Обновился phpmailer. Сам? Взломали? - страница 2 - Безопасность сайтов на Joomla

Ближе к теме: согласитесь, что от проактивной защиты больше проблем, чем пользы.

Безопасность дама капризная и требует определенного подхода! согласитесь?

как я понял, в последней версии Joomla стоит уязвимая версия phpmailer. это может быть опасным только, если какое-то расширение не использует Joomla API.

что касается патчинга хостером - не верю. во-первых, он не имеет права изменять файлы пользователя, во-вторых, это технически проблематично. это сторонняя библиотека. допустим, кто-то ее использует вообще без Joomla и к тому же переименовал/изменил файлы. как хостеру найти что патчить даже если захочется "помочь" и что из этого выйдет.

во-первых, он не имеет права изменять файлы пользователя

Да неужели?

во-вторых, это технически проблематично

Да, поэтому кто-то должен быть подопытной мышью на тестовый период. Просто было бы цивилизованнее предложить опционально поучаствовать владельцам аккаунтов в программе тестирования, объяснив все плюсы, это ИМХО, конечно. Но в конечном счете хостер с экономической точки зрения прав, что хочет патчить критические дыры сам.

и к тому же переименовал/изменил файлы. как хостеру найти что патчить даже если захочется "помочь" и что из этого выйдет.

А ему и не нужно такие нестандартные файлы патчить.

я бы вернул старую библиотеку, и в случае ее повторного изменения проверил логи. и так можно несколько раз сделать. если будет видна периодичность изменения, а в логах ничего, то идти к хостеру с инфой.
можно вообще чистую Joomla развернуть, забетонировать эту библиотеку на возможность изменений файлов и подождать. если это хостер, то его скрипт пропатчит ее, а если на сайте уязвимость, то ничего не изменится.

Есть ли новости по описанной проблеме? У меня то же самое, тоже хостинг таймвеб, подменяется файл /public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php

Подмена происходит около 2 часов ночи судя по отчету EYESITE. В логах ничего подозрительного нет, подключений по FTP/SSH нет.

Днем произвожу через админку перезапись основных файлов Joomla, в ходе которой собственно перезаписывается только этот единственный файл. Ночью происходит патч.
Проверял сайт айболитом - все норм.

Спросил у хостера - вот ответ:

Здравствуйте.

С нашей стороны не выполняется изменений в файлах аккаунтом пользователе хостинга, также мы не ведем логирование изменений файлов на дисках аккаунтов. Для выполнения самостоятельного анализа с нашей стороны могут быть предоставлены логи доступа к Вашему аккаунту по FTP/SSH и логи доступа к сайтам Вашего аккаунта по Вашему запросу с указанием необходимого периода времени.

Если у Вас остались вопросы, пожалуйста, обращайтесь.

3 дня убил на поиск дыры
В итоге сегодня вечером письмо от хостера, нет слов...

Техническая поддержка
Здравствуйте.

Приносим Вам свои извинения, работа с файлом class.phpmailer.php была произведена с нашей стороны автоматическим средством для устранения уязвимостей (http://patchman.co/), причина изменения файла следующая уязвимость в коде PHPMailer:

https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities


Тему можно закрыть.

А я сразу говорил

Таймвебовцы молодцы, конечно. Сделать рассылку по пользователям или поставить новость на главную - наверное, невероятно сложная для них задача.

тайм веб фигня! всем рекомендую валить с их хоста, они даже за ядром не следят, бывали клиенты на тайме где серваки их 10-11 года были...

тайм веб фигня! всем рекомендую валить с их хоста...

Придерживаюсь того же мнения и уже забрал оттуда свои сайты и некоторых клиентов. Добавлю, что в последнее время имеет место разводилово, когда клиенту показывают излишнюю нагрузку и предлагают более дорогой тариф, а после переноса на другой хостинг выясняется, что сайт такой нагрузки не создает.

Не знаю, лично меня Таймвеб полностью устраивает. Бывают косяки, особенно после обновления оборудования на серверах. Но в целом мне все нравится. Т.е. нет, не так сказал, не нравится, а устраивает. Меня Таймвеб устраивает больше, чем другие хостеры.

А так вообще тема о другом

Меня Таймвеб устраивает больше, чем другие хостеры.

