Spam mails worden verstuurd via phpmailer function wordpress

  • Goedemorgen,


    op onze server met DirectAdmin draaien heel veel wordpress websites, echter merken we dat op sites de phpmailer function in ( wp-includes/ ) misbruikt wordt.

    Is dit ergens uit te schakelen maar wel dat je nog via contact formulier of iets dergelijks kan mailen? het lijkt erop dat de function nu rechtstreeks aangeroepen wordt door iets.

  • Goedemorgen,


    op onze server met DirectAdmin draaien heel veel wordpress websites, echter merken we dat op sites de phpmailer function in ( wp-includes/ ) misbruikt wordt.

    Is dit ergens uit te schakelen maar wel dat je nog via contact formulier of iets dergelijks kan mailen? het lijkt erop dat de function nu rechtstreeks aangeroepen wordt door iets.

    Ga eerst eens in de logs zoeken op welke manier die aangeroepen worden. Enkel het aanroepen zou nooit mogen voor het versturen van spam. Er moet naar mijn idee een exploit zijn die daarvoor zorgt. Vaak is dit een add-on of een theme.


    Zoek daar de oorzaak, en niet direct bij PHPmailer zelf.


  • Log Exim DirectAdmin:

    Code
    2023-06-14 11:19:28 cwd=/home/heritosite/domains/herito.nl/public_html 5 args: /usr/sbin/sendmail -t -i -f (e-mail alleen zichtbaar voor moderators en personeel)
    2023-06-14 11:19:28 1q9Mf2-004v01-0a <= (e-mail alleen zichtbaar voor moderators en personeel) U=heritosite P=local S=964 id=(e-mail alleen zichtbaar voor moderators en personeel) T=”Herito Telecom & IT \”[your-subject]\”” from (e-mail alleen zichtbaar voor moderators en personeel) for (e-mail alleen zichtbaar voor moderators en personeel) 2023-06-14 11:19:28 1q9Mf2-004v01-0a => blackhole (non-SMTP ACL discarded recipients): User account (heritosite) has sent too many emails. Script delivery blocked.
    2023-06-14 11:19:28 1q9Mf2-004v01-0a Completed

    Zelfs als ik heel de map PHPMAILER weggooi wordt het verstuurd via sendmail / mail() function... alles is up 2 date, zelfs al een fresh WP erop gezet

  • PHPMailer zit standaard in Wordpress, alles is nieuw gedownload, allemaal pro plugins met licenties + updates.


    Sendmail wordt gebruikt standaard door alle users die smtp mail gebruiken op de server, vreemde echter is dat heritosite ( gewoon een user ) geen SMTP gebruikt maar office 365, deze DNS records en de optie in directadmin voor use local mail server uit staat

  • probeer toch eens: (zoeken op subject)

    Code
    grep -rnw '/home/heritosite/' -e 'Herito Telecom & IT'

    Dat vreemde kan misschien verklaard worden als die owner indd. geen SMTP heeft ingeschakeld op de webserver maar misschien wel een externe mail server benut? Resolved web10.herito.nl naar jouw server?

    • Belangrijk bericht

    Kun je in directadmin niet instellen dat die site 0 mails (of 1) mag sturen per dag en kijken of het dan opgelost is?

    Dan ben je 100% zeker.

    Verander ook zeker het wachtwoord van alle users van die emailaccounts.

    Het lijkt uit de public_html te komen, maar je weet nooit.


    Verder kun je er ook bv eens een https://www.socketlabs.com/ tussen zetten. Kost wel wat, maar dan zie je ook echt wat er buiten gaat.


    Zelf timmer ik mijn wordpress sites zo dicht dat je niet kan zien dat het om een wordpress gaat, ik ghost ze volledig.

    Ze doen alsof ze joomla's zijn bv.


    Kijk ook eens in de access logs op rare urls die aangeroepen worden op momenten rond de mails?

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!