Was geht hier vor sich?

Beitrag von **wernizh** » 03.09.2005, 20:31

Hallo

Auf meiner Webseite habe ich ein Formular.
Dort können die Besucher Anfragen lossenden. Es wird dann per
FormMail Version 1.92 Perl-Skript eine Mail an mich gesandt. Das Skript habe ich so konfiguriert, dass die Mails nur an mich gehen können.

Nun habe ich heute gesehen, dass jemand von: caravela.di.fc.ul.pt das Formular benutzt hat und ich habe Mails mit sinnlosem Inhalt bekommen.
Da habe ich bemerkt, dass im Feld BCC: bergkoch8@aol.com steht.
Dann habe ich mit Google nach dieser Mailadresse gesucht und oh Wunder! Es gibt ein paar 10'000 Einträge. Viele davon auch mit BCC.

Was soll das? Ist FormMail nicht sicher?

Jetzt habe ich mal in der htaccess die caravela.di.fc.ul.pt gesperrt. Aber das wird wohl nicht viel bringen.

Hat da jemand eine Idee?

von **Anzeige von ABAKUS** »

Beitrag von **Racker** » 03.09.2005, 20:41

Ich denk das da jemand ein opfer als spamversender sucht.
Das script soll nicht gerade sicher sein
Katja

Beitrag von **Anonymous** » 03.09.2005, 20:49

lass dir ein sicheres Formular in PHP erstellen...

von **Anzeige von ABAKUS** »

Beitrag von **heddesheimer** » 03.09.2005, 20:52

solche Mails hatte ich auch schon. Bist du sicher dass die Adresse wirklich in BCC stand, oder vielleicht war BCC: nur im Nachrichtentext zu sehen?

Es scheint einige Spammer zu geben, die solche Skripte auf Sicherheitslücken testen. Wenn das BCC nur im Text steht, besteht keine Gefahr. Kommt natürlich auf dein Skript an.

Gruß Marian

Beitrag von **netnut** » 03.09.2005, 22:10

Hatte ich gestern auch

Absender: ahefqm@XXX.de
Betreff: ahefqm@XXX.de

Die Nachricht sah dann so aus:

Code: Alles auswählen

ahefqm@XXX.de
Content-Type&#58; multipart/mixed; boundary=\"===============0857356781==\"
MIME-Version&#58; 1.0
Subject&#58; 2d55e143
To&#58; ahefqm@XXX.de
bcc&#58; mhkoch321@aol.com
From&#58; ahefqm@XXX.de

This is a multi-part message in MIME format.

--===============0857356781==
Content-Type&#58; text/plain; charset=\"us-ascii\"
MIME-Version&#58; 1.0
Content-Transfer-Encoding&#58; 7bit

higqnwvi
--===============0857356781==--

Das "XXX" ist Platzhalter für meine Domain

Kann da vielleicht schon jemand dran erkennen ob mein Script sicher ist, oder ob es missbraucht werden kann?

Beitrag von **Pompom** » 04.09.2005, 09:04

Diese Frage beantwortet sich ja von selbst. Wenn die Mails über dein Formular verschickt wurden, wird es wohl nicht sicher sein.

Beitrag von **heddesheimer** » 04.09.2005, 09:17

Meiner Meinung nach kannst du das ignorieren. Was im Nachrichtentext steht heißt ja nicht, dass der Mail-Header auch tatsächlich über den Mailserver verschickt wurde.

Offenbar gibt es irgendwo auch Mail-Scripte, die sich den Mail-Header aus dem Nachrichtentext herausholen und dann ungeprüft verschicken. Solange du die PHP-Mail Funktion im Skript direkt verwendest (d.h. den ersten Parameter mit der Mail-Adresse selbst im Skript hardkodiert ist), besteht keine Gefahr eines Mißbrauchs.

Gruß Marian

Beitrag von **wernizh** » 04.09.2005, 10:13

Das sieht bei mir genau auch so aus wie bei netnut

Beitrag von **Pompom** » 04.09.2005, 12:45

Ok, dann nochmal.

Mailadressen lassen sich, genauso wie IP-Adressen Faken.
Entscheidender als die Mailadressen sind die IP-Adressen, von wo du diese Mail bekommen hast, z.B:

Received: from RBS ([202.179.137.32])

Schick dir mit deinem Formmailer eine Mail und kontrolliere den Header.

Beitrag von **netnut** » 04.09.2005, 12:53

Pompom hat geschrieben:Diese Frage beantwortet sich ja von selbst. Wenn die Mails über dein Formular verschickt wurden, wird es wohl nicht sicher sein.

Es war eine Mail und die ist bei mir gelandet, wenn das alles ist was zu erreichen ist (und dafür ist das Formular schliesslich da), dann ist es wohl sicher. Meine Frage war aber ob aus diesem Mailtext zu erkennen ist ob der Header manipulierbar ist.

@ heddesheimer: Danke, ich habe es mir nochmal angesehen und der Empfänger wird einzeln und direkt angegeben - sollte also sicher sein

Beitrag von **Anonymous** » 04.09.2005, 12:59

wenn man sehen will ob der header manipuliert wurde, müsste man sich diesen auch ansehen... da reicht dann nicht der text der Mail...

Beitrag von **netnut** » 04.09.2005, 13:18

net(t)worker hat geschrieben:wenn man sehen will ob der header manipuliert wurde, müsste man sich diesen auch ansehen... da reicht dann nicht der text der Mail...

Da hast Du natürlich recht, der Header wurde aber nicht manipuliert, sieht ganz normal aus. Die Frage war halt ob es bei einer Übertragung einer solchen Nachricht, wenn also ein Text wie dieser versandt wurde, daraus zu schliessen ist dass eine Manipulation in Zukunft möglich wäre...

Es scheint aber nicht so zu sein

Aber als ich mir den Header gerade nochmal angesehen habe, hab ich gleich mal nachgesehen wo der Vogel herkommt und es war ein Inder - damit hatte ich nicht gerechnet, dachte ich finde da einen Ami oder Chinesen...

Beitrag von **overflood** » 04.09.2005, 23:27

Ich kämpfe auch momentan sehr mit solchen Mails. Ich lasse mir GRUNDSÄTZLICH die IP mitsenden. Durch den verstärkten Missbrauch bin ich der Sache auf den Grund gegangen:

Täglich 5 - 10 Mails kommen aus dem Iran.. Wie soll es auch anders sein.

Methoden um den gegenzuwirken gibt es viele. Ich habe folgende Sachen upgedatet:

Aufzeichnung der DNS und der IP sowieso (gethostbyaddr)
Erstellung eines RIPE-Reports jedes Users schon beim Absenden der Mail
Prüfung ob Kontaktformularfelder sich ähneln (oft kommt es vor, dass die Spammer einfach in jedes Feld die E-Mail reinsenden, dann sollte es ja immer stimmen denken sie sich - fisch gibts)
Prüfung auf valide E-Mail-Adressen sowieso
Bei jedem Betreten des Kontaktformulars wird eine Session erstellt, das können die Bots nicht (auch Cookies können sie nicht)
IP-Sperre wird demnächst ebenfalls kommen

So kann man den Bots den gar aus machen... ist echt lästig wie die versuchen die Weltherrschaft an sich zu reisen. Und euer Server wird dann für Spam zur Rechenschaft gezogen

Greez
OverflooD

Beitrag von **Anonymous** » 05.09.2005, 01:39

also einen Bot zu erstellen der auch mit cookies klarkommt ist kein Thema.... entsprechende freie Classes für php und perl sind verfügbar...

die Eingaben gescheit validieren und scho kann nichts mehr passieren...

Beitrag von **800XE** » 05.09.2005, 04:42

net(t)worker hat geschrieben:die Eingaben gescheit validieren und scho kann nichts mehr passieren...

ja,

ich hab die Tage auch ein Problem mit sochen eMails gehabt
mein Leserbrief(ForumPost) war für jeden offen

und da hat dann wohl irgentein Programm reingeschrieben bzw die Action Adresse direkt angepostet .....
.... jetzt habe ich eine zusätzliche Prüfung der Formularfelder eingebaut und das Spamming ist eingestellt (er versuchts immer noch, kommt aber nichtmer ins Forum damit)

Hab eben auch mal in den Header gekukt und bin erleichtert das dort nichts von BCC drinsteht