сказал:

Чаще всего спам идет с формы обратной связи
Если у вас включена гуглкаптча, то можно сделать небольшой фикс
в файле catalog/controller/captcha/google_captcha.php или catalog/controller/extension/captcha/google_captcha.php

Подскажи плиз. У меня установлено расширение Google reCAPTCHA v.2 . Сам сайт с шаблоном Revolution 

catalog/controller/captcha/google_captcha.php - этого пути нет. Есть другой путь catalog\controller\extension\captcha\google_captcha_two.php 

Где такие строки нашёл:

    public function validate() {

        if (empty($this->session->data['gcapcha'])) {

            $this->load->language('extension/captcha/google_captcha');

            $recaptcha = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret=' . urlencode($this->config->get('google_captcha_secret')) . '&response=' . $this->request->post['g-recaptcha-response'] . '&remoteip=' . $this->request->server['REMOTE_ADDR']);    

            $recaptcha = json_decode($recaptcha, true);    

            if ($recaptcha['success']) {

                $this->session->data['gcapcha'] = true;

            } else {

                return $this->language->get('error_captcha');

            }

        }

    }

 

и такой путь, как указал второй catalog\controller\extension\captcha\google_captcha.php

Такие же строки дублируются.

 

Правильно в них добавить и остальное не трогать?

после строки

public function validate() {

добавьте

if (!isset($this->request->post['g-recaptcha-response'])) {
  $this->request->post['g-recaptcha-response'] = '';
}

 

[Mor940k]

У меня на 2-ом сайте постоянно регистрируются левые "Покупатели", например:

MusorPaivy MusorPaivyPC - регистрация аккаунта.

direlolavez18 Сиалис 5 мг дженерик - регистрация

Charlesbekly CharlesbeklyLN - регистрация покупателя

 

Устал их удалять или отключать статус. Я так и не понял, меньше стали регистрироваться после установки расширения Google reCAPTCHA v.2 или нет?

Такие персоны вообще опасны на взлом или спам?

[thentru]

в обоих файлах можно добавить
даже так, чтобы не делать лишний запрос к гуглу
после

Цитата

$this->load->language('extension/captcha/google_captcha');

добавить

if (!isset($this->request->post['g-recaptcha-response'])) {
  return $this->language->get('error_captcha');
}

 

[Mor940k]

Вопрос! Случайно на форму Регистрации есть фикс? Или лучше обратиться к разработчику шаблона Revolution

Опять непонятный зарегистрировался  И таких море. Бывает в день сразу 2-3 бота или как их там.

В форме регистрации капча Гугл у меня стоит. Как они её обходят возможно?

 

fokoswic fokoswicGK - регистрация аккаунта.
 05/10/2020 17:40:37

 

IP
193.19.75.218

 

Имя покупателя	E-Mail	Группа покупателей	Статус	IP	Дата добавления	Действие
	Charlesbekly CharlesbeklyLN	[email protected]	Бот (спам)	Отключено	174.76.35.7	08.09.2020
	DarkAura DarkAura	[email protected]	Бот (спам)	Отключено	59.124.224.180	03.06.2020
	DarnellJoilt DarnellJoiltCA	[email protected]	Бот (спам)	Отключено	188.187.190.64	11.02.2020
	Daviddor DaviddorUX	[email protected]	Бот (спам)	Отключено	188.187.190.64	01.03.2020
	DavidMom DavidMomZV	[email protected]	Бот (спам)	Отключено	5.3.177.105	06.09.2020
	direlolavez18 Сиалис 5 мг дженерик	[email protected]	Бот (спам)	Отключено	31.13.191.123	17.09.2020
	DmitriyB Дмитрий	[email protected]	Бот (спам)	Отключено	94.25.172.17	11.11.2019
	Edwardfub EdwardfubZU	[email protected]	Бот (спам)	Отключено	176.103.93.79	03.10.2020
	Eleoangessy EleoangessyBF	[email protected]	Бот (спам)	Отключено	5.188.84.6	14.03.2020
	fokoswic fokoswicGK	[email protected]	Бот (спам)	Отключено	193.19.75.218	05.10.2020
	forerokateb52 Женская виагра 100 мг купить	[email protected]	Бот (спам)	Отключено	89.36.224.11	14.09.2020
	gerelomated91 Noah	[email protected]	Бот (спам)	Отключено	84.17.59.81	08.09.2020
	GTA5ManBrelp GTA5ManBrelpRC	[email protected]	Бот (спам)	Отключено	212.92.108.84	14.04.2020
	KaqaztikGite KaqaztikGite	[email protected]	Бот (спам)	Отключено	159.224.255.154	21.02.2020
	KratosSys KratosSysWV	[email protected]	Бот (спам)	Отключено	5.62.19.54	24.08.2020
	KristinaRer KristinaRerMB	[email protected]	Бот (спам)	Отключено	185.255.96.99	18.03.2020
	Louiswhawl LouiswhawlUM	[email protected]	Бот (спам)	Отключено	37.120.203.25	02.04.2020
	MusorPaivy MusorPaivyPC	[email protected]	Бот (спам)	Отключено	14.164.67.41	27.09.2020
	Nextdemn NextdemnCG	[email protected]	Бот (спам)	Отключено	46.187.22.208	28.08.2020
	Nextdemn NextdemnCG	[email protected]	Бот (спам)	Отключено	46.187.25.61	03.09.2020
	profpdaf profpdafBS	[email protected]	Бот (спам)	Отключено	176.100.189.4	26.08.2020
	REDHERRiNG jacky Gomes	[email protected]	Бот (спам)	Отключено	23.108.44.107	14.05.2020
	RichardVek RichardVekJO	[email protected]	Бот (спам)	Отключено	93.124.105.236	09.09.2020
	Rigelicoda RigelicodaYG	[email protected]	Бот (спам)	Отключено	94.23.61.181	14.03.2020
	Robertcom RobertcomMS	[email protected]	Бот (спам)	Отключено	46.33.33.84	30.06.2020
	RupertMof RupertMofMX	[email protected]	Бот (спам)	Отключено	37.115.120.52	24.08.2020
	Starikov27 Starikov27	[email protected]	Бот (спам)	Отключено	80.89.234.142	05.04.2020
	StephenNR DavidXFEU	[email protected]	Бот (спам)	Отключено	95.72.238.217	11.03.2020
	valenvv valenvv	[email protected]	Бот (спам)	Отключено	188.163.74.184	22.08.2020
	Vengerov19 Serdityh63YQ	[email protected]	Бот (спам)	Отключено	185.104.184.116	02.09.2020
	VeroniCat venomousMN	[email protected]	Бот (спам)	Отключено	5.44.174.37	18.05.2020
	Vetlickij626 Vetlickij626	[email protected]	Бот (спам)	Отключено	195.181.175.112	28.06.2020
	winshlwin winshlwin	[email protected]	Бот (спам)	Отключено	37.229.198.155	12.06.2020
	Zacesebaqoo Zacesebaqoo	[email protected]	Бот (спам)	Отключено	159.224.255.154	22.05.2020
	Zacesebaqoo Zacesebaqoo	[email protected]	Бот (спам)	Отключено	159.224.255.154	10.09.2020

Змінено 5 жовтня 2020 користувачем Mor940k