Tentative de piratage ?

[comparef]

Bonjour a tous,

Plusieurs recherches suspects dans le moteur de recherche de notre annuaire big-annuaire ont été faites(aujourd'hui, et ca c'etait déjà produit il y a quelques semaines avec les meme recherches).

les voici :

hysijlo@big-annuaire.comcontent-type: multipart/mixed boundary=
===============2143733629== mime-version: 1.0subject: c15f52b0to:
hysijlo@big-annuaire.combcc: jrubin3546@aol.comfrom:
hysijlo@big-annuaire.com this is a multi-part message in mime format. --

bwtkl@big-annuaire.comcontent-type: multipart/mixed boundary=
===============0420738359== mime-version: 1.0subject: 70c9353to:
bwtkl@big-annuaire.combcc: homeiragtime@aol.comfrom: bwtkl@big-annuaire.com
this is a multi-part message in mime format. --=====

Cela nous a parut tres bizare alors nous avons fait en sorte qu'il soit impossible de refaire ces recherches telquel.

Cependant, cela m'inqiete, quelqu'un saurait-il ce que c'est ?

Merci d'avance pour votre aide

Robin

[shrom]

C'est un robot qui recherche des failles de scripts utilisant les fonctionalités d'envoide mail.

C'est de plus en plus fréquent ces jours ci.

[comparef]

ok, merci pour ta reponse,

Et qu'est ce que concretement on risque ?

Doit-on s'attendre a quelque chose dans les pochains jours ?

(cela depend de la qualité de nos script biensure, mais y a t il des choses que nous devons savoir ? )

[rtb]

idem chez moi, plusieurs fois dans la matinée avec un formulaire... Ils cherchent quoi ? Que doit on faire pour proteger efficaceent le formulaire ?

[magicaxe]

Bonsoir,

Je vous propose ceci que j'avais trouvé sur le net:

h**p://*_*.fdnf.org/js/frmchk.js

Puis les Expression régulière sur le script cible.

[magicaxe]

Pour les expressions régulières en php:

Code: Tout sélectionner

function ValidEmail($address)
{
   if( ereg( ".*<(.+)>", $address, $regs ) ) {
      $address = $regs[1];
   }
   if(ereg( "^[^@  ]+@([a-zA-Z0-9\-]+\.)+([a-zA-Z0-9\-]{2}|net|com|gov|mil|org|edu|int)\$",$address) )
      return true;
   else
      return false;
}

EDIT: il faut encore ajouter des domaine après |net|com|...

[rtb]

merci a toi pour les sources, j'avais un formulaire ou j'avais zappé les controles. Sais tu ce qu'ils tentent de faire par le biais des form ?

[magicaxe]

Ils exploitent un bug de certains serveurs SMTP à mon avis.

[comparef]

D'apres vous, ils exploitent les formulaires qui envoient des emails, le formulaire ou a été injécté ce code sur mon site est un moteur de recherche, cela ne peut donc avoir trouvé aucune faille ?

[shrom]

D'apres vous, ils exploitent les formulaires qui envoient des emails, le formulaire ou a été injécté ce code sur mon site est un moteur de recherche, cela ne peut donc avoir trouvé aucune faille ?

Aucun problème de ce côté, il faudrait qu'il y ait une fonction mail dans le script et que cette fonction récupère les données saisies par l'utilisateur, c'est ce que l'on appelle une injection de header.

Cependant, il serait quand même bien de filtrer un peu les entrées des utilisateurs. Je ne vois pas bien l'utilité de laisser l'utilisateur faire des recherches sur plusieurs lignes et les caractères spéciaux tels que = ou @ n'ont pas à être autorisés non plus.