SPAM-Versand über SimpleMailInvoker.php [Gelöst]

  • dvschuetz dvschuetz
    R2-D2
    0 x
    111 Beiträge
    0 Hilfreiche Beiträge
    23. 04. 2013, 17:02

    Liebe Gemeinde,

    ich erhielt von meinem Provider schon zum zweiten Mal die Mitteilung:
    [color=blue]leider mussten wir feststellen, dass Ihr Formmail-Script .../typo3/contrib/swiftmailer/classes/Swift/Transport/SimpleMailInvoker.php von Dritten missbraucht wurde um unerwünschte EMails über unsere Systeme abzusetzen.
    [/color]
    Es handelt sich um Typo3 4.5.21 und 4.5.22 mit RealURL.
    Die Typo3-Installationen greifen via Symlink ~typo3 -> ~typo3_src auf die jeweilige Version in ../typo3_src-4.5.xx zu.
    Auszüge aus meiner .htaccess siehe Anlage.

    Versuch:
    Ich habe die Datei SimpleMailInvoker.php dann erst einmal umbenannt mit der Folge, dass beim Gebrauch von Kontaktformularen (powermail) oder Gästebuch (ve_guestbook)
    - der Besucher eine Fehlermeldung bekommt "Class Swift_Transport_SimpleMailInvokers does not exist"
    - die Mails an den Website-owner nicht abgesendet werden.
    Auf die Dauer ist das also keine Lösung.
    Das Update von Typo3 auf die aktuellste 4.5.x LTS-Version hilft auch nicht.

    Frage:
    [b]Wie kann ich den missbraeuchlichen Zugriff auf SimpleMailInvoker.php verhindern?
    [/b]
    Danke im Voraus
    Dietmar

    Anhänge (1)
    T3-htaccess.txt text/plain 0,00 B 194 heruntergeladen
  • dvschuetz dvschuetz
    R2-D2
    0 x
    111 Beiträge
    0 Hilfreiche Beiträge
    22. 02. 2015, 09:38 - Lösung

    Die Lösung ist längst gefunden und das Problem behoben, aber der Vollständigkeit halber - und um anderen zu helfen - poste ich es hier noch:

    In der Typo3-Installation gab es in eine Unter-Unter-Unterseite mit einem Test-Email-Formular ohne Captcha, das noch aktiv war. Das hat der SPAM-Versender irgendwie gefunden und benutzt. Nach Deaktivieren der Seite im Backend war das Problem behoben.


  • 1
  • 0 x
    3198 Beiträge
    151 Hilfreiche Beiträge
    25. 04. 2013, 09:20

    Hallo Dietmar.

    IMHO solltest Du Dir mal solch eine "unerwünschte EMails" von Deinem Provider zeigen lassen. Nicht alles, was er als "unerwünscht" einstuft, muss das auch sein.
    Beispiel: Ein Spambot postet einen netten Beitrag in Dein Gästebuch. Dieses schickt den Kommentar an den Moderator des Gästebuchs. Dein Provider "sieht", dass Du Mails mit Schmuddel-Links verschickst...

    Außer über einen Zugriff auf die Klasse selbst (d.h. PHP-Code am selben Server) könnte ich mir das nicht erklären, wie der Missbrauch funktionieren sollte.

    Viele Grüße
    Julian

  • dvschuetz dvschuetz
    R2-D2
    0 x
    111 Beiträge
    0 Hilfreiche Beiträge
    26. 04. 2013, 05:34

    [quote="Julian.Hofmann"]
    IMHO solltest Du Dir mal solch eine "unerwünschte EMails" von Deinem Provider zeigen lassen. Nicht alles, was er als "unerwünscht" einstuft, muss das auch sein.
    [/quote]

    Hallo Julian,

    danke für den Hinweis, aber der Provider hat schon Recht, das ist bereits gecheckt. Es geht nicht um einzelne Mails, sondern tausende....

    Es gibt also wirklich ein Problem!
    Viele Grüße, Dietmar

  • 0 x
    3198 Beiträge
    151 Hilfreiche Beiträge
    26. 04. 2013, 07:32

    Hm... o.O
    Dann wäre also die Frage, wer/was die Klasse missbrauchen kann. Idee wäre evtl. die Klasse mal zu patchen und zusätzlich ein Logging (--> debug_backtrace()) einzubauen.
    IMHO müsste der Auslöser bei Dir am Server liegen. D.h. wäre es gut zu wissen, welcher Code ungewollt da rumliegt (und wo) bzw. welche Extension oder Funktion sich von außen missbraucen lässt.

  • Plotz Plotz
    Padawan
    0 x
    62 Beiträge
    0 Hilfreiche Beiträge
    22. 10. 2013, 18:57

    Zitiert von: Julian.Hofmann
    Hm... o.O
    Dann wäre also die Frage, wer/was die Klasse missbrauchen kann ...

    Ich hab auch gerade dieser Tage so einen Hinweis vom Provider gekriegt.
    In dem Web lag noch eine steinalte Typo3-Instanz (4.6.3).
    Durch ein Typo3-Update ist der Fall ja bereits gegessen.

    Die Frage, die sich in dem Zusammenhang für mich stellt:
    Wo in der Datenbank hinterlassen Submissionen der Formmailer Spuren?

    Hat jemand 'ne Idee?

    Danke!
    8-)

  • dvschuetz dvschuetz
    R2-D2
    0 x
    111 Beiträge
    0 Hilfreiche Beiträge
    22. 02. 2015, 09:38

    Die Lösung ist längst gefunden und das Problem behoben, aber der Vollständigkeit halber - und um anderen zu helfen - poste ich es hier noch:

    In der Typo3-Installation gab es in eine Unter-Unter-Unterseite mit einem Test-Email-Formular ohne Captcha, das noch aktiv war. Das hat der SPAM-Versender irgendwie gefunden und benutzt. Nach Deaktivieren der Seite im Backend war das Problem behoben.

  • 1