[gpinpin]

Bonjour
Voici la dernière partie suite à ma communication avec l’hébergeur (LWS)

Le fichier functions_messenger.php est présent dans les dossiers suivants :
/forum/includes/functions_messenger.php
il semble être liée à un module installé sur votre forum, peut être un module de tchat par exemple.
Je vous inviterai à mettre à jour votre forum ainsi que les modules qui le composent et peut être désactivé/désinstaller ce module.

Vous pouvez également supprimer/désinstaller les modules/thèmes qui sont activés sur celui-ci mais qui ne sont pas utilisés.

Je ne me suis pas méfié lors du premier blocage pour 24h et maintenant c'est pour 7 jours
J'essaye bien évidemment de comprendre le pourquoi de ces spams visionnés par le Rapport SpamAssassin que je mets en parti dessous:

Ce rapport permet de déterminer pourquoi un mail est bloqué.

24.5 points, 8.0 requis)
1.2 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL blocklist
[URIs: cialis20mg5mg.net]
0.0 URIBL_RED Contains an URL listed in the URIBL redlist [URIs: 20mgprednisone-online.org]
1.7 URIBL_BLACK Contains an URL listed in the URIBL blacklist [URIs: dfoofmail.com]
1.5 URIBL_RHS_DOB Contains an URI of a new domain (Day Old Bread) [URIs: viagra-cheapest-100mg.com]
2.5 URIBL_DBL_SPAM Contains a spam URL listed in the DBL blocklist [URIs: viagra-cheapest-100mg.com]
0.5 WEB_RE_LOC_HREF Links to web page that contains 'location.href='
3.0 WEB_BADCONTENT Links to web page that contains bad content
4.0 BAYES_50 BODY: L'algorithme Bayésien a évalué la probabilité de spam entre 40 et 60% [score: 0.5000]
8.0 DRUGS_ERECTILE Refers to an erectile drug 2.0 XPRIO Has X-Priority header

Le mail qui a provoquer cela a été envoyé depuis un script se nommant : functions_messenger.php
la suppression de celui-ci sur le compte FTP de ce domaine permettra de résoudre ce souci.

Donc où dois-je porté mon attention pour trouver ce problème et la façon de ne plus avoir ce genre de mésaventure

Merci d'avance
Gpinpin

PS: Je mets en complement le moment où est écrit "messenger"

Code: Tout sélectionner

x-spam-type=original Content-Description: original message before
SpamAssassin Content-Disposition: inline Content-Transfer-Encoding: 8bit Received: from
caravaning-facile.net (unknown [193.37.145.89]) by mailler28.lws-hosting.com (Postfix) with SMTP
id 820743CE2053 for <admin@caravaning-facile.net>; Mon, 15 Aug 2016 10:09:19 +0200
(CEST) Received: by caravaning-facile.net (sSMTP sendmail emulation); Mon, 15 Aug 2016 08:09:19
+0000 To: =?UTF-8?B?QWRtaW5pc3RyYXRldXI=?= <admin@caravaning-facile.net> Subject:
=?UTF-8?B?Q2F1c2VkIHJlZHVjdGlvbnMgYWNpZHM6IHRoZXNlIGNyYWNrbGVzLg==?= X-PHP-Originating-Script:
3263:functions_messenger.php From: <admin@caravaning-facile.net> Reply-To:
omuxay@dfoofmail.com Sender: <admin@caravaning-facile.net> MIME-Version: 1.0 Message-ID:
<05db3f58ec157f2df4935dcc3ef9b996@www.caravaning-facile.net> Date: Mon, 15 Aug 2016 10:09:19
+0200 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Priority:
3 X-MSMail-Priority: Normal X-Mailer: phpBB3 X-MimeOLE: phpBB3 X-phpBB-Origin:
phpbb://caravaning-facile.net/forum X-AntiAbuse: Board servername -

[Steph]

Salut,

peux-tu préciser la liste des extensions présentes sur ton forum ?

[gpinpin]

Bonsoir
mes extensions activés:

Activity Stats 1.2.4-DEV
Add User 1.0.3
Advanced BBCode Box 3.1.3
Avatars on Memberlist 1.0.3
Board Announcements 1.0.4
Board Rules 1.0.3
Cookie Policy 1.1.1
Display Last Post 1.1.6
Insert Template Code 0.1.0
Lightbox 1.0.2
Max-width switch 1.0.1
Pages 1.0.4
Paypal Donation 1.0.2
PhpBB Countdown 1.0.3
ReIMG Image Resizer 3.0.0-dev
Site internet dans le mini profil 1.0.0
tas2580 Failed logins 1.1.0
Topic Preview

D'autre sont désactivés

A+ Gpinpin

[Manard]

Bonjour,


As-tu apporté des modifications à ce fichier includes/functions_messenger.php ? suite à impossibilité d'envoi de mail un peu comme ce qu'a fait ce membre : support-installation-phpbb31/sujet207234.html#p1621037

J'ai lu dans tes précédentes interventions que tu avais eu des soucis d'envoi de mails à un groupe, as-tu fait des modifications dans un ou des fichiers ?

As-tu autorisé l'envoi de mail par les membres ?

Les utilisateurs envoient des e-mails via le forum :
Au lieu de montrer publiquement les adresses e-mails des utilisateurs, les utilisateurs peuvent envoyer des e-mails via le forum.

Bernard

[gpinpin]

Bonjour
Je n'ai rien touché dans ce fichier php et j'avais pas de problème avant.
Je suis allé voir ton lien mais en aucun cas je n'aurai touché car en lisant je vois qu'il a impacté des sécurités.

En complément je dirais que j'ai laissé trainé un ukrainien dans les nouveaux utilisateurs (4 aout au 17 aout). C'est à dire qu'il passe l'inscription mais n'est pas activé. Seulement il se retrouve quand même inscrit dans les deux groupes (utilisateurs sans droit aucun et nouveaux utilisateurs sans droit non plus)
Bref je ne vois pas ce qui permet à une adresse mail de tourner ou d'envoyer un spam. Peut être et seulement si cette adresse est vérolée

Ce qu'il me faut c'est trouver comment ça se passe et pouvoir après faire le blocage.
Donc pour trouver comment ça se passe je me demande quel LOG je dois consulter régulièrement.

Merci encore de chercher avec moi
A+ Gpinpin

Ré édition
Je vois que je n'ai pas répondu à toutes les questions
**
J'ai lu dans tes précédentes interventions que tu avais eu des soucis d'envoi de mails à un groupe, as-tu fait des modifications dans un ou des fichiers ?

As-tu autorisé l'envoi de mail par les membres ?
**

Effectivement je n'ai jamais réglé le problème d'envoi a un groupe. Je ne fais pas puisque ça ne fonctionne pas.

Les utilisateurs ne peuvent pas voir les adresses mails et n'envoient donc pas de mail aux autres. Seulement l'administrateur que je suis ce qui pourrait me faire comprendre que c'est à travers mon adresse mail que ça se passe. Rien n'est à exclure.

A+
Seul les MP sont autorisés. Je considere qu'ils peuvent à travers un MP se donner leur adresse si besoin ils ont.

Deuxième ré édition
Ce site web (@dfoofmail.com) revient dans toutes les erreurs et blocage du serveur dans mon log de spam. Je me dis qu'il faut déjà le bloquer. Faut il que j'ouvre un autre sujet concernant ce point: Bloquer un site web et comment faire dans le pca?

[Manard]

Bonjour,

En pied de page il y a cette ligne

Code: Tout sélectionner

Custom Code extension pour phpBB 

Tu ne fais pas référence à l'installation de cette extension, si elle l'est toujours, fais attention son développement a été abandonné. Tu n'aurais pas un autre membre douteux ?
Change ton mot de passe par sécurité

Bernard

[gpinpin]

Re
Oui cette extension est désactivée mais je n'ai pas encore supprimé les donnés

Peut etre un membre douteux et je sais qu'un membre vient dernièrement de changer son adresse mail car impacter probablement. Je le sais car si un membre change d'adresse mail il faut que je le réactive.
Sinon rien d'autre sur cela
Ce que je ne comprends pas est l'utilisation de messenger php
Et ce site qui revient dans tous les logs spam.....

A+ Gpinpin

[Skouat]

Bonjour,

Ce que je trouve bizarre, c'est le texte suivant: 3263:functions_messenger.php
Dans la logique, il supposerait que le fichier functions_messenger.php à, au minimum, 3263 lignes. Or, il ne fait que 1746 lignes.

Pouvez-vous vérifier que ce fichier n'est pas corrompu et qu'il comporte bien 1746 lignes

[gpinpin]

Re bonjour
Je viens de le ramener sur PC et au controle le:
"}" est à la 1745tiene ligne et donc fait bien 1746 avec le retour chariot

Si je regarde tout les logs sur ces mails j'ai a peu près à chaque fois le même chose
avec l'ip 91.200.12.7 de ce mail dont la terminaison est @dfoofmail.com du meme site donc

Originating-Script:
3263:functions_messenger.php From: <admin@caravaning-facile.net> Reply-To:
omuxay@dfoofmail.com Sender: <admin@caravaning-facile.net> MIME-Version: 1.0 Message-ID:
<05db3f58ec157f2df4935dcc3ef9b996@www.caravaning-facile.net> Date: Mon, 15 Aug 2016 10:09:19
+0200 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Priority:
3 X-MSMail-Priority: Normal X-Mailer: phpBB3 X-MimeOLE: phpBB3 X-phpBB-Origin:
phpbb://caravaning-facile.net/forum X-AntiAbuse: Board servername -
http://www.caravaning-facile.net X-AntiAbuse: User IP - 91.200.12.7 Bonjour Administrateur, Ce qui
suit est un e-mail qui vous a été envoyé depuis la page de
contact de « caravaning-facile ». Le message a
été envoyé par un invité qui a
indiqué les informations de contact suivantes : Nom :
eutilofir Adresse e-mail : omuxay@dfoofmail.com Adresse IP :
91.200.12.7 Voici le message qui vous a été
envoyé : ~~~~~~~~~~~~~~~~~~~~~~~~~~~ [url=http://20mgprednisone-online.
org/]Prednisone 20 Mg[/url] <a href="http://viagra-cheapest-100mg.com/">Viagra
100mg</a> http://cialis20mg5mg.net/ ------------=_57B178B2.8A2A4616--

re edité et c'est envoyé par "invité" qui en théorie est désactivé je crois mais ça je n'ai pas touché
A+ Gpinpin

[Skouat]

Bonjour,

Ce qui suit est un e-mail qui vous a été envoyé depuis la page de contact

Votre problème vient de la page "Contact" que vous avez activé.
Cette page est dépourvue de CAPTCHA pour des raisons d'accessibilité. Donc c'est une porte d'entrée pour les SPAMMER

[gpinpin]

Bonjour et merci je regarde ça dans la foulé

A noté que j'ai trouvé où il fallait bannir des groupes d'adresses mail dans utilisateur et groupe
J'ai banni *@dfoofmail.com

Je vais regarder ce captcha et où le mettre en service

A+ Gpinpin

ré edition
Dans "page de contact" je n'ai pas cette solution

dans "Paramètres de la confirmation visuelle" rien non plus mais pour les visiteurs c'est activé...

2ème Ré-édition
Une extension peut être ?

A+ Gpinpin

[Skouat]

Bonjour,

Cette page est dépourvue de CAPTCHA pour des raisons d'accessibilité.

Il ne s'agissait pas d'un constat.
phpBB.com n'a pas mis en place de CAPTCHA au niveau de la page de contact.
Toutefois, il semble y avoir une extension en développement, qui propose une page de contact avec CAPTCHA.

[gpinpin]

RE
Effectivement je l'ai récuperer et je m’attelle dés ce soir à la mise en place d'abord en essais en local en wamp et forum puis sur le site même

En attendant merci pour tout vos bons conseilles qui m'ont permis et me permettront d'avancer dans cette recherche

Gpinpin

[Manard]

Bonjour,

Tu as au moins deux solutions

- De désactiver cette page contact, ce qui m'étonne c'est que tu n'as pas indiqué que tu recevais ces mails ?
- Ou en attendant le développement de cette future extension, un membre de chez Ezcom a fait une modification pour insérer une code Captcha, décrite ici : http://www.ezcom-fr.com/viewtopic.php?f=23&t=562 . Ces modifications ont été réalisées sans création d'une extension.

Edit : Je n'avais pas vu ta réponse..., s'il y a une extension c'est mieux

Bonne réflexion

Bernard

[gpinpin]

Oui c'est bien la page que j'ai vu chez ezcom et j'applique dés que je peux.

Avant le blocage par l’hébergeur je recevais des mails de la page de contact mais pas de ce spam......
A+


Ré édition
Donc les modifications sont faites et mes tests sont correctes en local. je les ai appliqué en réel sur le forum mais il me faut attendre le déblocage de l'hébergeur le 23 août 2016.

Par ailleurs j'ai bloqué les origines de ces mails dans "Bannir une ou plusieurs adresses e-mails"

Je mettrai réglé après le 23 si tous se passe bien

Gpinpin