Autore Topic: Invio email da sito verso dominio "yandex.ru" (Letto 5497 volte)

danjde · « **il:** 03 Mar 2018, 10:36:55 »

Salve amici,
ho da poco scoperto che uno dei miei siti invia in modo lento ma costante email verso il dominio "yandex.ru".
Gli indirizzi a cui invia le mail sono inesistenti e mi ritornano dei messaggi " Undelivered Mail Returned to Sender" dal mio server di posta.

Ecco i log recenti di php:

Codice: [Seleziona]

[03-Mar-2018 07:35:46 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: filippovleshka@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 07:35:46 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <5629059e56f35bc2f75cd4c60ce72e87@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:02:06 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: cvetochek.zh@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:02:06 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <d47e80c56170f1448c86b27e7bf131e2@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:23:48 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: atrenina@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:23:48 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <20ad5aa7a1a11bae392f2708850fd11a@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:33:45 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: irina.pishhulina@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:33:45 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <383e312011f840c0a96e91c0b384fe47@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:38:25 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: kalayhina.albina-tocka@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:38:25 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <eb18663df611518ca95ecbfcc0883bc4@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:45:29 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: shetininmaks@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:45:29 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <ecb9e60150a85d1aa229b1d4e9f645c4@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 08:53:47 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: ustyglubov.ust@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:53:47 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <03d72a0d151313464d28eb385ef30831@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 09:21:26 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: crewbeat@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 09:21:26 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <a4a5a39ee61f99955a9df02391207340@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

[03-Mar-2018 09:46:15 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: semenov.cska@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 09:46:15 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <adfdbe29adcc5159885c13daabd5f952@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

Proprio qualche giorno fa aggiornando un plugin avevo visto che JED lo aveva eliminato perchè la versione aggiornata conteneva codice malevolo. Così l'ho ripristinato alla versione pulita.

Questo è il mio .htaccess:

Codice: [Seleziona]

# If you experience problems on your site then comment out the operations listed 
# below by adding a # to the beginning of the line.
# This attempts to block the most common type of exploit `attempts` on Joomla!
#
# Block any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root home page
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment the following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Ho provato a cercare tra le estensioni qualcosa che contenga "yandex" ma senza esito.

Avete qualche consiglio? :-)

Grazie infinite

giusebos · « **Risposta #1 il:** 03 Mar 2018, 10:38:59 »

leggi i post in evidenza della sezione sicurezza

danjde · « **Risposta #2 il:** 03 Mar 2018, 12:34:32 »

Esiste un applicazione che interroga i DB VEL e confronta i plugin/componenti installati in Joomla per verificare se esiste materiale segnalato?

Grazie ancora

joomlone · « **Risposta #3 il:** 24 Giu 2018, 20:24:35 »

Citazione da: danjde - 03 Mar 2018, 10:36:55

Salve amici,
ho da poco scoperto che uno dei miei siti invia in modo lento ma costante email verso il dominio "yandex.ru".
Gli indirizzi a cui invia le mail sono inesistenti e mi ritornano dei messaggi " Undelivered Mail Returned to Sender" dal mio server di posta.

Ecco i log recenti di php:

Codice: [Seleziona]
[03-Mar-2018 07:35:46 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: filippovleshka@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 07:35:46 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <5629059e56f35bc2f75cd4c60ce72e87@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:02:06 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: cvetochek.zh@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:02:06 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <d47e80c56170f1448c86b27e7bf131e2@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:23:48 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: atrenina@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:23:48 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <20ad5aa7a1a11bae392f2708850fd11a@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:33:45 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: irina.pishhulina@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:33:45 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <383e312011f840c0a96e91c0b384fe47@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:38:25 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: kalayhina.albina-tocka@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:38:25 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <eb18663df611518ca95ecbfcc0883bc4@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:45:29 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: shetininmaks@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:45:29 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <ecb9e60150a85d1aa229b1d4e9f645c4@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 08:53:47 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: ustyglubov.ust@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 08:53:47 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <03d72a0d151313464d28eb385ef30831@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 09:21:26 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: crewbeat@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 09:21:26 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <a4a5a39ee61f99955a9df02391207340@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit [03-Mar-2018 09:46:15 Europe/Berlin] mail() on [/var/www/miosito.it/public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php:702]: To: semenov.cska@yandex.ru -- Headers: Date: Sat, 3 Mar 2018 09:46:15 +0100 From: Hotel Byron <info@miosito.it> Message-ID: <adfdbe29adcc5159885c13daabd5f952@miosito.it> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit

Proprio qualche giorno fa aggiornando un plugin avevo visto che JED lo aveva eliminato perchè la versione aggiornata conteneva codice malevolo. Così l'ho ripristinato alla versione pulita.

Questo è il mio .htaccess:

Codice: [Seleziona]
# If you experience problems on your site then comment out the operations listed # below by adding a # to the beginning of the line. # This attempts to block the most common type of exploit `attempts` on Joomla! # # Block any script trying to base64_encode data within the URL. RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR] # Block any script that includes a <script> tag in URL. RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR] # Block any script trying to set a PHP GLOBALS variable via URL. RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block any script trying to modify a _REQUEST variable via URL. RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Return 403 Forbidden header and show the content of the root home page RewriteRule .* index.php [F] # ## End - Rewrite rules to block out some common exploits. ## Begin - Custom redirects # # If you need to redirect some pages, or set a canonical non-www to # www redirect (or vice versa), place that code here. Ensure those # redirects use the correct RewriteRule syntax and the [R=301,L] flags. # ## End - Custom redirects ## # Uncomment the following line if your webserver's URL # is not directly related to physical file paths. # Update Your Joomla! Directory (just / for root). ## # RewriteBase / ## Begin - Joomla! core SEF Section. # RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] # # If the requested path and file is not /index.php and the request # has not already been internally rewritten to the index.php script RewriteCond %{REQUEST_URI} !^/index\.php # and the requested path and file doesn't directly match a physical file RewriteCond %{REQUEST_FILENAME} !-f # and the requested path and file doesn't directly match a physical folder RewriteCond %{REQUEST_FILENAME} !-d # internally rewrite the request to the index.php script RewriteRule .* index.php [L] # ## End - Joomla! core SEF Section.

