Script que envía spam colma el límite de envíos de correos

Hola, este mensaje lo traslado personalmente de otro sub-foro, donde tal vez no estaba bien publicado porque no ha tenido respuestas:

Me he podido dar cuenta de que se están enviando mensajes de forma masiva utiliando mi servidor. Es por eso que alcanzado el límite que el proveedor de hosting autoriza, deja de funcionar el envío de correos en las páginas allí alojadas (todas creadas con joomla).

Le estoy echando cabeza a ver qué pude instalar que contenga un script que genere esto, pero no lo sé. Mis primeras sospechas apuntan al componente A User, pero no estoy segura.

En muchos foros he visto que la gente experimenta repentinamente problemas con el envío de correos y las soluciones son aleatorias y diversas, por lo que sospecho que esto le puede estar pasando a muchos. El sistema de repente deja de enviar correos (no se puede iniciar la función de correo), sin haber movido nada, y por arte de magia y tras romperse uno la cabeza, vuelve a funcionar.

En una de las páginas que tengo alojadas he detectado un usuario registrado sospechoso, que se registró varias veces, no descargó nada, contiene "viagra cialis" en su nombre de e-mail... Lo eliminé pero volvió a aparecer sin haberse vuelto a registrar. Eliminé esa web del aire durante unos días y el problema persistió, la verdad, así que descarté que sea el Auser. Pero ayer la volví a colgar y se ha vuelto a registrar el tal cialis, que por lo que he visto es una marca de viagra. Tengo el sistema con solicitud de confirmación para registro y efectivamente ese e-mail está confirmado.

¿Será una persona o algo automatizado?

¿Por qué siempre se registra?

¿Tendrá algo que ver con el problema de envíos masivos desde mi servidor?

De verdad me colapsa todo, porque cuando se alcanza el límite no funcionan los formularios de contacto, ni los envíos de pedidos en una tienda en línea que tengo montada, ni los correos para activación de usuarios. Y creo que esto le pasa a muchos sin que se den cuenta. Uno a veces piensa que el sistema está fallando, y ya, luego vuelve a funcionar (cuando se cumple la hora, que es el periodo de tiempo por el que limitan los envíos en los servidores).

¿Alguna luz? Muchas gracias.

Tal vez alguno tenga alguna experiencia más directa pero leyendo tu información es muy posible que se hayan hecho con el acceso a tu Joomla. Me refiero que alguien puede acceder a tu Joomla de alguna forma ilícita. Para mí la prueba está en que dices que borras el usuario y por arte de magia vuelve a aparecer.

Saca lógica al asunto: envío de emails... spam... ¿cómo pasa algo así? Simplemente este usuario con el nombre de viagra es el que usa tu server para enviar seguramente spam relacionado a su mismo nombre. Es lo más probable que eso pase.

Yo actualmente no tengo un sitio propio, pero en los sitios de clientes que administro he visto emails sospechosos y directamente procedo a borrarlos, especialmente cuando su terminación es [email protected] (Rusia). Otra cosa que pasaba es que se registraban muchos usuarios con nombres parecidos y nunca lograron confirmar su email. Posiblemente haya algún agujero de seguridad en Joomla que pueden controlar el envío de emails de alguna forma con sólo registrarse.

Sea como sea lo que deberías de hacer es borrarlo nuevamente y cambiar contraseñas para ver que sucede. Cambia los datos de acceso a tu Joomla a ver qué pasa.

Ahora que lo recuerdo una de las primeras webs que hice fue hackeada. Sí, al abrir el sitio noté que tardaba demasiado en cargar. Luego en ese entonces con mi poca experiencia procedí a ver el código fuente del index.php y noté que había una decena de línea de código extra que hablaba cosas relacionadas a la viagra. Era spam de código oculto en el sitio web que menos mal que lo descubrí. Seguidamente lo borré y cambié usuarios de acceso. Periódicamente estaba revisando el index.php del sitio y otros archivos más para ver si había algo extraño pero parece que no sucedió.

Bueno, espero nos comentes lo que vaya sucediendo a ver qué podemos aprender de esto.

Saludos!!!

Gracias, Larenz. He cambiado claves. El usuario ha vuelto a registrarse pero claro, me di cuenta de que configuré la activación de cuenta del sistema de registro joomla pero estaba trabajando con el auser. Así que configuré el auser con confirmación de email y parece que ya está quieto ese usuario. Revisé el index.php y no encontré nada extraño. Aún así, ocasionalmente se me sigue colapsando el sistema de envíos. Revisaré con calma bien todo, tarea de chinos porque tengo varias webs allí alojadas. Seguiré peleando con esto y ante cualquier novedad vuelvo por aquí y la comento.

Gracias.

¿El AUser es un componente? Deberías desinstalarlo o desactivarlo y eliminar nuevamente al usuario, de paso podrás ver sí es realmente ese componente el que te causa que tu sistema de envíos de mensajes colapse.

Por otro lado creo que existen componentes extras para registrar las IP de ciertos usuarios o de países. Checa a ver si puedes capturar la IP de este usuario y bloquearla para evitar a ese susodicho. De ser posible intenta incluso bloquear IP por rango y/o país. Por ejemplo estoy casi seguro que no te interesa que rusos visiten tu sitio web, y sería bueno bloquear cualquier acceso proveniente de ese país ya que estos son usuarios maliciosos que solo viven buscando sitios Joomla y ver vulnerabilidades para poder tumbar el sitio o meter código malicioso para hacer spam u otras actividades ilícitas como tomar recursos de tu server.

Espero que puedas resolver tu problema y seguimos la plática a ver qué sucede.

