Обновился phpmailer. Сам? Взломали? - Безопасность сайтов на Joomla

Здравствуйте. Только что начал получать сигналы со своих сайтов о том, что изменены файлы:
./libraries/vendor/phpmailer/phpmailer
./libraries/vendor/phpmailer/phpmailer/class.phpmailer.php

Я на сайте ничего не делал. Система обновлена до 3.6.5
Сигналы поступили с разных сайтов на разных аккаунтах (хотя хостинг один).
Полез в логи, там ничего подозрительного не нашел. Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?

у техподдержки хостинга спросите, может они подсуетились

что такое "никаких подозрительных вещей не заметил"? расхождения есть или нет? и да, уточните у хостера, может он в связи с обнаружением уязвимости в phpmailer таким образом заботится о клиентах? если так - то спасибо конечно, но это имхо не очень нормально

Т. е. вы мониторите сами изменения, например при помощи Tripwire ? А раньше подобного не происходило?
Конечно, в первую очередь нужно узнавать у хостера. Если у вас шеред-хостинг 90% это его работа.

Да, КРОН каждый час запускает скриптик, которых мониторит изменения в файлах и бьет тревогу на почту. если находит изменения.
Раньше само ничего не "менялось", либо я что-то обновлял, либо взламывали и что-то меняли...

Написал хостеру, посмотрим, что ответят

у техподдержки хостинга спросите, может они подсуетились

соббсно

Добрый шелл

Добрый шелл

Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.

Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.

Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.

Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.

Но хакер должен оставлять где-то бэкдоры: php, perl, в базе .. Хакер не будет полагаться на одну дырку, которую скорее всего при обновлении закроют.

Хостер свое участие отрицает. Сейчас должны предоставить логи доступа, буду изучать...

Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся? Возможно это новая уязвимость...
У меня хостинг timeweb, если что. Файл был изменен на всех сайтах, на 3х разных аккаунтах

Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?

Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?

Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?

Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение

Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение

Уже интереснее.
А более детальной информации нет?

Хостер свое участие отрицает.

И кстати, насколько уверенно он отрицает? Таймвеб говорите?
Может там правое ухо не знает про левую ногу.

Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..

Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..

Пытаюсь уловить ход ваших мыслей, пока безуспешно...

Пытаюсь уловить ход ваших мыслей, пока безуспешно...

Я не могу однозначно утверждать, (был бы совсем ламер, утверждал бы однозначно )
У меня, как и автора, есть несколько аккаунтов на Timeweb, и есть мониторинг изменения файлов. Месяц назад тоже произошли изменения в файлах, и тоже поддержка категорично сказала, что они ни при чём. Я так и не нашел зловредного кода, только патчинг.
Недели 1.5 назад тоже изменения происходили, и сегодня подтверждаю:

Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся?

- Да сегодня поменян файл, опять впечатление после сравнения файлов, что это просто патчинг.
Моё мнение, они тестируют какую-то программу по патчингу популярных CMS.
Только на кой черт скрывать это от пользователей! Но как оговорился выше, теоретически не исключены еще какие-то варианты.

В топике не хватает представителей timeweb
Позвал их в твиттере, но что-то молчат..

У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACK

A critical PHPMailer bug tied to the way websites handle email and feedback forms is leaving millions of websites hosted on popular web-publishing platforms such as WordPress, Drupal and Joomla open to attack.

Гитхаб.

У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACKГитхаб.

Ну вот теперь понятно, значит я совсем не одинок . Что делать то будем, товарищи? Там вроде патчик для phpmailer'a вышел, пытаться его поставить, или ждать обновления Joomla 3.6.6?

https://cmscafe.ru/novosti/858-kriticheskaya-uyazvimost-v-phpmailer-ne-povliyaet-na-joomla-cms
[topic=334013]

Так..а я вчера работал с клиентским сайтом тоже на таймвебе и удивлялся, что за странные там изменения по сравнению с оригинальной версией, как будто несколько коммитов применили...
Это у всех такое?
В данном случае речь про версию 3.4.8

3.4.8 уязвимая же

3.4.8 уязвимая же

Я в курсе, как раз обновлял, смутило что она не соответсвует дистрибутиву, но это не взлом.
Особенно странно изменение картинок..

Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить

Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить

Да, верно.
Это сравнение именно по содержимому, а не датам, на даты тут вообще не стоит обращать внимание, так как речь про локальные копии.

Режим вывода - только отличающиеся файлы.

(Стандартная программа сравнения папок по содержимому, встроенная в наутилус, убунту)

Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?

Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?

Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...

Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...

"Вечный Тариф" предлагает ИП Артём Юрьевич, это сильно )) Надо брать.
Надо ему ещё идею подсказать, видел такую услугу "цементирование сайта" )).

Ближе к теме: согласитесь, что от проактивной защиты больше проблем, чем пользы.