Shaper_Doctor Corrupted, Sending Spam Mails
Feyzi Erdar
Hi Joomshaper team,
we created 2 Websites with the Shaper_doctor Template for customers. In both cases, the web provider sent an abuse eMail that the index.php would send spam messages. The providers located the index.php as the source an locked the sites.
After I have deactivates eMail sending in the control panel and the forms unter "contacts", the provider unlocked the contents on both sites.
Could you please check the files if there are any vulnerabilities inside?
Pre-thanks
Feyzi Erdar Microsoft Certified Systems Engineer CEO
ERDAR Consulting - IT Center Biedenkopf GmbH Marktplatz 20 · 35216 Biedenkopf T 06461 75875-0 · F 75875-299 www.it-center.biz
Paul Frankowski
Accepted AnswerHi Feyzi,
but "index.php" from what folder? More details please. Becuase index.php from root template folder do not have sending script unless somebody (Russian Hacker?) added it.
I also use this same template for one site, of course with RSfirewall (and .ru locked), and so far, no problems.
Paul Frankowski
Accepted AnswerBTW
Those "Sent Spam Mails" were in what language, what domains mails? I ask out of curiosity.
Feyzi Erdar
Accepted AnswerHi Paul,
thx for your replies. Indeed, it´s the index.php in the root directory of joomla. But this file doesn´t contain any code that can cause spam mails - even the required '/includes/defines.php' and '/includes/framework.php' do not contain any code like that.
The provider just sent us the information, that the index.php would cause spam mails - without any further information:
Von: [email protected] Datum: 21. März 2022 um 09:50:17 MEZ An: [email protected] Betreff: Ihr STRATO Paket wurde gesperrt (Auftrag: xxxxxx) Kundennummer: xxxxxxx Auftragsnummer: xxxxx
Hallo Dr. xxxxxxxxxx,
wir haben folgende Funktion/en Ihres STRATO Paketes (xxxxx) vorübergehend gesperrt: Versand von E-Mails durch Skripte in Ihrem Webspace (bspw. Kontaktformular) Zugriff auf Ihre Website
Über Ihr Paket wurden unerwünschte Massen-E-Mails (Spam) versandt. Wir gehen davon aus, dass unbekannte Dritte schadhafte Dateien in Ihren Webspace eingeschleust haben. Die Sperrung erfolgte, um weiteren Missbrauch und Schaden von Ihnen und anderen abzuwenden. Hierzu sind wir im Rahmen der Mitstörerhaftung verpflichtet.
Der Versand erfolgte über folgende schadhafte Datei: ./index.php
Wir konnten diese Datei eindeutig identifizieren. In vielen Fällen werden jedoch weitere Dateien eingeschleust, um die Bereinigung zu erschweren.
Bitte folgen Sie der Anleitung in unserem FAQ-Artikel, um Ihr STRATO Paket wieder uneingeschränkt nutzen zu können: https://www.strato.de/faq/vertrag/anleitung-zur-entsperrung-ihres-paketes
Mit freundlichen Grüßen
STRATO AG | Abuse
E-Mail: [email protected] Website: https://www.strato.de
STRATO AG Otto-Ostrowski-Straße 7 10249 Berlin
Die gesetzlichen Pflichtangaben gemäß § 80 AktG finden Sie unter https://www.strato.de/impressum/
Paul Frankowski
Accepted AnswerIf somehow it was Joomla core index.php (what I doubt) - I don't see our fault. I think they should have more detailed info. I've gotten more info when one of managed sites goes crazy with spam.
Anyway, I recommend start using Firewall component and htaccess security rules.
Security audit is beyond Joomshaper support.
