Esto es terrible!!! por favor alguien q me ayude.

Hola
Me esta pasando alto terrible y no se como detenerlo.

La cosa es asi:
Hace mas de 1 año, desarrollamos un portal en PHP+MySQL para un cliente.
Todo funciono muy bien.
Hace 3 dias el cliente me llama diciendome que le estan llegando como 700 mails de spam por dia, a una casilla de mail del portal en cuestion.

En resumen, entre idas y vueltas, y mas de 5000 spams, hablé con el proveedor de hosting que tiene alojado este portal, y me dice que los mails de spam están siendo enviados por el mismo sitio web, aprovechando vulnerabilidad de algun INCLUDE de la pagina principal del portal.
Estoy desesperado, porke ya no entiendo cual es la vulnerabilidad o que es lo que esta mal hecho.
Como consecuencia, y para evitar mas envios de mails, el proveedor de hosting suspendio del Dominio en cuestion.

Alguien sabe que puede serrrrrrrrrrrr!!!!????
Aca les dejo parte del codigo donde estan los INCLUDE para ver si me pueden ayudar:

require_once("adm/config.inc.php");
require_once("cnx/cnx.inc.php");
include("phpmailer/class.phpmailer.php");
require_once("templates/template.class.php");
include_once("head.php")
include_once("body.php")
include_once("footer.php")

adm/config.inc.php ////// Es el archivo con los mail de los administradores y seteos generales del portal

cnx/cnx.inc.php ////// son los datos de conexion a la base de datos

class.phpmailer.php /////// Son los datos del phpmailer, el que hace los envios de mail del portal

templates/template.class.php ///// templates

head.php ///// parte de arriba de la pagina
body.php ///// cuerpo de la pagina
footer.php ///// parte de abajo de la pagina

Me parece que puede ser que alguien este usando algun Exploit que usa alguna vulnerabilidad de programacion.

Alguien podria decirme si estan bien aplicados los include o si es mas seguro hacerlo de otra manera.

Ayudenme por favor, estoy como loco!!!!!

Dentro de tu portal ¿cualquiera puede mandar correos?

Saludillos.

nono, el unico que manda correos, es el propio sistema del portal.

Es un portal de vinos donde la gente puede votar el vino que le gusta, cuando vota, el sistema automaticamente le envia un correo al administrador.

Los usuario no pueden enviar mails, salvo por medio de un formulario de visitas normal de PHP.(formail)
Pero esto ya lo probe y anda bien.

1)¿Ya verficaste que le permisos de la carpeta en donde esta phpmailer no tenga permisos 777?

2)No me queda del todo claro si los usuarios pueden mandar o no mails, de serlo por ahi puede estar la vulnarabilidad.

Saludillos

Si todos los mails son enviados desde el mismo server, ¿Porque no hablas con tu proveedor de hosting y le pides que bloquee cualquier conexion o mail de que provengan de esa ruta???

Saludos

Hola
La carpeta phpmailer tiene permiso 755 , siempre lo tuvo asi.
Esta mal?

Aclaracion: Los usuarios no pueden enviar mails.

Lo explico bien.
Es un portal de vinos donde la gente puede votar y comentar vinos que ya estan cargados en el sistema. Una vez q los vota, el sistema del portal enviar solo un mail al administrador para avisarle que hubo un voto de algun usuario.

al parecer, el proveedor del hosting me dijo que los mails los esta enviando el propio portal desde el index.php. Como que el portal envia automaticamente mail por medio del phpmailer, por eso no tiene que autenticar con contraseña como si enviara por SMTP.

Pero esto mails tienen contenido spam, o sea, alguien esta haciendo que el portal envie los mails. Mi proveedor me aclaro que lo hacen por medio de los INCLUDE (o alguno de los php que incluye) del index.php.

MAs informacion que esta no tengo.
PEro lo que es seguro es que los mails los enviar por medio del portal con contenido spam en ingles.
No pueden blokear los mails que enviar, porke tambien blokearian los mails que manda automatico el portal, como arriba explique.

Estas cosas generalmente pasa con los formularios aprovechandose de alguna vulnerabilidad.
Ahora te dicen que el problema viene del index.php ,lo unico que se me ocurre que algun archivo que haces include este corrupto.(te lo hayan modificado) para enviar e-mails.Pero esto seria muy raro y dificil.

Saludos.

te propongo algo... si el mail solo se manda cuando un usuario vota, porque no haces lo siguiente: PON UN CAPTCHA en el formulario de votacion, asi, si es un server de spam, no podra pasar el captcha para ejecutar el phpmailer y por lo tanto, no tendras mas problemas...

No se que opinaran los demas...

Saludos

Hola
No se que es CAPTCHA, ni como se usa.
Si me dan una mano...

Igualmente creo que el problema no viene desde el formulario de votacion, sino de un include del mismo INDEX.PHP segun me dijo el proveedor de hosting.

CAPTCHA

No haz visto en esos formularios como los de hotmail que cuando te registras, que te ponen una imagen con numeros y letras, las cuales tienes que escribir en un campo, y si lo que escribes no coincide con la imagen, no se procesa el formulario, eso es un captcha...

Ahi te puse el link, lee un poco mas sobre captcha, e incluso preguntale a tu proveedor de hosting.

Saludos

Pues seguramente alguien debe estar aprovechando algún bug del phpmailer... actualízalo si es que no lo tienes actualizado y prueba a cambiar el nombre del archivo de la clase phpmailer por cualquier otro...

Si el portal que desarrollaste está basado en algun paquete CMS o Portal como PHPNuke o Joomla o Mambo Server... te aconsejo que actualizes. Normalmente estas vulnerabilidades quedan expuestas y se pueden aprovechar fácilmente sobre todo cuando no se cambia el nombre de los ficheros.

Por ejemplo si tienes la version x del CMS PHPCmsInventado 3.1 y se descubre una vulnerabilidad haciendo CMSInventadoAdmin.php?envio=admin&param=<script...
Es muy facil hacer un rastreador de este tipo de fichero y que luego ataque al sistema. Así que lo más recomendable es actualizar.

Esto tmb te puede ayudar
http://www.leonelquinteros.com.ar/mo...php?id_post=36