Это вы просто глубоко не копали и не сталкивались еще с проблемами, через которые многие уже прошли, все впереди. Знаете, прикольно копаться в root-директории сервера через SSH и видеть список всех клиентов таймвеба, их логины..... И да, сорь за флуд.

Как самому обновить  PHPMailer, работает в любой версии Joomla.
Добавьте это в шапку!

Обновление PHPMailer до версии 5.2.22, где проблема CVE-2017-5223 пофиксина!
заходим сюда
https://github.com/PHPMailer/PHPMailer

Из всех этих фаилов нам нужны только три фаила.
а имено
class.phpmailer.php
class.pop3.php
class.smtp.php

Скачиваем их.
у себя на компьютере их переименовываем
class.phpmailer.php  переименовываем -------> phpmailer.php
class.pop3.php  переименовываем ------->  pop3.php    
class.smtp.php  переименовываем ------->  smtp.php

после чего заходим на сайт по FTP
ваш_сайт/libraries/phpmailer/
Записываем новые фаилы по верх старых.
Проверяем права на фаилы, должны быть 644
Это все.
Не забываем говорить спасибо!

У меня совершено схожая ситуация, с файлом class.phpmailer.php, но несколько отличающаяся эффективностью диалога с технической поддержкой Timeweb. Впервые заметил изменение файла только после новогодних праздников. Проанализировал эти «вклейки» и пришел к выводу, что ничего опасного в них нет. Затем убедился, что кроме меня никто не имел доступа к ресурсам аккаунта по протоколам SSH/FTP. Окончательным аргументом в пользу гипотезы о вмешательстве Timeweb стало то, что атрибуты этого файла меняются с любых на 644. Вот с этими выводами я и обратился в техническую поддержку ... их признание последовало сразу-же! Да, они сообщили, несколько отстранено, что у них работает сиcтема безопасности Patchman, которая ищет уязвимости в коде клиентов и при необходимости их устраняет! Такое, выбитое у них признание, не могло компенсировать раздражения от этой медвежьей услуги Timeweb, поэтому с моей стороны последовала результативная серия коротких язвительных писем ушедших к начальствующему ресурсу Timeweb. И вот уже уровнем ответа на них я остался доволен. Сожалею, что нельзя их опубликовать - пожалуйста, читайте))) договор оферта даже если у вас shared hosting.

P.S.
Да, я порядком устал от хостинга Timeweb, может потому, что работаю с ними седьмой год и за это время было много-много неприятных ситуаций! Уважаемый пользователь SeBun упомянул о доступе к списку аккаунтов клиентов Timeweb расположенных в пределах одного сервера для тарифов shared hosting, я когда его увидел впервые, почти охр...л! Однако, у меня были по-настоящему безумные ситуации созданные Timeweb. А на мои замечания техническая поддержка отвечала: спасибо, что вы указали на эту проблему, мы над ней работаем. ПРАВДА, есть одно объективное НО: 9 из 10 администраторов использующих shared hosting НИКОГДА не замечают этих особенностей работы с Timeweb - такое обстоятельство есть оправдание рабочих ошибок этого хостинга.
Пока не собираюсь от них переезжать так, как МНОГО преимущественных удобств работы с ними, но альтернатива им конечно существует!           

Пролечиваю некоторые сайты на вышеупомянутом хостинге, вот код, который вшивается в файл

С хостингом еще беседу не вел, по поводу они это или нет, но то же ai-bilit ругается на:

Уязвимости в скриптах (1)
C:\.......\localhost/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Пролечиваю некоторые сайты на вышеупомянутом хостинге, вот код, который вшивается в файл

Код

 // CVE-2016-10033, CVE-2016-10045: Don't pass -f if characters will be escaped.
        if (!empty($this->Sender) and self::isShellSafe($this->Sender)) {
            if ($this->Mailer == 'qmail') {
                $sendmailFmt = '%s -f%s';
            } else {
                $sendmailFmt = '%s -oi -f%s -t';
            }
        } else {
            if ($this->Mailer == 'qmail') {
                $sendmailFmt = '%s';
            } else {
                $sendmailFmt = '%s -oi -t';
            }
        }

        // TODO: If possible, this should be changed to escapeshellarg.  Needs thorough testing.

