Spam ai clienti

Postate qui discussioni di carattere generale riguardo a problemi di installazione e configurazione di osCommerce

Moderatore: mod Generali

Rispondi
lupinvv
membro Senior
membro Senior
Messaggi: 267
Iscritto il: 22/01/2006, 21:58

Spam ai clienti

Messaggio da lupinvv »

Ho un bel problema.Ai miei clienti arriva spam "teoricamente" dal mio sito.
Avete per caso idea di quale possa essere il problema e come risolverlo?

es.
Da: support@www.lupinvvshop.com

Potresti non conoscere il mittente.Contrassegna come sicuro|Segna come indesiderato

Inviato: mercoledì 23 dicembre 2009 21.14.07
A: xxx (xx@xxx.xx)
ONLINE PHARMACY! SAVE 20% TODAY!

CLICK HERE
Acquista Gmate,R4 su http://www.lupinvvshop.com
Avatar utente
marzioscaglione
membro Regular
membro Regular
Messaggi: 204
Iscritto il: 06/08/2007, 14:15
Località: Prato
Contatta:

Re: Spam ai clienti

Messaggio da marzioscaglione »

Ciao,
anch'io ricevo le stesse e-mail, ti ho appena inoltrato una di queste.

Saluti e buon natale
http://www.newinformaticworld.com
I gestionali Danea 2009 da noi li trovi a prezzi scontati http://www.newinformaticworld.com/gesti ... _1455.html
valdo
membro Regular
membro Regular
Messaggi: 122
Iscritto il: 16/06/2004, 0:00
Località: ITALIA
Contatta:

Re: Spam ai clienti

Messaggio da valdo »

Stessa situazione !!!
Che sarà mai? Come procedere?
06voip
membro Veteran
membro Veteran
Messaggi: 549
Iscritto il: 12/09/2009, 11:58

Re: Spam ai clienti

Messaggio da 06voip »

è proprio un bel problema poichè non è possibile al momento bloccare i mittenti dello spam... tecnicamente chiunque può mandare messaggi a nome di un'altro :roll:

Non avendo un negozio in produzione non ho idea di come geastirla, ma l'unica soluzione che mi viene in mente, se possibile, è di usare la pec

http://it.wikipedia.org/wiki/Posta_elet ... ertificata

che di sicuro non elimina lo spam. Darebbe però la certezza del mittente :mrgreen:
ATTENZIONE: Questi non sono cambiamenti banali. C'è un sacco di codice qui :o) bene bravo bis!!:)
frank-blues
membro Junior
membro Junior
Messaggi: 1
Iscritto il: 26/12/2009, 13:06

Re: Spam ai clienti

Messaggio da frank-blues »

Ciao,
si tratta di un bug noto di oscommerce relativo al pannello di amministrazione.
In pratica è possibile accedere al pannello admin senza autenticarsi e visualizzare tutti gli indirizzi email dei clienti e mandare email di spam.
Leggete qui:

http://www.capn3m0.org/exploit-poc-osco ... ypass.html

Anche io ho lo stesso problema e spero di aver risolto.
La cosa più importante è proteggere con password la cartella admin.
Con Aruba è possibile farlo dal pannello di amministrazione.
Se non lo usate, un'altra cosa da fare è cancellare il file file_manager.php che trovate nella cartella admin.
Potreste anche rinominare la cartella admin.
Controllate poi che l'Hacker non vi abbia inserito del codice strano all'interno dei vostri file PHP o abbia inserito dei file o script malevoli,
Io per esempio ho trovato i seguenti file: mm.php e fly.php

Sto continuando le ricerche su google per capire meglio il problema e sono anche io in attesa di qualche altra dritta.
06voip
membro Veteran
membro Veteran
Messaggi: 549
Iscritto il: 12/09/2009, 11:58

Re: Spam ai clienti

Messaggio da 06voip »

azz :shock:

Grazie!
ATTENZIONE: Questi non sono cambiamenti banali. C'è un sacco di codice qui :o) bene bravo bis!!:)
lupinvv
membro Senior
membro Senior
Messaggi: 267
Iscritto il: 22/01/2006, 21:58

Re: Spam ai clienti

Messaggio da lupinvv »

frank-blues ha scritto:Ciao,
si tratta di un bug noto di oscommerce relativo al pannello di amministrazione.
In pratica è possibile accedere al pannello admin senza autenticarsi e visualizzare tutti gli indirizzi email dei clienti e mandare email di spam.
Leggete qui:

http://www.capn3m0.org/exploit-poc-osco ... ypass.html

Anche io ho lo stesso problema e spero di aver risolto.
La cosa più importante è proteggere con password la cartella admin.
Con Aruba è possibile farlo dal pannello di amministrazione.
Se non lo usate, un'altra cosa da fare è cancellare il file file_manager.php che trovate nella cartella admin.
Potreste anche rinominare la cartella admin.
Controllate poi che l'Hacker non vi abbia inserito del codice strano all'interno dei vostri file PHP o abbia inserito dei file o script malevoli,
Io per esempio ho trovato i seguenti file: mm.php e fly.php

Sto continuando le ricerche su google per capire meglio il problema e sono anche io in attesa di qualche altra dritta.
Grazie mile.
Ho appena protetto con password la cartella admin.
Spero abbia risolto almeno in parte il problema...
Acquista Gmate,R4 su http://www.lupinvvshop.com
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: Spam ai clienti

Messaggio da marcus »

Lo ho già scritto qualche mese fa ma giova ripeterlo.

Responsabile di questo problema e di altri tipo inserzione di codice maligno, accessi non autorizzati all'area admin, è una falla critica, ormai nota della parte admin di osC.

Sono affette le versioni osCommerce Online Merchant version 2.2 RC2a e precedenti.

Rimedi immediati:

- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess oppure se su sistemi windows cambiate nome alla cartella admin mettendo un nome casuale tipo passwd(es 34_hy_lo_k)


Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
lupinvv
membro Senior
membro Senior
Messaggi: 267
Iscritto il: 22/01/2006, 21:58

Re: Spam ai clienti

Messaggio da lupinvv »

marcus ha scritto:Lo ho già scritto qualche mese fa ma giova ripeterlo.

Responsabile di questo problema e di altri tipo inserzione di codice maligno, accessi non autorizzati all'area admin, è una falla critica, ormai nota della parte admin di osC.

Sono affette le versioni osCommerce Online Merchant version 2.2 RC2a e precedenti.

Rimedi immediati:

- se non usate il file_manager.php toglietelo
- proteggete l'admin con .htaccess oppure se su sistemi windows cambiate nome alla cartella admin mettendo un nome casuale tipo passwd(es 34_hy_lo_k)


Saluti
Marcus
Ho tolfo il file.manager.php ma il problema del bug c'è ugualmente

Proteggere l'area admin con .htaccess.Come si fa?
Grazie
Acquista Gmate,R4 su http://www.lupinvvshop.com
06voip
membro Veteran
membro Veteran
Messaggi: 549
Iscritto il: 12/09/2009, 11:58

Re: Spam ai clienti

Messaggio da 06voip »

Proteggere l'area admin con .htaccess.Come si fa?
questo dovrebbe bastarti http://vademecum.aruba.it/start/linux/auth.asp :wink:
ATTENZIONE: Questi non sono cambiamenti banali. C'è un sacco di codice qui :o) bene bravo bis!!:)
lupinvv
membro Senior
membro Senior
Messaggi: 267
Iscritto il: 22/01/2006, 21:58

Re: Spam ai clienti

Messaggio da lupinvv »

06voip ha scritto:
Proteggere l'area admin con .htaccess.Come si fa?
questo dovrebbe bastarti http://vademecum.aruba.it/start/linux/auth.asp :wink:
Ah ok,basta allora farlo direttamente dall'area admin di aruba ;) come avevo fatto io,pensavo che questa era una cosa in piu da fare.
Allora dovrei essere apposto
Acquista Gmate,R4 su http://www.lupinvvshop.com
lupinvv
membro Senior
membro Senior
Messaggi: 267
Iscritto il: 22/01/2006, 21:58

Re: Spam ai clienti

Messaggio da lupinvv »

marzioscaglione ha scritto:Ciao,
anch'io ricevo le stesse e-mail, ti ho appena inoltrato una di queste.

Saluti e buon natale
Se te ne dovessero arrivare ancora fammi sapere.
Grazie
Acquista Gmate,R4 su http://www.lupinvvshop.com
Rispondi