Jemand versucht mein Kontaktformular/Mailscript zu knacken!

Beitrag von **holch** » 27.07.2005, 13:21

Hi!

Seit etwa 3 Tagen bekomme ich ständig seltsame Emails über mein Kontaktformular. Jemand versucht irgendwelche anderen Daten über den Betreff in mein Kontaktformular einzuschleussen. Er versucht auch ständig die Mails an seine Email-Adresse per Bcc mitzuschicken. Da wurde ich stutzig. Er versucht alle möglichen Sachen.

Ich habe jetzt mal die IP und den Referer mitgeben lassen in der Email. Habe Angst, dass er, wenn er irgendwo reinkommt dann über ein eigenes Script und mein Script Spam verschickt. Wenn man nämlich nach einer der Email-Adresses die er als BCC mitgeben wollte sucht, dann kommt man auf eine Schwedische Seite, die den Typen als Spammer entlarvt.

Kann mir jemand einen Tip geben, wie mal ein solches Formular vor angriffen sicher macht?

Habe mir schon überlegt den Referer abzufragen, wenn es nicht mein Formular ist, das die Daten an das Mailscript schickt wird weitergeleitet auf das Kontaktformular.

Ist eigentlich nix besonderes mein Mail-Script. Ich lese aus dem Formular den Namen, die Email und die Firma des Senders aus (oder was er angegeben hat) und eben den Betreff und dann den Text. Das schicke ich dann an eine fest im Script vorgegebene Email-Adresse. Besteht da irgendwo gefahr?

Gruß, Holger

von **Anzeige von ABAKUS** »

Beitrag von **sean** » 27.07.2005, 13:32

du kannst die üblichen hackversuche ja per php abfragen, und dann einfach einen Fehler ausgeben. Das ist ja schon fast normal dass Leute versuchen die Mail, print und benachrichtigen Funktion zu mißbrauchen

Gruß

sean

Beitrag von **holch** » 27.07.2005, 13:49

@sean: danke für die Antwort. Soweit ich das jetzt gecheckt habe kann er dieses BCC nicht mitgegeben. Werde mich da aber mal kund tun.

Ich habe mir überlegt, dass mit der Überprüfung des Referrers zumindest ausgeschlossen werden kann, dass er ein Skript an mein Skript hängt und damit Mails generiert.

Meine Mailfunktion sieht wie folgt aus:

mail('email@email.xy',$betreff,$text,"FROM: $email");

Kann da z.B. ein Bcc oder ähnliches eingeschleust werden? Die Adresse an die versendet werden soll ist ja fix. Da darf er eigentlich nicht drauf zugreifen können, oder?

Gruß, Holger

Beitrag von **Anonymous** » 27.07.2005, 14:33

Hi,

die From Adresse sollte auf jedenfall überprüft werden, wenn er da ein '\nBCC: aaa@bbb.ccc' dranhängen kann hat er sein BCC... funktionen wie man eine mailadresse überprüft findet man auch recht schnell...

Beitrag von **holch** » 27.07.2005, 15:01

@Networker:

Das mit dem \nBCC hilft ihm aber nichts, weil über diese Abfrage seiner Email-Adresse ja nichts versendet wird.

Die Email mit den Daten geht ja an meine in 'email@email.xy' angegebene Email-Adresse.

Die Variable $email wird mit FROM: übergeben, damit ich weiß, von wem die Email kam und gleich darauf antworten kann. Dort ein BCC zu verstecken würde nix bringen, weil ich das ja dann an der Email-Adresse sehen würde. Klar, die könnte man validieren.

Die Frage ist, ob man dieses Formular bzw. diese Mail-Funktion irgendwie zum versenden von Spam ausnutzen kann, bzw. irgendwo ein BCC einschleussen kann, wo die email auch wirklich an die andere Adresse geht.

Ich sammle jetzt erstmal IPs. Die erste habe ich schon. Sollte das von immer der selben IP kommen wäre es ja relativ einfach.

Gruß, Holger

Beitrag von **Nullpointer** » 27.07.2005, 15:06

https://www.geobytes.com/IpLocator.htm?GetLocation

da kannst du nachschauen, aus welcher region der 'angreifer' kommt. seinen billigen versuchen nach zu urteilen, wird er seine ip nicht verschleiern.

