Обновился phpmailer. Сам? Взломали?

  • 55 Ответов
  • 1987 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

Здравствуйте. Только что начал получать сигналы со своих сайтов о том, что изменены файлы:
./libraries/vendor/phpmailer/phpmailer
./libraries/vendor/phpmailer/phpmailer/class.phpmailer.php

Я на сайте ничего не делал. Система обновлена до 3.6.5
Сигналы поступили с разных сайтов на разных аккаунтах (хотя хостинг один).
Полез в логи, там ничего подозрительного не нашел. Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?


*

Оффлайн dmitry_stas

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #2 : 27.12.2016, 22:18:30 »
что такое "никаких подозрительных вещей не заметил"? расхождения есть или нет? и да, уточните у хостера, может он в связи с обнаружением уязвимости в phpmailer таким образом заботится о клиентах? если так - то спасибо конечно, но это имхо не очень нормально :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #3 : 27.12.2016, 22:23:10 »
Т. е. вы мониторите сами изменения, например при помощи Tripwire ? А раньше подобного не происходило?
Конечно, в первую очередь нужно узнавать у хостера. Если у вас шеред-хостинг 90% это его работа.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #4 : 27.12.2016, 22:25:39 »
Да, КРОН каждый час запускает скриптик, которых мониторит изменения в файлах и бьет тревогу на почту. если находит изменения.
Раньше само ничего не "менялось", либо я что-то обновлял, либо взламывали и что-то меняли...

Написал хостеру, посмотрим, что ответят

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #5 : 27.12.2016, 22:26:40 »
у техподдержки хостинга спросите, может они подсуетились
соббсно

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #6 : 27.12.2016, 22:37:39 »
Добрый шелл :)
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #7 : 27.12.2016, 22:48:49 »
Добрый шелл :)
Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

*

Онлайн flyingspook

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #8 : 27.12.2016, 23:01:05 »
Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.
Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #9 : 27.12.2016, 23:05:33 »
Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.
Но хакер должен оставлять где-то бэкдоры: php, perl, в базе .. Хакер не будет полагаться на одну дырку, которую скорее всего при обновлении закроют.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #10 : 27.12.2016, 23:13:29 »
Хостер свое участие отрицает. Сейчас должны предоставить логи доступа, буду изучать...

Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся? Возможно это новая уязвимость...
У меня хостинг timeweb, если что. Файл был изменен на всех сайтах, на 3х разных аккаунтах

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #11 : 27.12.2016, 23:17:00 »
Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?
Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #12 : 27.12.2016, 23:25:07 »
Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?
Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #13 : 27.12.2016, 23:47:44 »
Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение

Уже интереснее.
А более детальной информации нет?

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #14 : 27.12.2016, 23:49:07 »
Хостер свое участие отрицает.
И кстати, насколько уверенно он отрицает? Таймвеб говорите?
Может там правое ухо не знает про левую ногу.

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #15 : 28.12.2016, 00:39:52 »
Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..
« Последнее редактирование: 28.12.2016, 00:44:58 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

*

Оффлайн robert

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #16 : 28.12.2016, 00:53:14 »
Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..
Пытаюсь уловить ход ваших мыслей, пока безуспешно...:(
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #17 : 28.12.2016, 02:58:05 »
Пытаюсь уловить ход ваших мыслей, пока безуспешно...:(
Я не могу однозначно утверждать, (был бы совсем ламер, утверждал бы однозначно :))
У меня, как и автора, есть несколько аккаунтов на Timeweb, и есть мониторинг изменения файлов. Месяц назад тоже произошли изменения в файлах, и тоже поддержка категорично сказала, что они ни при чём. Я так и не нашел зловредного кода, только патчинг.
Недели 1.5 назад тоже изменения происходили, и сегодня подтверждаю:
Цитировать
Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся?
- Да сегодня поменян файл, опять впечатление после сравнения файлов, что это просто патчинг.
Моё мнение, они тестируют какую-то программу по патчингу популярных CMS.
Только на кой черт скрывать это от пользователей! Но как оговорился выше, теоретически не исключены еще какие-то варианты.
« Последнее редактирование: 28.12.2016, 03:02:52 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #18 : 28.12.2016, 03:56:51 »
В топике не хватает представителей timeweb
Позвал их в твиттере, но что-то молчат..

*

Оффлайн Missile

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #19 : 28.12.2016, 06:26:25 »
У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACK
Цитировать
A critical PHPMailer bug tied to the way websites handle email and feedback forms is leaving millions of websites hosted on popular web-publishing platforms such as WordPress, Drupal and Joomla open to attack.
Гитхаб.
« Последнее редактирование: 28.12.2016, 06:34:08 от Missile »

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #20 : 28.12.2016, 09:16:33 »
У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACKГитхаб.
Ну вот теперь понятно, значит я совсем не одинок :). Что делать то будем, товарищи? Там вроде патчик для phpmailer'a вышел, пытаться его поставить, или ждать обновления Joomla 3.6.6?


*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #22 : 28.12.2016, 12:47:11 »
Так..а я вчера работал с клиентским сайтом тоже на таймвебе и удивлялся, что за странные там изменения по сравнению с оригинальной версией, как будто несколько коммитов применили...
Это у всех такое?
В данном случае речь про версию 3.4.8


Re: Обновился phpmailer. Сам? Взломали?
« Ответ #23 : 28.12.2016, 12:48:31 »
3.4.8 уязвимая же

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #24 : 28.12.2016, 12:52:20 »
3.4.8 уязвимая же
Я в курсе, как раз обновлял, смутило что она не соответсвует дистрибутиву, но это не взлом.
Особенно странно изменение картинок..

Re: Обновился phpmailer. Сам? Взломали?
« Ответ #25 : 28.12.2016, 12:55:43 »
Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #26 : 28.12.2016, 13:00:32 »
Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить
Да, верно.
Это сравнение именно по содержимому, а не датам, на даты тут вообще не стоит обращать внимание, так как речь про локальные копии.

Режим вывода - только отличающиеся файлы.

(Стандартная программа сравнения папок по содержимому, встроенная в наутилус, убунту)

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #27 : 30.12.2016, 00:45:36 »
Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.

*

Онлайн voland

  • ********
  • 9332
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #28 : 30.12.2016, 00:49:23 »
Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?
Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...

*

Оффлайн al707

  • ***
  • 35
  • [+]1 / [-]0
  • Тамиров Александр
    • Просмотр профиля
    • tamirov.ru
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #29 : 30.12.2016, 23:59:43 »
Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...
"Вечный Тариф" предлагает ИП Артём Юрьевич, это сильно )) Надо брать.
Надо ему ещё идею подсказать, видел такую услугу "цементирование сайта" )).

Ближе к теме: согласитесь, что от проактивной защиты больше проблем, чем пользы.
« Последнее редактирование: 31.12.2016, 00:31:04 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.