Ho provato a cercare tra le estensioni qualcosa che contenga "yandex" ma senza esito.

Avete qualche consiglio? :-)

Grazie infinite

Ciao, mi sono accorto di avere lo stesso problema.

Nello spam delle email mi stanno arrivando delle mail Undelivered Mail Returned to Sender con indirizzi russi.

Giusebos, ho letto i post in evidenza nella sezione sicurezza ma non ne parla.

Danjde come fai a vedere quei log che hai postato nel primo messaggio? Hai poi risolto il problema?

Vi ringrazio

marine · « **Risposta #4 il:** 25 Giu 2018, 00:57:15 »

Ciao joomlone, per cortesia non accodarti MAI ad un post di un altro utente, anche se la richiesta è molto simile ma apri SEMPRE un tuo post nella sezione corretta con un titolo esplicativo del tuo problema e fornendo il maggior numero di dettagli possibili, grazie della comprensione.
P.S. In ogni caso il tuo messaggio non è leggibile...

joomlone · « **Risposta #5 il:** 25 Giu 2018, 09:48:09 »

Pardon, pensavo che fosse meglio accodarmi in quanto il problema non era risolto e del tutto uguale.
Non sapevo, la prossima volta aprirò un nuovo thread.

Questa volta qualcuno saprebbe indicarmi qualcosa su come risolvere questo problema?

Dove trovo i log come quelli postati da danjde?

Vi ringrazio

giusebos · « **Risposta #6 il:** 25 Giu 2018, 10:25:09 »

"Questa volta....."

Non ha capito, splitta la discusssione.

P.S. sono andato a vede il regolamento del forum di wordpress, ed è perfino più severo. Nonostante l'utente medio utilizzatore di wordpress è un utente per niente tecnico, il regolamento viene rispettato.

Forse che joomla non meriti questo trattamento perchè inferiore a wordpress?
Assolutamente NO, dovrebbe essere il contrario SEMMAI!

joomlone · « **Risposta #7 il:** 25 Giu 2018, 10:45:50 »

Il thread non è stato risolto quindi ho pensato di poter accodarmi per poter magari risolvere e chiudere il "caso"

giusebos · « **Risposta #8 il:** 25 Giu 2018, 10:53:33 »

Citazione da: joomlone - 25 Giu 2018, 10:45:50

Il thread non è stato risolto quindi ho pensato di poter accodarmi per poter magari risolvere e chiudere il "caso"

sarebbe stato corretto sole se avessi avuto stesso server, stessa configurazione e versioni di software, ma non è così, anzi mai lo è.

marine · « **Risposta #9 il:** 25 Giu 2018, 12:03:37 »

Citazione da: joomlone - 25 Giu 2018, 09:48:09

Non sapevo, la prossima volta aprirò un nuovo thread.
Questa volta qualcuno saprebbe indicarmi qualcosa su come risolvere questo problema?

No, apri un tuo nuovo post come ti è stato indicato.

danjde · « **Risposta #10 il:** 25 Giu 2018, 14:05:50 »

Citazione da: joomlone - 24 Giu 2018, 20:24:35

[...]

Danjde come fai a vedere quei log che hai postato nel primo messaggio? Hai poi risolto il problema?

Vi ringrazio

Salve @joomlone,
poter consultare i log dipende molto dall'ambiente hosting/server di cui disponi.
Nel mio caso ho attivato i log in /var/log/phpmail.log:

editato il file: /etc/php5/apache2/php.ini

abilitato: mail.log = /var/log/phpmail.log

ricaricato i file di configurazione di apache2

poi basta consultare il contenuto di /var/log/phpmail.log e vedi cosa parte dal tuo server.

Per quanto riguarda le mail che partono dal tuo sito,

1) verifica gli utenti che hai su Joomla e cancella quelli che non riconosci,
2) eventualmente disabilita la registrazione di nuovi utenti e
3) attiva re-capcha per tutti i servizi in forntend che lo permettono.

ciao!

Autore Topic: Invio email da sito verso dominio "yandex.ru" (Letto 5497 volte)

danjde

Invio email da sito verso dominio "yandex.ru"

giusebos

Re:Invio email da sito verso dominio "yandex.ru"

danjde

Re:Invio email da sito verso dominio "yandex.ru"

joomlone

Re:Invio email da sito verso dominio "yandex.ru"

marine

Re:Invio email da sito verso dominio "yandex.ru"

joomlone

Re:Invio email da sito verso dominio "yandex.ru"

giusebos

Re:Invio email da sito verso dominio "yandex.ru"

joomlone

Re:Invio email da sito verso dominio "yandex.ru"

giusebos

Re:Invio email da sito verso dominio "yandex.ru"

marine

Re:Invio email da sito verso dominio "yandex.ru"

danjde

Re:Invio email da sito verso dominio "yandex.ru"