Formail hacké

**le Ven Sep 02, 2005 0:42**

Bonjour,

Quelqu'un cherche à tester les vulnérabilités de mon formulaire de contact, voilà ce que reçu dans ma boite mail :

Code: Tout sélectionner: Provenance : http://www.mondomaine.com Adresse IP : 216.151.106.11, Navigateur : Nom : lymlffl@mondomaine.com Site web : Content-Type: multipart/mixed; boundary=\"===============0182600363==\" MIME-Version: 1.0 Subject: 98b6b97e To: lymlffl@mondomaine.com bcc: mhkoch321@aol.com From: lymlffl@mondomaine.com This is a multi-part message in MIME format. --===============0182600363== Content-Type: text/plain; charset=\"us-ascii\" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit dhq --===============0182600363==-- E-mail : lymlffl@mondomaine.com Message : lymlffl@mondomaine.com

J'ai donc changé de formulaire dans le doute et il recommence :

Code: Tout sélectionner: mnhi@mondomaine.com Content-Type: multipart/mixed; boundary="===============0498347997==" MIME-Version: 1.0 Subject: 3f45422d To: mnhi@mondomaine.com bcc: bergkoch8@aol.com From: mnhi@mondomaine.com This is a multi-part message in MIME format. --===============0498347997== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit jbrudi --===============0498347997==--

J'ai reçu plusieurs mails et je pense qu'il à inséré des données pour tester chacun de mes champs de formuaire. Il est passé par un proxy High Anonymity.

Apparement c'est son métier de faire chier les autres:
http://www.google.fr/search?hl=fr&q=mhk ... ogle&meta=

http://www.google.fr/search?hl=fr&c2cof ... .com&meta=

J'utilise un script que j'ai trouvé sur webmaster-hub :
http://www.webmaster-hub.com/publicatio ... le110.html

Pensez-vous qu'il ait réussi à me hacker le script ?
Que puis-je faire contre lui ?
Connaissez-vous un script plus sécurisé ?

Merci d'avance

EDIT 12/09
Nouvelle adresse connu :
mhkoch321@aol.com
bergkoch8@aol.com
jrubin3456@aol.com

**le Ven Sep 02, 2005 7:26**

Bonjour,

Quelqu'un ou quelque chose ... ça sent plus le robot qui se ballade sur le web et qui se fait plaisir à mon avis.
S'il continue, essaye de re-récupérer des informations sur lui (ip / host / user_agent) et puis arrange toi pour le bannir dans ton htaccess si possible.

Après à savoir s'il a réussi à te "hacker le script" euh ... je ne vois pas comment au vue du contenu des emails ...
Sinon le script que tu utilisais n'était pas trop mal.
Tu peux éventuellement convertir les données en leur entités html ( htmlentities() ) qui sera un poil plus complet que le htmlspecialchars() utilisé.
Mais bon, c'est du pinaillage

**le Ven Sep 02, 2005 10:08**

est-ce que vous connaissez un bon script pour faire un "formail" (autrement dit un formulaire où les visiteurs du site peuvent recommander le site à leurs amis) et qui soit bon et protégé ?

parce que je cherche un peu partout sur le web mais je trouve pas
y'en a quelques uns sur le site de Nix mais comme d'habitude pour chaque script y'a 50 messages pour dire que le script et pourri, mal codé etc...

voila, merci d'avance

PS : pour le moment j'utilise le truc tout fait de "i-services" (-http://www.vrai-nom.com/reco.htm ) mais fin décembre ce service sera désactivé, donc il faudrait peut être que je me dépêche de le changer

**le Ven Sep 02, 2005 10:56**

J'ai reçu les mêmes cette nuit

Et comme je reçois des notifications par SMS, j'ai été SMSpammé...

**le Ven Sep 02, 2005 11:23**

C'est une tentative d'injection d'header dans ton mail.

Il n'y a aucun problème car des paramètres headers sont déjà transmis à la fonction mail().

Sans doute un robot spameur.

**le Ven Sep 02, 2005 14:52**

Apparemment il se servirait de cette faille pour envoyer du spam en masse, le formulaire permettrait de faire un relais pour couvrir ses agissements.

J'ai trouvé un article sur cette faille "Injection d headers dans la fonction mail() de PHP" :
http://www.phpsecure.info/v2/article/Ma ... Inject.php

Il y a une discussion à propos de ce spammeur et une proposition de script sécurisé contre ce type d'attaque :
http://www.anders.com/cms/75

"Keep sending those reports to AOL. The BCC'd list always seems to contain the spammers verification account. The initial test messages reveal who the spammer is. As the spam run ensues, check the BCC list for that "test account". All the other headers appeared to be forged.

They are using hacked computers to relay through exploitable web forms, which conceals the true orgin and makes it appear as if your site is responsible for the spam. If you let the spam escape your network, you may be held responsible for the spam. If the spam makes it through your organization, there is a good chance you'll be BlackListed by the ISP at the bcc'd list.

I'd suggest converting your web form program into a spam trap. Force send any mail submitted to it, to a spam-trap account. Collect as much data as you can, in particular, the domain being advertised in the spam and the spammers verification, email account, including the where the spammer connected from (the other hacked computer) and share it with AOL. They may not respond to your requests, but they do investigate these reports."

Si je comprends bien s'il parvient à exploiter la faille, le site est responsable du spam et il risque de se faire blacklisté par les ISP.

J'ai banni son ip avec htaccess et je vais informer le service abuse d'aol avec toutes les informations dont je dispose.

**le Ven Sep 02, 2005 15:15**

yeca a écrit:J'ai reçu les mêmes cette nuit

Et comme je reçois des notifications par SMS, j'ai été SMSpammé...

Je t'invite à le signaler au service abuse d'aol : CGUFrance@aol.com si c'est le même email qu'il a laissé.
Il ne se gêne pas pour repasser sur les mêmes sites et tester plusieurs fois cette faille d'après ce que j'ai pu lire.

**le Ven Sep 02, 2005 15:30**

Ok, je le ferais s'il repasse

**le Mer Sep 07, 2005 7:27**

il est passé chez moi aussi 2 ou 3 fois... :roll:

**le Mer Sep 07, 2005 16:47**

Bonjour

J'ai également un formulaire de contact. La page PHP est distincte et je passe tout en POST. Pourtant les messages pollués se multiplient. 10-20 mails parfois avec tous les champs renseignés mais bidons.

Comment connaître l'IP du spammeur ?

Pas d'autres solutions ?

Merci
Sandrine

**le Mer Sep 07, 2005 17:25**

BigDebutant a écrit:Comment connaître l'IP du spammeur ?

Tu peux récupérer la valeur de $_SERVER['REMOTE_ADDR'], et l'inclure dans le message qui t'es envoyé.

**le Mer Sep 07, 2005 17:42**

BigDebutant a écrit:Pas d'autres solutions ?

Interdire:
To, Cc, Bcc, Content-type, boundary

**le Jeu Sep 08, 2005 7:50**

Bonjour,

J'ai vu dans un article qu'en fait le robot spammeur utilisé une faille de la fonction mail.
Donc j'ai suprimé, comme le conseil l'article tous les \r et \n.

Ca va suffir ?

Merci
Sandrine

**le Jeu Sep 08, 2005 8:23**

BigDebutant a écrit:Bonjour,

J'ai vu dans un article qu'en fait le robot spammeur utilisé une faille de la fonction mail.
Donc j'ai suprimé, comme le conseil l'article tous les \r et \n.

Ca va suffir ?

Merci
Sandrine

La meilleure solution est encore de ne pas intégrer de données provenant de l'utilisateur dans les headers.

**le Jeu Sep 08, 2005 8:35**

C déjà le cas :wink:

Je définis l'expéditeur, le destinataire et le sujet du message. Pour le contenu je crée le message en fonction de ce que l'internaute a coché et inscrit dans le formulaire.

A priori cette nuit il n'est pas passé.

Formail hacké

Formail hacké

Moi aussi

Re: Moi aussi

Re: Moi aussi

Solution ?

Re: Solution ?

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne