website stuurt spam via class-phpmailer.php

Status
Niet open voor verdere reacties.
Op portfolio.....nl staat geen contactformulier, dus recaptcha is niet aan de orde
Klik om te vergroten...
De ellende kan via élk formulier binnenkomen.
Zelf heb ik het gevoel dat er ergens al die tijd een bestand op je domein staat (van- of niet van WP) die phpMailer gebruikt en/of infecteert.

Check even of je alle php bestanden van phpMailer op 444 hebt gezet (doe dit direct nadat je de schone bestanden (een stuk of 5 geloof ik) hebt geupload)
 
Ha, ik heb de website van het atelier van sinterklaas laten scannen via quttera mailware scanner.

Dit is wat eruit kwam:
Code: 
Severity: 	enSuspiciousThreatType
File: 	wp-includes/class-smtp.php
File signature: 	96fe7272c3acdd6e6e43bac1333cbd7b
Threat signature: 	96fe7272c3acdd6e6e43bac1333cbd7b
Threat name: 	Heur.CoreFile.gen
Threat: 	Modified core file..
Details: 	Detected modified core file

Severity: 	enMaliciousThreatType
File: 	wp-content/plugins/woocommerce-pdf-invoices-p/.../index.php
File signature: 	2a997265330410f8b508fe71d402a144
Threat signature: 	2a997265330410f8b508fe71d402a144
Threat name: 	Trojan.PHP.Redir.gen.30
Threat: 	<?php header("Lo
Details: 	Detected malicious PHP redirection

Dus de class-smtp.php en
In woocommerec nog wel!!
Toch is deze laatste plugin up to date.
Ik zal hem verwijderen maar is het verstandig om deze er opnieuw op te zetten? Sinterklaas wil deze wel ivm de facturatie.

En wat te doen met die smpt?
De versie die er nu opstaat opnieuw downloaden en over schrijven met de oude?
Dat lijkt mij wel toch?
Edit: dit net gedaan en zal ze op 444 zetten.
 
Laatst bewerkt:
En de vraag is: Hoe komt het erop?
En kan je ook een last uplaod datum zien? Mijn advies is toch om in de log's te kijken, anders is het dweilen met de kraan open en heb je straks weer die ellende.
Ikzelf twijfel aan een zero-day lek, die de maker snel moet patchen.
 
Laatst bewerkt:
contactformulier werkt nog niet, de recaptcha stond er niet meer op (rara, sinterklaas). Die erop gezet maar omdat de class-smpt.php nog steeds als rotzooi word gezien gaat het niet lukken.

Eerst die smpt file maar eens vernieuwen. Hoe?
Ik heb dezelfde versie gedownload van git en de file class-smpt.php gekopieerd en geplakt.

Weer een scan maar weer de melding dat deze is geïnfecteerd. :evil:
 
Eerst die smpt file maar eens vernieuwen. Hoe?
Klik om te vergroten...
Alle phpMailer files verwijderen en opnieuw uploaden.
Het beste is natuurlijk de laatste phpMailer versie maar dan kan het zijn dat de mailer niet werkt omdat bij versie 6 er wat is veranderd.
In \wp-includes\ deze opnieuw uploaden:

class-phpmailer.php
class-pop3.php
class-smtp.php

Aanv. Als je de nieuwste phpMailer versie wil proberen dan is dit het download linkje van de ZIP waarin alle bestanden zitten.
https://github.com/PHPMailer/PHPMailer/archive/master.zip

Ik zie net dat in de meest recente WP (NL) een phpMailer 5.2.27 is meegeleverd, het is niet anders...
 
Laatst bewerkt:
Ik zie net dat in de meest recente WP (NL) een phpMailer 5.2.27 is meegeleverd, het is niet anders...
Klik om te vergroten...
Dat klopt.
Als WP weer een update krijgt hoop ik dat ik een vernieuwde versie van phpmailer krijg.

De nieuwste is versie 6 nog wat en die heeft geen class meer.

Ik zal vandaag de 3 files opnieuw installeren. Hopelijk hebben we daarmee de boel eindelijk voor elkaar.

En ja de vraag:
Hoe komt het erop?
Klik om te vergroten...
Omdat Sinterklaas zijn eigen websites zelf wilde onderhouden maar ik op de achtergrond soms eens keek of hij dat werkelijk wel deed, zag ik vaak dat de site niet op tijd werd geupdate. Omdat ik de inlog heb deed ik dat dan maar met een waarschuwing naar Sinterklaas dat hij hier eht op moet letten.

Ware het niet dat het hele jaar 2019 goed is gegaan maar de ellende begon ergens begin november (eind oktober) al en hoe dan?
Geen idee!
 
