PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
l

script verstuurd spam

Door leon leon op 28-08-2019 11:18
3.796 views
goedendag allen
ik zou graag hulp willen met een script van een site die ik onderhou
er is een script en die verstuurd spam op de server krijg ik deze info
vanuit dit script word de spam verstuurd

public_html/assets/classes/swiftmailer/classes/Swift/Transport/SimpleMailInvoker.php:46

de ene dag word er 5 mailtjes vestuurd maar de andere dag wel 500
.
ik wil dit graag oplossen voor de klant maar zit met de handen in mijn haren
dus daarom vraag ik jullie hulp even.

kan ik iets aanpassen dat het stopt.

volgens de de info wat ik krijg word het vanuit regel 46 verstuurd ik heb een pijl erbij gezet --->

dit is een kopie van het script.

alvast bedankt


<?php

/*
Invokes the mail() function in Swift Mailer.

This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation, either version 3 of the License, or
(at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program. If not, see <http://www.gnu.org/licenses/>;.

*/

/**
* This is the implementation class for {@link Swift_Transport_MailInvoker}.
*
* @package Swift
* @subpackage Transport
* @author Chris Corbyn
*/
class Swift_Transport_SimpleMailInvoker implements Swift_Transport_MailInvoker
{
/**
* Send mail via the mail() function.
*
* This method takes the same arguments as PHP mail().
*
* @param string $to
* @param string $subject
* @param string $body
* @param string $headers
* @param string $extraParams
*
* @return boolean
*/
---> public function mail($to, $subject, $body, $headers = null, $extraParams = null)
{
if (!ini_get('safe_mode')) {
return @mail($to, $subject, $body, $headers, $extraParams);
} else {
return @mail($to, $subject, $body, $headers);
}
}
}
Ivo P
28-08-2019 16:49
- Ariën - op 28/08/2019 16:46:57

Dat lijkt mij sterk! Of ze worden gewoon niet via het contactformulier gestuurd, maar via een andere lekke server waar het internet helaas uit bestaat. Check anders eens de headers van de mail om te kijken of de mail vanaf jouw webserver komt.
Mailadressen zijn overigens eenvoudig te faken, dus dat is geen sluitend bewijs.


dan nog wordt Apache aangesproken, en zou het gelogd moeten worden.
Of Apache logt helemaal niets...

Nog erger zou het zijn, als ze via de command line toegang hebben, maar dan is spam nog maar het minste probleem
l leon leon
28-08-2019 16:53
er staat echt geen contact formulier op de site alles contact verloopt rechtstreeks via mail .

[size=xsmall]Toevoeging op 28/08/2019 16:55:28:[/size]

als het mag volgens de regels kan ik hier de site wel even posten dan kunnen jullie even meekijken
Ivo P
28-08-2019 17:00
Leon leon op 28/08/2019 16:53:40

er staat echt geen contact formulier op de site alles contact verloopt rechtstreeks via mail .



Maar er is wel een onderdeel op de site dat mailt? (of het nu een contactformulier is, of een bestelformulier of ander script.)
Thomas van den Heuvel
28-08-2019 17:00
Even voor de beeldvorming: een class doet van zichzelf niets. Van een class moet een object geïnstantieerd worden, en dit object gebruik je vervolgens om dingen te doen. Ergens is er dus code of een proces aanwezig of wordt er iets uitgebuit om mail mee te verzenden waarbij die class gebruikt wordt, maar het is niet de class zelf die dit proces in gang zet, deze voert enkel uit wat hem is opgedragen.

Zou toch je webserver eens inspecteren op malafide code dan.

Ook lijkt het mij nog te vroeg om 100% ergens van overtuigd te zijn ("er staat geen contactformulier op de site") zolang je nog geen oorzaak hebt gevonden... Feit blijft dat er spam verstuurd wordt.

Misschien heeft iemand toch toegang tot jouw site zodat deze code kan plaatsen en mogelijk ook weer na afloop kan verwijderen. Wat voor site betreft het uberhaupt? Wat voor pakketten staan hier op? Welke libraries gebruik je? Wie heeft FTP-/SSH-/controlepaneeltoegang et cetera?
- Ariën -
28-08-2019 17:00 gewijzigd op 28-08-2019 17:01
Ga eerst maar eens na of de mail ook daadwerkelijk via je server wordt gemaild.
Want waarom heb je dat vermoeden? Heb je de mailheaders al gecheckt van zo'n spam-mail?
l leon leon
28-08-2019 17:02
ja dat klopt inderdaad swift mailer daar komen alle mailtjes vandaan.

public_html/assets/classes/swiftmailer/classes/Swift/Transport/SimpleMailInvoker.php:46
- Ariën -
28-08-2019 17:07
Dat staat dus in de mailheaders? Maar dat is nog geen sluitend bewijs dat het vanaf jouw server komt.
Is dat pad wel kloppend? En klopt het Received: from ****** met jouw server?
In dat geval komt het wel bij jouw server vandaan.
s sylvester vader
28-08-2019 17:07
ok uhm ik heb ff opgezocht en er is inderdaad een lek in swift
welke versie gebruik jij ?

wat arien zegt kan het inderdaad zijn dat het niet via jouw wordt gedaan maar gewoon een fake
dit kan je onderandere tegenhouden door een reverse dns bij je dns erin te zetten
en bv DKIM en DMARC goed te zetten hiermee zijn over het algemeen fakes niet meer mogelijk

volgens internet moet er ergens een form zijn zonder re-captcha waar dit waarschijnlijk mee wordt verzonden
dit probleem komt bv ook veel voor bij Prestashop gebruikers
Thomas van den Heuvel
28-08-2019 17:08 gewijzigd op 28-08-2019 17:10
Leon leon op 28/08/2019 17:02:32
public_html/assets/classes/swiftmailer/classes/Swift/Transport/SimpleMailInvoker.php:46

Dat zeg ik dus, simpelweg die URL aanroepen resulteert niet in het verzenden van mail, dit is enkel de "getuige" dat <een of ander proces of stuk code> deze class gebruikt voor het verzenden hiervan.

Dus tenzij die library gaar is, of inhoudelijk is aangepast, zou die "van zichzelf" niets moeten doen. Je moet op zoek naar dat <een of ander proces of stuk code>.

Je hebt als het ware het vuurwapen gevonden, maar je moet op zoek naar de schutter.

(heb mijn geld nog steeds staan op een of ander gaar contactformulier waar header injection mogelijk is die wss niet via swiftmailer wordt afgevangen ofzo, en als daar sprake van is dan zou ik swift niet meer gebruiken omdat een maillibrary de tools zou moeten hebben om dit soort fratsen te voorkomen)
l leon leon
28-08-2019 17:09
iedereen die ktools photostore website heeft ,
heeft last van dit probleem google maar is die map (script) wat hierboven staat met photostore.
en er is nog geen oplossing vandaar dat ik het hier maar is ga vragen.

ik kan heel veel zelf oplossen maar dit gaat me echt boven me pet

Reageren

Inloggen om te reageren