Spam via send_to_a_friend

[holmsoft]

Hallo Zusammen,

 

wir haben ein kleines Problem.

Es wird seit ein paar Wochen Mails über Prestashop..wahrscheinlich durch einen Bot...versendet.

In der Log steht das Modul send_to_a_friend, dieses haben wir aber bereits deaktiviert und gelöscht.

 

Ist es möglich eine Domain (in diesem Fall @qq.com) irgendwie für den Ausgang zu sperren?

 

Vielen Dank und Gruß

 

Holm

[eleazar]

Mir fällt hierzu zweierlei ein:

 

1. Jemand nutzt von außerhalb diese Mailadresse als Absender. Dann könnt ihr gar nichts machen außer euch zu ärgern.

2. Die Mail wird von eurem Server versandt. Dann habt ihr ein Problem, weil die Website gehackt wurde und irgendwo ein Skript eingeschleust wurde, dass hier aktiv wird.

[holmsoft]

Danke für deine Antwort. Das Erste kann es nicht sein, da die Emails ja auch in der Prestashop Email Log stehen.

Mit dem Skript hab ich mir auch schon gedacht. Wo könnte es denn eingepflegt sein, wenn in der der Email Log unter Vorlage "send to a friend" steht?

 

Danke

[BagHira]

Hallo Holm,

 

ich würde als erstes einmal versuchen die IP / Domain per .htaccess zuz sperren.

Vielleicht hilft dir das hier weiter: http://joachimnadolny.de/webseitenzugriff-mit-htaccess-verweigern/

 

Aber eine andere Frage. Wie kann über ein Modul was auf dem Server nicht mehr existent ist Mails versendet werden?

Spielt da vielleicht der Cache eine Rolle?

 

Gruß Holger

[eleazar]

Danke für deine Antwort. Das Erste kann es nicht sein, da die Emails ja auch in der Prestashop Email Log stehen.

Mit dem Skript hab ich mir auch schon gedacht. Wo könnte es denn eingepflegt sein, wenn in der der Email Log unter Vorlage "send to a friend" steht?

 

Danke

Eigentlich überall, wo man es nicht erwartet, z.B. irgendwo im Image-Ordner oder in einem Unterordner des Themes. Oder, falls ihr einen angegliederten Blog mit eigenem Theme habt, auch dort irgendwo. Wir hatten das mal vor einem Jahr: Shop versandte Spam-Mails, wurde aber durch ein - übriges exzellent programmiertes - PHP-Skript in einem Theme-Unterordner des angegliederten Wordpress-Blogs auf demselben Server gesteuert. Ich habe mir bald einen Wolf gesucht, da der Serverbetreiber wegen des hohen Traffics schon den Shop sperren wollte.

 

@BagHira

Wäre vielleicht nicht die allerbeste Idee, die Domain des eigenen Shops via htaccess zu sperren.

Dein Tipp bezieht sich nicht auf sog.Botnetze, die deinen PC zum Zombie machen, sondern auf unerwünschte Analyzer, Webcrawler, Harvester etc., die mit ihren Aktivitäten deine knappen Ressourcen fressen und den Shop ausbremsen. Die verschicken aber keine Mails.

[itsa]

Dieses Problem scheint schon länger zu existieren aber komischerweise meldet sich niemand der das Problem kennt von den erfahrenen Prestashop coder's und es geht auch niemand darauf ein. Es wird immer um anderes herumgeredet. Auch hier wieder... es muss doch irgendeine Lösung geben? qq.com sperren wird dir nichts nützen, als nächstes kommt dann 139.com als Domain.

 

Was hier passiert ist klar, ein Bot nutzt die send-a-friend funktion um leuten, mithilfe des kommentartextes welcher der send-a-friend hinzugefügt werden kann, spam-mails zu schicken. warum ist dieses problem nicht bekannter? Vereinzelte Einträge gibt es auch aus 2013, ist also nicht neu!

[eleazar]

Dieses Problem scheint schon länger zu existieren aber komischerweise meldet sich niemand der das Problem kennt von den erfahrenen Prestashop coder's und es geht auch niemand darauf ein. Es wird immer um anderes herumgeredet.

 

Was hier passiert ist klar, ein Bot nutzt die send-a-friend funktion um leuten, mithilfe des kommentartextes welcher der send-a-friend hinzugefügt werden kann, spam-mails zu schicken. warum ist dieses problem nicht bekannter? Vereinzelte Einträge gibt es auch aus 2013, ist also nicht neu!

Das ist, mit Verlaub, Unsinn!

Qq.com ist der größte kommerzielle E-Mail-Dienst Chinas, vergleichbar mit Gmail oder Hotmail etc.. Probleme mit Fake-Adressen und qq.com gibt es überall bei Webanwendungen, vor allem auch bei WordPress-Seiten. Das hat nichts mit Prestashop zu tun.

 

Die entscheidende Frage ist doch hier nicht die Absender-Maildomain, sondern ob und wenn ja, wie die Mails über den Shop-Server versandt werden und ob die Adressaten vielleicht sogar die eigenen Kunden sind.

 

Wie ist denn im vorliegenden Fall aufgefallen, dass Mails via sendtoafriend versandt wurden?

[itsa]

da gewisse empfänger-emailadressen nicht (mehr) existieren wird eine fehlermeldung zurückgegeben:

 

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed: (...)
 

Da hängt dann die versendete Nachricht mit und ist klar ersichtlich das es via send-a-friend verschickt wurde.

[eleazar]

Nein, das sehe ich nicht so. Damit ist für mich überhaupt nichts klar ersichtlich! Ich glaube, du stellst dir das alles ein bisschen sehr vereinfacht vor. Denn wenn du solche Rücksendungen von anderen Mailservern bekommst, dann wurde entweder deine Shopadresse missbraucht oder dein Shop gehackt - wahrscheinlich beides.

 

Ist der Absender der nicht zustellbaren Mail identisch mit der ShopMail, sind unverzüglich Sicherheitsmaßnahmen zu ergreifen: Änderung der Admin-Zugangsdaten, der FTP-Zugangsdaten, der eigenen Mailadresse etc.

Ist der Absender beliebig und/oder die Mail eindeutig von deinem Server aus verschickt, dann reichen solche Maßnahmen nicht aus und du hast mit deinem Shop ein echtes Problem - ganz egal, ob es sich rein zufällig um einen Prestashop handelt.

Na ja, ganz egal auch nicht, weil es in früheren Versionen schon Sicherheitslücken gab.

[holmsoft]

Also es ist einmal durch die Rückmails mit Info das Email Adresse nicht existiert aufgefallen, dadurch auch meine Vermutung, dass die Mailadresse des Shops einfach durch einen dritten missbraucht wurde.

Jedoch ist dann aufgefallen, dass es unter Erweiterte Einstellungen -> Emails in der LOG auch auftaucht und somit von Prestashop direkt versendet wird.

Nachdem ich das Modul Send-to-a-friend deaktiviert hatte, keine Änderung war, auch eine Deinstallation nicht geholfen hat, 

bin ich nun, wie in einem Tipp siehe oben, auf die Suche gegangen und siehe da...das Modul "Send-to-a-friend" war noch als Ordner da -> GELÖSCHT und Emails werden nicht mehr verschickt 

 

Vielen Dank Eleazar (und den anderen natürlich auch)

[itsa]

sehr gut holmsoft. wir habens gelöst, in dem wir die send-to-a-friend funktion via backend deaktiviert und deinstalliert und danach den ordner via ftp umbenannt haben. seither ist ruhe, aber die funktion ist natürlich nicht mehr im shop verfügbar, was auch schade ist!

[Kleingewerbe]

wollte das modul einbauen.
aber laut anwalt abmahnfähig da eine werbe e-mail ohne einwilligung.
d.h. vielleicht gar nicht so schlecht das ihr es rausgenommen habt.

[Lausli]

Trotzdem solltest du unbedingt deinen ssh port ändern, deinen ssh loginbenutzer ändern !

Ports zu machen, die du nicht brauchst

 

Public key pinning betreiben und einen login per pw verbieten...fail2ban einrichten

 

ggf. Server direkt neu aufsetzen und shop auch. Denn falls dein System infiziert ist, bekommst du das so nicht mehr weg.

Edited June 12, 2016 by Lausli (see edit history)

[eleazar]

Lausli hat recht.

Es wäre gut gewesen, du hättest vor dem Löschen die im Modulverzeichnis vorhandenen Dateien mit dem Original verglichen. Dann könntest du jetzt ggf. wenigstens sicher sein, dass sich das vermutlich eingeschleuste Script im selben Verzeichnis befunden hat und gelöscht wurde.

[Whiley]

Welchen Inhalt hatten denn die mails, wurde das Template des Moduls verwendet?

[Lausli]

Wenn das Problem länger schon besteht und auch wenn es nicht schon länger besteht.

 

Lade dir alles auf den pc. Ftp und dB. Also ein komplettes Backup.

 

Ganz wichtig: log files sichern.

 

Dann mach den verdammten server platt und frage am besten nach einer neuen IP.

 

Dann setzt du den Server neu und sicher auf! Danach lädst du dir prestashop von der offiziellen Seite auf den pc.

 

Anschließend vergleichst du die Dateien von deinem server mit denen von prestashop. Da gibt es Programme für, die unterschiedliche Inhalte und Dateien finden.

 

So kannst du ggf. Rückschlüsse zur Infektion ziehen. Z.b welche Datei und dann in den logs suchen.

 

Danach installierst du prestashop neu und spielst deine Datenbank Sicherung ein.

 

Zur IP:

Oft ist deine IP jetzt im Pool der cyberkriminellen.

Das heißt dein server muss jetzt speziell gesichert werden. Die sind nicht blöde, die wissen jetzt was du machst und was nicht.

 

Außerdem: die wenigsten maleware Scripte senden nur emails...Die greifen auch Daten ab. Du hast also ein immens großes Problem. Falls du infiziert würdest, für mich klingt das so.

[creasolstore]

Altough captch is really needed, I've posted a solution that uses fail2ban to put IP address that try to send many messages in blacklist (iptables firewall).

Click on https://www.prestashop.com/forums/topic/540520-send-to-friend-module-gets-spam/?do=findComment&comment=2399413