С хостингом еще беседу не вел, по поводу они это или нет, но то же ai-bilit ругается на:

Уязвимости в скриптах (1)
C:\.......\localhost/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Айболит чекает версию и если версия соответствующая уязвимой, то ругается, вот участок кода детекта данной уязвимости:

   if (strpos($par_Filename, 'phpmailer.php')!== false) {      
      if (strpos($par_Content, 'PHPMailer')!== false) {
                        $l_Found = preg_match('~Version:\s*(\d+)\.(\d+)\.(\d+)~', $par_Content, $l_Match);

                        if ($l_Found) {
                           $l_Version = $l_Match[1] * 1000 + $l_Match[2] * 100 + $l_Match[3];

                           if ($l_Version < 2520) {
                              $l_Found = false;
                           }
                        }

                        if (!$l_Found) {

                           $l_Found = preg_match('~Version\s*=\s*\'(\d+)\.*(\d+)\.(\d+)~', $par_Content, $l_Match);
                           if ($l_Found) {
                              $l_Version = $l_Match[1] * 1000 + $l_Match[2] * 100 + $l_Match[3];
                              if ($l_Version < 5220) {
                                 $l_Found = false;
                              }
                           }
         }


              if (!$l_Found) {
               $l_Vuln['id'] = 'RCE : CVE-2016-10045, CVE-2016-10031';
            $l_Vuln['ndx'] = $par_Index;
            $g_Vulnerable[] = $l_Vuln;
            return true;
                        }
      }
      
      return false;
   }

@AL_ALEX
Все заплатки меняют участки кода, а для нормальной работы скриптов поиска уязвимостей надо полностью файл библиотеки менять, взять его можно последней версии на гитхаб-е.

Уже бы выпустили версию что ли для успокоения души людям с новой библиотекой, хотя де факто не уязвима.

Уже бы выпустили версию что ли для успокоения души людям с новой библиотекой, хотя де факто не уязвима.

Они лотали очень много раз, все подлатывая и подлатывая каждое обновление, но последняя вроде держится уже долго (если с исправлениями сравнивать).

С хостингом еще беседу не вел, по поводу они это или нет, но то же ai-bilit ругается на:

Уязвимости в скриптах (1)
C:\.......\localhost/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Ага, типо в последней версии пофиксили ложное детектирование, как раньше определяло, так и до сих пор.

Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?

Мне однажды на IHC хостинге админы .htaccess авторизацию без моего ведома установили. Ибо атаки были массовые.

Мне однажды на IHC хостинге админы .htaccess авторизацию без моего ведома установили. Ибо атаки были массовые.

Ну года 2-3 назад все ставили принудительно.
Ибо брут-форс был такой мощной, что иначе целые хостинги ложились

Мне однажды на IHC хостинге админы .htaccess авторизацию без моего ведома установили. Ибо атаки были массовые.

Это нормальная практика, то что есть а ни кто не использует, вот во время атак всем и включали.

вот во время атак всем и включали.

Считаю что без разрешения владельца аккаунта, подобные действия не правомерные, на примере WordPress, на опыте, ставили бэйсик на wp-login.php и wp-admin, вместе с компонентом VirtueMart, пользователи не могли дойти до стадии покупок и войти в личный кабинет, что приводит к потерям продаж!

Считаю что без разрешения владельца аккаунта, подобные действия не правомерные, на примере WordPress, на опыте, ставили бэйсик на wp-login.php и wp-admin, вместе с компонентом VirtueMart, пользователи не могли дойти до стадии покупок и войти в личный кабинет, что приводит к потерям продаж!

Там другой случай был.
Закрывалась только админка!

А атаки были такие мощные, что те хостеры, кто этого не делал ( и у них были сайты на Joomla) просто ложились серваками от нагрузки

Не забываем в phpmailer.php

 
Заменить на

 

Или на вашу родную кодировку. Иначе Кракозяблы в письмах обеспечены.

а никто не решил эту проблему? а то Айболит до сих пор ругается даже после того, как заменили файл с Гитхаба

а никто не решил эту проблему? а то Айболит до сих пор ругается даже после того, как заменили файл с Гитхаба

а версия какая, сравнить по коду обоих и самому ручками прописать