0 Пользователей и 1 Гость просматривают эту тему.
  • 58 Ответов
  • 2367 Просмотров
*

master-smeta

  • Давно я тут
  • 275
  • 9
Здравствуйте. Только что начал получать сигналы со своих сайтов о том, что изменены файлы:
./libraries/vendor/phpmailer/phpmailer
./libraries/vendor/phpmailer/phpmailer/class.phpmailer.php

Я на сайте ничего не делал. Система обновлена до 3.6.5
Сигналы поступили с разных сайтов на разных аккаунтах (хотя хостинг один).
Полез в логи, там ничего подозрительного не нашел. Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?
*

dmitry_stas

  • Профи
  • 10039
  • 953
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #2 : 27.12.2016, 20:18:30 »
что такое "никаких подозрительных вещей не заметил"? расхождения есть или нет? и да, уточните у хостера, может он в связи с обнаружением уязвимости в phpmailer таким образом заботится о клиентах? если так - то спасибо конечно, но это имхо не очень нормально :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #3 : 27.12.2016, 20:23:10 »
Т. е. вы мониторите сами изменения, например при помощи Tripwire ? А раньше подобного не происходило?
Конечно, в первую очередь нужно узнавать у хостера. Если у вас шеред-хостинг 90% это его работа.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #4 : 27.12.2016, 20:25:39 »
Да, КРОН каждый час запускает скриптик, которых мониторит изменения в файлах и бьет тревогу на почту. если находит изменения.
Раньше само ничего не "менялось", либо я что-то обновлял, либо взламывали и что-то меняли...

Написал хостеру, посмотрим, что ответят
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #5 : 27.12.2016, 20:26:40 »
у техподдержки хостинга спросите, может они подсуетились
соббсно
*

Филипп Сорокин

  • Практически профи
  • 1816
  • 138
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #6 : 27.12.2016, 20:37:39 »
Добрый шелл :)
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #7 : 27.12.2016, 20:48:49 »
Добрый шелл :)
Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

flyingspook

  • Moderator
  • 3620
  • 236
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #8 : 27.12.2016, 21:01:05 »
Человек вроде сравнивал файлы, шелл бы он скорее всего увидел, модифицирован 1 файл, да теоретически не шел, но хитрую дырочку могли сделать, чтобы через неё класть шелл, а потом удалять его после работы. Но это же лазейка закроется при первом же патчинге, поэтому такой вариант практически отпадает.
Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #9 : 27.12.2016, 21:05:33 »
Через последнюю уязвимость в phpmailer  доступ получают ко всему серверу, а то что файлы подменили и потом вернули, так это нормальная практика при взломах.
Но хакер должен оставлять где-то бэкдоры: php, perl, в базе .. Хакер не будет полагаться на одну дырку, которую скорее всего при обновлении закроют.
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #10 : 27.12.2016, 21:13:29 »
Хостер свое участие отрицает. Сейчас должны предоставить логи доступа, буду изучать...

Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся? Возможно это новая уязвимость...
У меня хостинг timeweb, если что. Файл был изменен на всех сайтах, на 3х разных аккаунтах
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #11 : 27.12.2016, 21:17:00 »
Пробовал сравнить /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php с оригиналом из дистрибутива, но и тут никаких подозрительных вещей не заметил
Что делать, где смотреть, куда звонить...?
Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?
*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #12 : 27.12.2016, 21:25:07 »
Ох уж эти гуманитарии.
Он совпадает или нет? Если да, то с какой версией?
Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #13 : 27.12.2016, 21:47:44 »
Взял файл из дистрибутива J3.6.5 и сравнивал с ним. Разницы нет.
Меня смущает первая строка от "моего робота": ./libraries/vendor/phpmailer/phpmailer. Обычно это означает, что был удален файл из указанной папки. Т.е. можно предположить, что кто-то что-то туда залил, с помощью этого "чего-то" изменил файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php ..... затем откатил изменения и удалил свое "что-то" из папки /libraries/vendor/phpmailer/phpmailer
Это лишь предположение

Уже интереснее.
А более детальной информации нет?
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #14 : 27.12.2016, 21:49:07 »
Хостер свое участие отрицает.
И кстати, насколько уверенно он отрицает? Таймвеб говорите?
Может там правое ухо не знает про левую ногу.
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #15 : 27.12.2016, 22:39:52 »
Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..
« Последнее редактирование: 27.12.2016, 22:44:58 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

robert

  • Профи
  • 4078
  • 376
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #16 : 27.12.2016, 22:53:14 »
Автор, у вас наверняка шеред-хостинг?
Timeweb, признавайтесь! Странно, это же даже конкурентное преимущество Timeweb на данный момент, не знаю, практикуют ли другие шеред-хостинги патчинг популярных CMS.
Но для шереда это правильно, шередом процентов на 95 пользуются люди, которые почти ничего в программировании не понимают, и при взломе сразу везде пишут, что хостер виноват, уходите от него. Логика абсолютно понятна.. просто что издеваться над оставшимися 5%, кто, например, мониторит изменения файлов и врать им, что "мы ничего не делали". Это даже подло, если это правда, конечно..
Пытаюсь уловить ход ваших мыслей, пока безуспешно...:(
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #17 : 28.12.2016, 00:58:05 »
Пытаюсь уловить ход ваших мыслей, пока безуспешно...:(
Я не могу однозначно утверждать, (был бы совсем ламер, утверждал бы однозначно :))
У меня, как и автора, есть несколько аккаунтов на Timeweb, и есть мониторинг изменения файлов. Месяц назад тоже произошли изменения в файлах, и тоже поддержка категорично сказала, что они ни при чём. Я так и не нашел зловредного кода, только патчинг.
Недели 1.5 назад тоже изменения происходили, и сегодня подтверждаю:
Цитировать
Может быть есть у кого-нибудь возможность посмотреть на своих сайтах, когда в последний раз файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php изменялся?
- Да сегодня поменян файл, опять впечатление после сравнения файлов, что это просто патчинг.
Моё мнение, они тестируют какую-то программу по патчингу популярных CMS.
Только на кой черт скрывать это от пользователей! Но как оговорился выше, теоретически не исключены еще какие-то варианты.
« Последнее редактирование: 28.12.2016, 01:02:52 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #18 : 28.12.2016, 01:56:51 »
В топике не хватает представителей timeweb
Позвал их в твиттере, но что-то молчат..
*

Missile

  • Живу я здесь
  • 808
  • 80
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #19 : 28.12.2016, 04:26:25 »
У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACK
Цитировать
A critical PHPMailer bug tied to the way websites handle email and feedback forms is leaving millions of websites hosted on popular web-publishing platforms such as WordPress, Drupal and Joomla open to attack.
Гитхаб.
« Последнее редактирование: 28.12.2016, 04:34:08 от Missile »
*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #20 : 28.12.2016, 07:16:33 »
У меня тоже Timeweb, и файл /libraries/vendor/phpmailer/phpmailer/class.phpmailer.php тоже изменён 27 декабря.
UPD: PHPMAILER BUG LEAVES MILLIONS OF WEBSITES OPEN TO ATTACKГитхаб.
Ну вот теперь понятно, значит я совсем не одинок :). Что делать то будем, товарищи? Там вроде патчик для phpmailer'a вышел, пытаться его поставить, или ждать обновления Joomla 3.6.6?
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #22 : 28.12.2016, 10:47:11 »
Так..а я вчера работал с клиентским сайтом тоже на таймвебе и удивлялся, что за странные там изменения по сравнению с оригинальной версией, как будто несколько коммитов применили...
Это у всех такое?
В данном случае речь про версию 3.4.8

*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #23 : 28.12.2016, 10:48:31 »
3.4.8 уязвимая же
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #24 : 28.12.2016, 10:52:20 »
3.4.8 уязвимая же
Я в курсе, как раз обновлял, смутило что она не соответсвует дистрибутиву, но это не взлом.
Особенно странно изменение картинок..
*

master-smeta

  • Давно я тут
  • 275
  • 9
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #25 : 28.12.2016, 10:55:43 »
Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #26 : 28.12.2016, 11:00:32 »
Я так понимаю: справа - дистрибутив, слева - сайт? Если так, то слева дата создания файлов не "создателем", а непосредственно на диске. Хотя, могу и ошибаться.
ИМХО проще контрольные суммы сравнить
Да, верно.
Это сравнение именно по содержимому, а не датам, на даты тут вообще не стоит обращать внимание, так как речь про локальные копии.

Режим вывода - только отличающиеся файлы.

(Стандартная программа сравнения папок по содержимому, встроенная в наутилус, убунту)
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #27 : 29.12.2016, 22:45:36 »
Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #28 : 29.12.2016, 22:49:23 »
Кто-нибудь пытался прояснить ситуацию? Есть вообще хостинги, которые критические патчи сами делают?
Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1
  • Тамиров Александр
Re: Обновился phpmailer. Сам? Взломали?
« Ответ #29 : 30.12.2016, 21:59:43 »
Есть лучше, проактивная защита от ютекса (в подписи), где у меня спокойно неделями\месяцами\годами крутятся сайты с уязвимостями...
"Вечный Тариф" предлагает ИП Артём Юрьевич, это сильно )) Надо брать.
Надо ему ещё идею подсказать, видел такую услугу "цементирование сайта" )).

Ближе к теме: согласитесь, что от проактивной защиты больше проблем, чем пользы.
« Последнее редактирование: 30.12.2016, 22:31:04 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 508
Последний ответ 03.09.2017, 16:24:17
от Sorbon
Взломали?

Автор borro

Ответов: 28
Просмотров: 257
Последний ответ 30.08.2017, 12:59:19
от Missile
Критическая уязвимость в PHPMailer

Автор b2z

Ответов: 17
Просмотров: 2310
Последний ответ 23.02.2017, 19:36:05
от bestshoko
Внедрена форма на сайт - взломали

Автор Anttuer

Ответов: 9
Просмотров: 238
Последний ответ 07.01.2017, 20:36:41
от Anttuer
Взломали ?

Автор Art UA

Ответов: 7
Просмотров: 426
Последний ответ 15.09.2016, 01:59:53
от Art UA