In zo'n geval zou ik liever iemand de site laten bewaken, zodat de eigenaar er geen omkijken naar heeft. Uiteraard blijf ik aandringen toch de logs te inspecteren, en het lek te dichten, voordat de ellende weer terugkomt.
 
Alle drie vernieuwd, eerst verwijderd daarna opnieuw uploaden. Ik heb de zip file van github.
En zie daar:

Severity: enSuspiciousThreatType
File: wp-includes/class-smtp.php
File signature: d3f75421beaf2f60713f6b0f07debc89
Threat signature: d3f75421beaf2f60713f6b0f07debc89
Threat name: Heur.CoreFile.gen
Threat: Modified core file..
Details: Detected modified core file

Severity: enSuspiciousThreatType
File: wp-includes/class-pop3.php
File signature: d79a1c4e54dd993d7c213f036ee37106
Threat signature: d79a1c4e54dd993d7c213f036ee37106
Threat name: Heur.CoreFile.gen
Threat: Modified core file..
Details: Detected modified core file

Severity: enSuspiciousThreatType
File: wp-includes/class-phpmailer.php
File signature: 4f1e30eb00a82dc8a4da6d6109964c69
Threat signature: 4f1e30eb00a82dc8a4da6d6109964c69
Threat name: Heur.CoreFile.gen
Threat: Modified core file..
Details: Detected modified core file
Klik om te vergroten...

Toch gek?????
Ik heb ze verwijderd nu alle drie, dus nu weet ik het helemaal niet meer.

Staat er verder nog iets in de DA wat ik moet verwijderen met die phpmailer? Of zijn het alleen deze 3.

Overigens, als ik doe bekijk file, dan zie ik dit staan:
Failed to locate required file
Klik om te vergroten...
 
Laatst bewerkt:
" Details: Detected modified core file "

Blijkbaar heb je een andere phpMailer-file dan WordPress zelf aanbiedt. En zal de scanner aanslaan op het feit dat dit niet bij de core hoort, en mogelijk aangepast is.
False-positive dus. Maar ik heb het idee dat je beter gewoon de originele WordPress core moet gebruiken.
 
95.96.98.254 - - [06/Dec/2019:03:56:07 +0100] "POST /wp-admin/admin-ajax.php HTTP/2.0" 200 566 "https://hetateliervansinterklaas.nl/wp-admin/edit.php?post_type=product" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Edge/18.18362"
2a0b:7280:300:0:1c00:9aff:fe00:231e - - [06/Dec/2019:03:58:09 +0100] "POST /wp-cron.php?doing_wp_cron=1575601089.1602499485015869140625 HTTP/1.1" 200 3898 "https://hetateliervansinterklaas.nl/wp-cron.php?doing_wp_cron=1575601089.1602499485015869140625" "WordPress/5.3; https://hetateliervansinterklaas.nl"
Klik om te vergroten...

in de logs zie ik elke keer dit ip adres terugkomen 95.96.98.254
maar ook een turkse 185.86.164.99 dus deze blokkeren. Alsof dat zou helpen.

ook googlebots 66.249.64.94

Wat de files aangaat, ik zal WP downloaden (de versie die ik heb) en daarna de class-phpmailer daar uit halen en uploaden. En dan weer scannen. Heb ze nu wel verwijderd.
 
Dat lijkt mij het beste voordat de scanner er weer over struikelt. :)
De core van WordPress moet je gewoon intact laten :)
 
Bij een gehackte website ga je er altijd vanuit dat de hacker in alle mappen geweest kan zijn om de trojan (heur) te plaatsen.
1. De trojan kan dus in elke map op je domein geplaatst zijn en de emails via phpMailer versturen.
2. Een andere manier is dat de trojan de phpMailer bestanden aanpast zodat het trojan bestand zelf niet ontdekt wordt en jij telkens denkt dat phpMailer het probleem is.

Ik zou de 3 phpMailer bestanden uit de juiste WP zip halen (niet van github) en die uploaden dan weet je zeker dat de signature goed is.

Achteraf was het misschien toch sneller geweest om de DB te backuppen, een schone installatie te doen nadat je alle mappen/bestanden had verwijderd, en de DB terug te zetten.
 
Achteraf was het misschien toch sneller geweest om de DB te backuppen, een schone installatie te doen nadat je alle mappen/bestanden had verwijderd, en de DB terug te zetten.
Klik om te vergroten...
Eh nee, want het is sinterklaastijd en de websites (het werk wat er vanaf komt) leveren een hoop geld op. Hij begint in de lente al met naaiwerk in het atelier, zodat er al pakken zijn die verkocht kunnen worden. Verder is het maatwerk.
Ik mocht dus verder (nog) niet veel doen.