Gracias, Larenz.

Probé a desmontar la web del servidor, bueno, dos webs en las que uso el componente AUser, que sí, es un componente para registro de usuarios, pero eso no solucionó el problema, por lo que descarté que sea el AUser. El usuario no se ha vuelto a registrar desde que efectivamente exijo confirmación de cuenta. Solucionado esto y descartado el auser, pienso que el registro de el tal cialis fue sólo una coincidencia y el problema está en algún otro lugar.

El caso es que me estoy pasando las noches en vela desmontando webs del servidor a ver en qué momento se soluciona el problema para acotar la búsqueda del dichoso código que está enviando emails desde el servidor, que ya me han escrito de hostmonster diciendo que hago spam. El caso, y el punto al que voy, es que no encuentro nada raro, ningún archivo extraño y he buscado mucho. Pero he visto que en el módulo login de joomla se me coló la ruta a servidor local:

<form action="../../../../../../../Joomla-1.5.3-spanish/modules/mod_login/tmpl/index.php" method="post" name="login" id="form-login">

en vez de <form action="index.php" method="post" name="login" id="form-login">

Pregunta: ¿es posible que por ahí se me cuelen de alguna manera? es decir, que por medio de algún programa en el equipo del spamer se meta a mi servidor por medio de esa ruta, sin necesidad de que exista un archivo dentro de mi hosting?

Un saludo.

-> ¿Ese cambio lo hicistes tú cuando trabajabas en local?
-> ¿Cuando trabajabas en local el nombre de la carpeta de Joomla era ese Joomla-1.5.3-spanish?

Bueno, creo la verdad que alguien te hackeo alguno de tus sitios. Es bastante predecible por el cambio hecho en ese módulo. O sea no te veo configurando eso de la siguiente manera:

<form action="../../../../../../>

Lo más seguro es que alguien más lo haya hecho por ti, posiblemente para evitar el action. Posiblemente al estar la ruta de esa manera permitía un mal funcionamiento del registro. Tendría que hacer mis pruebas en local a ver qué pasa.

Igual espero que logres dar con el detalle ya que será tan importante para todos conocerlo.

Hola. Gracias, Larenz, por tu permanente atención. He tardado en volver a este tema esperando a encontrar soluciones. El caso es que esa ruta de la que hablamos sí la puse yo, no me preguntes por qué pero en algún momento creo recordar que el inicio de sesión no funcionaba correctamente e hice de todo para intentar resolverlo, entre otras cosas alguna tontería como esa, y así se quedó. El caso es que corrigiendo eso igualmente el problema persistía.

Revisé archivos durante noches y no encontré nada extraño. Así que ya harta corté por lo sano y por una noche eliminé todas las webs alojadas en mi servidor del aire. Obviamente dejaron de llegar rebotes de correos a la carpeta mail - new de mi cpanel, que constantemente se llenaba de emails rebotados. Poco a poco fui restaurando webs, una a una en intervalos de 4 horas, pendiente de si se generaban de nuevo rebotes para sabe en qué webs estaba el problema. Además a cada una le instalé un archivo adicional que ni siquiera recuerdo cómo encontré oculto en una de mis páginas, como por obra y gracia del espíritu santo, y cuyo código pego al final del mensaje. Ya he restaurado todas mis webs (excepto una que es un clon de otra por lo tanto si su clon no falló sé que ella tampoco), y todo funciona a la perfección, en ningún momento ha vuelto a enviarse spam. Parece que ese archivo que he instalado de alguna manera bloqueara la entrada del spamer que sospecho no metió código en ninguna de mis páginas sino que de alguna manera se aprovechaba de mis recursos de forma remota. Digo sospecho, porque no controlo php y no sé bien qué hace ese archivo, sólo conjeturo.

En resumen, esto es lo que hice y todo está funcionando OK. ya no se envía spam desde mi servidor: actualizar las páginas a joomla 1.5.15 e instalar el archivo .htaccess (ojo, .htaccess a secas, sin .txt, no se si eso influye pero así lo tengo) cuyo código pego abajo. Espero le ahorre noches en vela a quien experimente el mismo problema, que yo he pasado una semana sin dormir y no se lo deseo a nadie.


##
# @version $Id: htaccess.txt 9975 2008-01-30 17:02:11Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##


################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
# For security reasons, Option followsymlinks cannot be overridden.
#Options +FollowSymLinks
Options +SymLinksIfOwnerMatch

#
# mod_rewrite in use

RewriteEngine On


# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

# RewriteBase /


########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section


########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

¿Cuál era el código del archivo adicional qué encontrastes en tus webs? Me gustaría saber y ver su código. Sólo pusistes el código del archivo .htaccess que ya viene con Joomla pero renombrado a htaccess.txt

Saludos.

Hola.

Ese que pego es el código del archivo que instalé: ahora mismo tengo en cada web el htaccess.txt y ese .htaccess que encontré adicional en una de las webs entrando al cpanel señalando la opción de ver archivos ocultos. No lo he detallado, ¿son el mismo código con distinto nombre?. En ese caso tengo ese archivo duplicado en cada web...

El caso es que es la única diferencia entre cómo tenía las webs la semana pasada y ahora, y como digo, tras restaurarlas pero metiendo ese archivo adicional (por lo que dices, duplicado), todo funciona a la perfección. No he probado a eliminarlo... me da miedo.

Ojalá pudiera adjuntarlo por aquí. Pero bueno, el código es el que pegué en el mensaje anterior. Sospecho que eso bloquea el spam. O eso o un milagro, porque no hay más diferencias. Cada vez entiendo menos.

Un saludo.