Beitrag von **Anonymous** » 27.07.2005, 15:09

Hi,

schau dir im PHP Manual mal an wie du ein BCC in dee mail() Funktion unterbringen musst...

https://www.dynamic-webpages.de/php/function.mail.php

schau dir da mal den Punkt "2. Verschicke Mail mit zusätzlichen Headern " genauer an..

dein FROM: ist ein zusätzlicher Header, ein an der Mailadresse angehangenes \nBCC: aaa@bbb.cc würde einen weitzeren zusätzlichen Header geben...

also musst du die Mailadresse validieren....

Beitrag von **holch** » 27.07.2005, 15:14

@Networker: hab ich gerade probiert, das mit dem \nBCC: an eine eigene Adresse. Und es hat nicht funktioniert...

Werde es aber nochmal testen.

Und in der PHP-Referenz habe ich natürlich schon gesucht. Aber das war nicht sehr ergiebig. Da weißt zwar einer auf die Gefahr hin, aber so recht schlau, wie man es lösen kann wird man nicht.

Danke schon mal.

Gruß, Holger

Beitrag von **holch** » 27.07.2005, 15:23

Also, die Email die ich mir mit \nBCC: bei Email zugeschickt habe sieht so aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Datum: 7/27/2005 16:01:27 +0200
Von: email@email.org\\nBCC:spam@email.de
An: mich@email.org
Betreff: BCC:spam@email.de

Anfrage über Kontaktformular
*********************************************
Name: holch
Email: email@email.org\\nBCC:spam@email.de
Firma: \\nCC:spam@email.de
Referer: https://www.meinedomain.org/kontakt.php
IP: 62.138.29.210
*********************************************

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Die Email die ich mir mit \r\nBCC: zugeschickt habe sieht so aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Datum: 7/27/2005 16:15:20 +0200
Von: email@email.com\\r\\nBCC:spam@mail.de
An: meine@email.org
Betreff: adfa
Anfrage über Kontaktformular
*********************************************
Name: holch
Email: email@email.com\\r\\nBCC:spam@mail.de
An: meine@email.org
Firma: asdf
Referer: https://www.meinedomain.org/kontakt.php
IP: 62.138.29.210
*********************************************
asdfas
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Beitrag von **Anonymous** » 27.07.2005, 15:27

am besten jeder Eingabe per Formular validieren, dann kann nix passieren....

ich nutze für Formulare nur noch die PEAR Class HTML/Quickform

https://pear.php.net/package/HTML_QuickForm

für jede Eingabe erstelle ich Rules, so kann da keiner rummanipulieren.. und erst wenn alle Angaben richtig sind, passiert überhaupt erst etwas...

auf meinem Webspace hab ich einen extra ordner für die pear Classes angelegt, und im Hauptverzeichnis den include_path per htaccess geändert...

Beitrag von **holch** » 27.07.2005, 15:33

Da werde ich mich mal reinfuxen müssen. Werde also auf deinen Tip hin auf jeden Fall die Email-Adresse validieren. Auch wenn bei meinem Formular eigentlich nix passiert. Warum auch immer.

Habe mir vorher darüber keine Gedanken gemacht, weil das Kontaktformular nicht weiter wichtig war. Wer seine Email nicht angeben wollte musste auch nicht. Aber wenn man sonst ordentlich spammen kann, auf meine Kosten, dann ist das ziemlich nervig.

Allerdings habe ich nicht den eindruck, dass er spammt, sondern ich bekomme jetzt ständig emails mit Betreff und Email N/A. Eine nach der anderen. Was ihm das bringen soll?

Werde vermutlich seine IP auf was anderes umleiten...

Beitrag von **holch** » 27.07.2005, 15:37

Also, ich hab jetzt über diesen IP Address Locator herausgefunden, dass er irgendwo in Atlanta, Georgia sitzt.

Eigentlich ganz nett zu wissen. Aber viel helfen tut es dann auch nicht. Werde wohl den Mist validieren müssen.

Gruß, Holger

Beitrag von **Anonymous** » 27.07.2005, 15:43

man sollte alles was von aussen an ein phpscript rankommt überprüfen, also auch alle vars die über GET reinkommen, nur so kann man manipulation von aussen vermeiden.

du hattest jetzt selber auch erst 2 Möglichkeiten ausprobiert ein BCC anzuhängen, mir fallen auf Anhieb weitere Möglichkeiten ein, die man ausprobieren könnte... aber wenn die mailadresse validiert wird, bist du auf der sicheren Seite...

Beitrag von **holch** » 27.07.2005, 15:46

Der Betreff und die anderen Variablen sind nicht gefährlich?

Gruß, Holger

Beitrag von **Anonymous** » 27.07.2005, 15:52

wie gesagt...

am besten alles validieren, dann ist man auf der sicheren Seite...