Ik ga wel met sinterklaas praten want ik wil dit volgend jaar niet weer. Dus hij moet zelf goed blijven opletten en alles updaten (dus elke week kijken of er updates zijn, volgens mij krijgt hij daar zelfs mail van) of hij moet willen dat ik de websites ga bijhouden maar dat is niet voor niets.

Toch nog even:
ik heb op alle websites iThemes Security staan, alles zit potdicht. In die logs zie ik dat men probeert in te loggen met admin en zo, je kent dat wel. Dat staat in de instellingen allemaal goed ingesteld.

Overigens staat op dezelfde server nog een website, de behangservice en die was ook infected. De portfolio website die daar aan hangt was al tijden niet ge update. Wellicht via daar naar de websites van Sinterklaas. Kan dat?

ps. is het handig om de wp-includes of wp-admin helemaal via ftp te overschrijven?

en dit kan ik ook doen:
Ook al is het wachtwoord van een beheerdersaccount aangepast (heb alle ww's al een paar keer aangepast), een lopende sessie kan ervoor zorgen dat de hacker nog steeds toegang heeft tot de beheeromgeving. Hiervoor wordt gebruik gemaakt van sessiecookies. Om deze sessie af te breken moeten nieuwe geheime sleutels worden ingesteld.

De huidige sleutels staan in het ‘wp-config.php’-bestand en kunnen worden herkent door de grote hoeveelheid willekeurige karakters, met daarvoor AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT en NONCE_SALT. Klik op deze link om een nieuwe set geheime sleutels te genereren en vervang die met de sleutels in het ‘wp-config.php’-bestand. Lopende sessies worden na het opslaan van dit bestand ongeldig, waarmee de hacker definitief wordt buitengesloten.
 
Laatst bewerkt:
Wellicht via daar naar de websites van Sinterklaas. Kan dat?
Klik om te vergroten...
Vrij klein scriptje waarin staat: doorloop recursief alle directories totdat je phpmailer tegenkomt, et voila, mailen maar.

ps. is het handig om de wp-includes of wp-admin helemaal via ftp te overschrijven?
Klik om te vergroten...
Dan weet je zeker dat je de juiste (originele) bestanden in je wordpress website hebt.
Controleer 2x dat je de juiste WP versie upload en zorg dat je direct terug kan naar een backup.

Ook al is het wachtwoord van een beheerdersaccount aangepast (heb alle ww's al een paar keer aangepast), een lopende sessie kan ervoor zorgen dat de hacker nog steeds toegang heeft
Klik om te vergroten...
Het lkijkt mij voldoende dat je in het control panel van de provider 1 minuut lang de website offline zet, dan zijn er geen openstaande sessies meer. Daarna zet je de website weer online.
 
Het lkijkt mij voldoende dat je in het control panel van de provider 1 minuut lang de website offline zet, dan zijn er geen openstaande sessies meer. Daarna zet je de website weer online.
Klik om te vergroten...
dat is dus de website op suspend zetten en na een minuut of 2 weer op unsuspend.
Oké, vandaar dat hostings dat ook doen? Alleen die laten hem offline totdat je er wat aan doet.....

Vooralsnog geen meldingen gehad, maar dat kan ook niet, alle class-phpmailer.php en die andere files heb ik verwijderd.
Het gekke vind ik wel dat in de DA bij email logs nog steeds die directory staat met class-phpmailer.php terwijl het dus niet meer bestaat.

ik zal straks een screenshot maken.

ps. oh, nog 1 vraag, op sommige websites zie ik de private_html op 777 staan, terwijl andere van mij op 755 staan. Hoe zit dat? Public staat op 755
 

Bijlagen

  • steun2.jpg
    steun2.jpg
    64,2 KB · Weergaven: 51
  • steun3.jpg
    steun3.jpg
    38,8 KB · Weergaven: 44
Laatst bewerkt:
Laatst bewerkt:
In het algemeen: mappen 755 en bestanden 644.
Zet iets alleen op 777 als dit nadrukkelijk is aangegeven.

Voor security:
Zet in ieder geval de bestanden (niet de mappen) in de webroot en wp-admin op 444.
Je kan nog veel meer bestanden op 444 zetten, google even welke dat zijn.
 
Die private_html heb ik nooit op 777 gezet. Het valt me op dat mijn eigen accounts ook op 777 staan wat de private betreft. Toch gek. Maat bij een andere hosting staat het wel op 755.

Verder heb ik wp config en de htaccess al op 444, iThemse security geeft je aan hoe het moet staan voor de veiligheid.

Als ik het goed begrijp kan de map wp-admin ook op 444?
 
Zet public-/private_html nooit op 777.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan