bruno: Wer füllt diese Formulare aus

und mit welcher Absicht?

Hallo,
immer häufiger füllt wer bei bei mir einfache Kontaktformulare, deren Daten mit PHP ausgelesen werden, aus.
Muss ich mir irgendwelche Sorgen machen, oder ist da einfach nur rumgespielt worden?

So sehen dann die Mails aus die ich vom PHP-Script erhalte, verwunderlich finde ich die 6 Zeilen unter "Welche Anliegen", da liest mein Script eigentlich Checkboxen aus und unter Telefonnummer das "bcc: bergkoch8@aol.com":

Die Daten des Anfragenden:
Name: zjswkgy@meine-domain.de
Firma: zjswkgy@meine-domain.de
E-mail-Adresse: zjswkgy@meine-domain.de
Telefonnummer: zjswkgy@meine-domain.de Content-Type: multipart/mixed; boundary="===============0705120345==" MIME-Version: 1.0 Subject: 97b4a30c To: zjswkgy@meine-domain.de bcc: bergkoch8@aol.com From: zjswkgy@meine-domain.de This is a multi-part message in MIME format. --===============0705120345== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit kpqtplnw --===============0705120345==--

Welcher Kontakt ist gewünscht:

Welche Anliegen?
zjswkgy@meine-domain.de
zjswkgy@meine-domain.de
zjswkgy@meine-domain.de
zjswkgy@meine-domain.de
zjswkgy@meine-domain.de
zjswkgy@meine-domain.de

Folgender Text wurde eingegeben:
zjswkgy@meine-domain.de

Kann mir jemand weiterhelfen und/oder hat eine Idee?
Vielen Dank
Bruno

  1. Tag bruno.

    immer häufiger füllt wer bei bei mir einfache Kontaktformulare, deren Daten mit PHP ausgelesen werden, aus. Muss ich mir irgendwelche Sorgen machen, oder ist da einfach nur rumgespielt worden?

    Vermutlich sucht jemand nach einem Sicherheitsloch in deinem Formmailer, damit er ihn als Spamversender nutzen kann. Oder es ist irgendein Spaßvogel, der Langeweile hat. Oder dein PHP-Script spielt dir einen Streich.

    Siechfred

    1. Hallo Siegfriech, das ging ja flott

      Vermutlich sucht jemand nach einem Sicherheitsloch in deinem Formmailer, damit er ihn als Spamversender nutzen kann. Oder es ist irgendein Spaßvogel, der Langeweile hat. Oder dein PHP-Script spielt dir einen Streich.

      »»
      Dass das möglicherweise ein Spamversender ist, war auch meine Befürchtung, werde mich wohl demnächst nochmal eingehender mit möglichen Sicherheitslöchern beschäftigen müssen
      Ich danke Dir
      Bruno

  2. Nun, was die Benutzer deiner Seite dir hier zeigen ist, dass das Skript, das du verwendest die Eingaben des Benutzers nicht verifiziert. So könnte man z.B. eine Telefonnummer schon im Vorhinein auf "nur Ziffern" oder "-,/.." abprüfen. Sofern keine wichtigen Daten mit diesem Skript gesammelt werden brauchst du dich außer über die vielen unnützen Mails denke ich nicht ärgern.

    Blöd wird es nur, wenn da einer herausfindet, dass du keinen Massenschutz in irgendeiner Weise nutzt und spaßeshalber dir 10 / 100 / 1000... Mails automatisch schickt ;-)

    1. Nun, was die Benutzer deiner Seite dir hier zeigen ist, dass das Skript, das du verwendest die Eingaben des Benutzers nicht verifiziert. So könnte man z.B. eine Telefonnummer schon im Vorhinein auf "nur Ziffern" oder "-,/.." abprüfen.

      Das wollte ich eigentlich vermeiden, da es viele Varianten der Eingabe von Telefonnummern gibt.
      Ich lasse halt bisher nur das überprüfen, was ich wichtig fand: Pausible E-Mail und Eingaben in mir wichtige Felder.

      Sofern keine wichtigen Daten mit diesem Skript gesammelt werden ...

      ist nicht der Fall

      Blöd wird es nur, wenn da einer herausfindet, dass du keinen Massenschutz in irgendeiner Weise nutzt und spaßeshalber dir 10 / 100 / 1000... Mails automatisch schickt ;-)

      10 sind es schon, was ist ein Massenschutz, und wie kann ich den realisieren?
      Danke Dir
      Bruno

      1. Nun, schlimm wird es ja erst dann, wenn ein Skript diese Forumlare ausfüllt und dich so zumüllt. Das kannst du z.B. so verhindern:

        http://www.second-home.org

        Da siehst du am Anfang einen "Logincode". Der wird generiert und kann von einem Skript nicht gelesen werden, da es eine Grafik ist.

        Eine weitere möglichkeit wäre, dass du deiner Form eine ID mitgibst (z.B. eine Session-ID in irgendeiner veränderten Form) und so die Form an sich einzigartig machst.

        Dabei musst du aber immer Aufwand und Nutzen gegenüberstellen. Wenn du die Seite nicht auf 100 Eintragungen am Tag auslegen willst würde ich die 10 Spaßvögel löschen und vorerst den Mailserver im Auge behalten, dass da keiner Unfug macht.

      2. Hallo

        Nun, was die Benutzer deiner Seite dir hier zeigen ist, dass das Skript, das du verwendest die Eingaben des Benutzers nicht verifiziert. So könnte man z.B. eine Telefonnummer schon im Vorhinein auf "nur Ziffern" oder "-,/.." abprüfen.

        Das wollte ich eigentlich vermeiden, da es viele Varianten der Eingabe von Telefonnummern gibt.

        Was gibt es denn da für "viele" Varianten?

        • die Ziffern
        • das Plus für Auslandsvorwahl
        • Leerzeichen, Binde- und Schrägstrich (Slash) zur Trennung von Vorwahl und Nummer
        • bei Auslandsvorwahl die Klammern zur Voranstellung der ersten Null der Ortsvorwahl
        • Leerzeichen zur optischen Gruppierung der Telefonnummer

        Das fällt mir auf die Schnelle ein. Wenn man dabei die Stellung der einzelnen Zeichen ignoriert, also nur auf die Möglichkeit des Vorkommens dieser Zeichen prüft, sollte ein regulärer Ausdruck zur Prüfung recht einfach aufzubauen sein.

        Tschö, Auge

        --
        Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
        (Victor Hugo)
        Veranstaltungsdatenbank Vdb 0.1
        1. Hi Auge,

          Was gibt es denn da für "viele" Varianten?

          • die Ziffern
          • das Plus für Auslandsvorwahl
          • Leerzeichen, Binde- und Schrägstrich (Slash) zur Trennung von Vorwahl und Nummer
          • bei Auslandsvorwahl die Klammern zur Voranstellung der ersten Null der Ortsvorwahl
          • Leerzeichen zur optischen Gruppierung der Telefonnummer

          Wenn ich es richtig gesehen habe, hat der Spammer eine E-Mail Adresse bei der Telefonnummer reingeschrieben - um dies zu verhindern würde es doch auch reichen, einfach auf ein nicht-vorkommen des Zeichens @ bzw. der Zeichen @, " und = zu prüfen - bei so einer Prüfung wäre der Spammer mit dem was er reingeschrieben hat nicht mehr weiter gekommen.

          MfG, Dennis.

          --
          Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:| mo:} zu:|
          Wer die FAQ gelesen hat, ist klüger! ... und weiß wie man Links macht ;-)
          1. Wenn ich es richtig gesehen habe, hat der Spammer eine E-Mail Adresse bei der Telefonnummer reingeschrieben - um dies zu verhindern würde es doch auch reichen, einfach auf ein nicht-vorkommen des Zeichens @ bzw. der Zeichen @, " und = zu prüfen - bei so einer Prüfung wäre der Spammer mit dem was er reingeschrieben hat nicht mehr weiter gekommen.

            Naja, was im Prinzip kann er doch in die Tel. Nummer reinschreiben was er mag, nur weil da eine eMail Adresse steht wird deshalb doch keine Mail verschickt.

            Die einzigen Felder auf die es ankommt, sind die die für den Mailheader zuständig sind, also z.b. eine Mailadresse oder das Subjekt, die sollten sehr gründlich gefiltert werden.

            Struppi.

            1. Hi Struppi,

              Die einzigen Felder auf die es ankommt, sind die die für den Mailheader zuständig sind, also z.b. eine Mailadresse oder das Subjekt, die sollten sehr gründlich gefiltert werden.

              Sehe ich das richtig, dass dann der Text im Mailbody unproblematisch ist? Ein paar der dafür zuständigen Felder gehen noch ungeprüft durch.

              Die Mailadresse wird gründlich geprüft und das Subject wird nicht über das Formular erstellt.
              Für die Tel.Nr. bin ich dabei einen regulären Ausdruck zu schreiben, aber das könnte ich mir dann ja sparen, denn die geht in den Mailbody.

              --
              vielen Dank
              bruno
              1. Sehe ich das richtig, dass dann der Text im Mailbody unproblematisch ist? Ein paar der dafür zuständigen Felder gehen noch ungeprüft durch.

                Ich wüßte nicht, wie man eine Mail mit Hilfe des Textkörpers manipuilieren sollte.

                Für die Tel.Nr. bin ich dabei einen regulären Ausdruck zu schreiben, aber das könnte ich mir dann ja sparen, denn die geht in den Mailbody.

                Wie gesagt, was soll denn passieren wenn jemand eine Mailadresse in ein x-beliebiges Formularfeld, das nicht für den Header zuständig ist, einträgt?

                Struppi.

                1. Wie gesagt, was soll denn passieren wenn jemand eine Mailadresse in ein x-beliebiges Formularfeld, das nicht für den Header zuständig ist, einträgt?

                  Klingt plausibel, aber es war ne kleine Übung mal den Ausdruck hierfür zu formulieren: [^0-9 -/+()] und der wird jetzt auch genutzt ;-)
                  Bruno

                  1. Hallo

                    ... aber es war ne kleine Übung mal den Ausdruck hierfür zu formulieren: [^0-9 -/+()] und der wird jetzt auch genutzt ;-)

                    Solch eine Prüfung hat auch den Vorteil, dass dort, wo du eine Telefonnummer erwartest (kann ja durchaus wichtig sein) auch nur eine Telefonnummer[1] eigegeben werden kann.

                    [1] Zumindest eine Zeichenfolge, die eine Telefonnummer sein kann. Ob es die dann wirklich gibt oder die erlaubten Zeichen in einer, für diesen Zweck, sinnlosen Reihenfolge eingegeben wurden, steht auf einem anderen Blatt.

                    Tschö, Auge

                    --
                    Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
                    (Victor Hugo)
                    Veranstaltungsdatenbank Vdb 0.1
                    1. Hallo.

                      Solch eine Prüfung hat auch den Vorteil, dass dort, wo du eine Telefonnummer erwartest (kann ja durchaus wichtig sein) auch nur eine Telefonnummer[1] eigegeben werden kann.

                      Und den großen Nachteil, dass "(privat)", "(nur nachmittags)" etc. angeblich nicht korrekt sind.
                      MfG, at

                      1. Hallo

                        Solch eine Prüfung hat auch den Vorteil, dass dort, wo du eine Telefonnummer erwartest (kann ja durchaus wichtig sein) auch nur eine Telefonnummer[1] eigegeben werden kann.

                        Und den großen Nachteil, dass "(privat)", "(nur nachmittags)" etc. angeblich nicht korrekt sind.

                        Wenn du die Telefonnummern mit Buchstaben (wie Al Bundys 0500 SHOE) meinst (sind das Telefonbuchstaben oder Telefonworte?) hast du natürlich recht. Andererseits sind solche Nummern nur "Übersetzungen" einer rein numerischen Anschlusskennung.
                        Aber die sind in Deutschland so unüblich, dass ich keinen Gedanken daran verschenkt habe.

                        Wenn es sich bei den Angaben in deinem Einwurf um zusätzliche Angaben (Notizen) handelt, so haben sie dort (im Formularfeld für die Telefonnummer) sowieso nichts zu suchen, sind also tatsächlich nicht korrekt. Dafür sollte ein Extrafeld da sein.
                        Zumindest habe _ich_ noch kein Formular auf einer Website gesehen, das Notizen in einem solchen Feld zulassen würde.

                        Tschö, Auge

                        --
                        Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
                        (Victor Hugo)
                        Veranstaltungsdatenbank Vdb 0.1
                        1. Hallo.

                          Wenn du die Telefonnummern mit Buchstaben (wie Al Bundys 0500 SHOE) meinst (sind das Telefonbuchstaben oder Telefonworte?) hast du natürlich recht.

                          Man spricht hier von sogenannten "Vanity-Rufnummern".

                          Wenn es sich bei den Angaben in deinem Einwurf um zusätzliche Angaben (Notizen) handelt, so haben sie dort (im Formularfeld für die Telefonnummer) sowieso nichts zu suchen, sind also tatsächlich nicht korrekt. Dafür sollte ein Extrafeld da sein.

                          Zum einen gibt es das fast nie, zum anderen: Was soll diese künstliche Einschränkung? Wenn der Nutzer die Information für relevant hält, hat er immer Recht.

                          Zumindest habe _ich_ noch kein Formular auf einer Website gesehen, das Notizen in einem solchen Feld zulassen würde.

                          Dann solltest du deinen virtuellen Horizont dringend erweitern. Aber ich bevorzuge im Normalfall ohnehin Formulare, die über lediglich ein großes Textfeld verfügen, in das man genau das schreiben kann, was man möchte. Wenn ich ein Verhör will, kann ich schließlich auch zur Polizei gehen.
                          MfG, at

        2. Ahoi Auge,

          Das fällt mir auf die Schnelle ein. Wenn man dabei die Stellung der einzelnen Zeichen ignoriert, also nur auf die Möglichkeit des Vorkommens dieser Zeichen prüft, sollte ein regulärer Ausdruck zur Prüfung recht einfach aufzubauen sein.

          ich habs nicht so mit regulären ausdrücken, wenn man aber bei der
          eingabe für die telefonnummer per str_replace alle (, ), +, /, -
          herauslöscht, sowie alle Leerzeichen braucht man nurnoch auf
          is_nummeric zu prüfen. so würde ich es zumindest tun da ich momentan
          zumindest keine zeit habe mich mit regulären ausdrücken zu
          beschäftigen, eine andere möglichkeit wäre aber auch die eingabe
          zeichenweise zu spliten, sprich ein array zu erstellen. zuvor macht
          man ein array
          $valide_zeichen[] = "(";
          $valide_zeichen[] = ")";
          $valide_zeichen[] = "0";
          $valide_zeichen[] = "1";
          ...
          dann ein array_diff und wenn das resultierend array noch ein oder
          mehrere ellemente hat sind unzuläsige zeichen, z.B. Buchstaben darin
          enthalten.

          MfG

          --
          Alle Angaben wie immer ohne Gewähr
        3. Hallo Auge

          ... sollte ein regulärer Ausdruck zur Prüfung recht einfach aufzubauen sein.

          Einfach nicht für mich, aber Du hast recht, werde mal einen bauen, es lohnt sich ja, da wiederverwendbar und übt.
          Danke

  3. Hallo Bruno,

    immer häufiger füllt wer bei bei mir einfache Kontaktformulare, deren Daten mit PHP ausgelesen werden, aus.
    Muss ich mir irgendwelche Sorgen machen, oder ist da einfach nur rumgespielt worden?
    [...]
    Kann mir jemand weiterhelfen und/oder hat eine Idee?

    Ich würde sagen, da versucht jemand dein Formular als Spamverteiler zu missbrauchen.

    Schöne Grüße,

    Johannes

    --
    ie:% fl:( br:< va:) ls:[ fo:) rl:) n4:& ss:| de:] js:| ch:} sh:) mo:} zu:)
    1. Hallo Johannes.

      Ich würde sagen, da versucht jemand dein Formular als Spamverteiler zu missbrauchen.

      Dann tue dies doch.

      Einen schönen Dienstag noch.

      Gruß, Ashura

      --
      Selfcode: sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:) fl:( ss:) ls:[ js:|
      30 Days to becoming an Opera8 Lover -- Opera Mini on Treo
      Meine Browser: Opera 8.02 | Firefox 1.0.6 | Lynx 2.8.5 | Netscape 4.7 | IE 6.0
      [Deshalb frei! - Argumente pro freie Software]
      1. Hallo.

        Ich würde sagen, da versucht jemand dein Formular als Spamverteiler zu missbrauchen.

        Dann tue dies doch.

        Einen schönen Dienstag noch.

        Weshalb eigentlich nur einen?
        MfG, at

        1. Hallo at.

          Einen schönen Dienstag noch.

          Weshalb eigentlich nur einen?

          Gerechte[tm] Verteilung.

          Einen schönen Sonntag noch.

          Gruß, Ashura

          --
          Selfcode: sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:) fl:( ss:) ls:[ js:|
          30 Days to becoming an Opera8 Lover -- Opera Mini on Treo
          Meine Browser: Opera 8.02 | Firefox 1.0.6 | Lynx 2.8.5 | Netscape 4.7 | IE 6.0
          [Deshalb frei! - Argumente pro freie Software]
          1. Hallo.

            Einen schönen Dienstag noch.

            Weshalb eigentlich nur einen?

            Gerechte[tm] Verteilung.

            War das nicht "Jedem das meiste!"?

            Einen schönen Sonntag noch.

            Ich werde ihn mir gut einteilen. Vielleicht habe ich dann in der nächsten Woche noch etwas davon.
            MfG, at

    2. Moin!

      Ich würde sagen, da versucht jemand dein Formular als Spamverteiler zu missbrauchen.

      Er versucht zu testen, ob dies möglich ist. Die o.g. Mailadresse bei AOL ist dafür bekannt, ich hatte auch schon derlei Angriffe.

      MFFG (Mit freundlich- friedfertigem Grinsen)

      fastix®

      --
      Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
  4. Moin.

    Ich würde auch davon ausgehen, daß da jemand Dein Script als Spamrelay nutzen will.

    verwunderlich finde ich die 6 Zeilen unter "Welche Anliegen", da liest mein Script eigentlich Checkboxen aus

    Die Daten kommen nicht aus Deinem Formular, da übergibt ein anderes Script an Deins einfach die Daten. Das ist ganz einfach, man muß sich nur den Quellcode Deiner Seite ansehen, um die Feldnamen zu bekommen. Und dann wird ein Request zusammengebaut und an Dein Script, steht ja im <form action=...>, gesendet.

    Kannst Du einfach ausprobieren: Tippe im Browser die URL des Scripts ein und hänge hinten dran die Felder mit den Werten:

    http://www.blabla.de/mail.php?Name=Hans&Firma=Wurts&Telefonnummer=123456789 u.s.w.

    und unter Telefonnummer das "bcc: bergkoch8@aol.com":

    Offensichtlich versucht der Bösewicht hier einen zusätzlichen Mailheadereintrag zu machen. Er wird wohl eine Mail an diese Adresse erwarten, wenn sein "Angriff" erfolgreich war.

    So lange Du in Deinem Script verhinderst, daß jemand den Mailheader verändern kann, brauchst Du Dir eingentlich keine Sorgen machen, der Angreifer wird dann schnell merken, daß mit Deinem Script nix anzufangen ist.

    Gruß Frank

    1. Ahoi agapanthus,

      http://www.blabla.de/mail.php?Name=Hans&Firma=Wurts&Telefonnummer=123456789 u.s.w.

      das funktioniert allerdings nur wenn er per $_GET oder $_REQUEST arbeitet, bei post nicht.

      MfG

      --
      Alle Angaben wie immer ohne Gewähr
    2. Hallo agapanthus.

      Ich würde auch davon ausgehen, daß da jemand Dein Script als Spamrelay nutzen will.

      Ein Déjà-vu...

      Einen schönen Dienstag noch.

      Gruß, Ashura

      --
      Selfcode: sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:) fl:( ss:) ls:[ js:|
      30 Days to becoming an Opera8 Lover -- Opera Mini on Treo
      Meine Browser: Opera 8.02 | Firefox 1.0.6 | Lynx 2.8.5 | Netscape 4.7 | IE 6.0
      [Deshalb frei! - Argumente pro freie Software]
    3. Kannst Du einfach ausprobieren: Tippe im Browser die URL des Scripts ein und hänge hinten dran die Felder mit den Werten:
      http://www.blabla.de/mail.php?Name=Hans&Firma=Wurts&Telefonnummer=123456789 u.s.w.

      ich arbeite nur mit method="post", ich dachte ich hätte dann diese Probleme nicht?

      So lange Du in Deinem Script verhinderst, daß jemand den Mailheader verändern kann ...

      Du kannst Dir schon denken, dass ich jetzt frage wie das geht ;-)?
      Im PHP-Script definiere ich eine Variable für den Mail-Header, die nicht so einfach ausgelesen werden kann (register_globals=off), reicht das?

      bruno

      1. Hej!

        ich arbeite nur mit method="post", ich dachte ich hätte dann diese Probleme nicht?

        Naja, der Hacker/Spammer oder was auch immer kann seinen Kram ja auch per "post" an Deine Seite schicken. Nur von Hand in die Adreßleiste eingeben geht dann nicht mehr.

        Viele Grüße vom Længlich

  5. Moin!

    bcc: bergkoch8@aol.com

    Da isser. Ist ein Dummspammer.

    MFFG (Mit freundlich- friedfertigem Grinsen)

    fastix®

    --
    Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
    1. bcc: bergkoch8@aol.com

      Da isser. Ist ein Dummspammer.

      Bist du sicher?

      Ich hatte nämlich die gleichen Versuche, aber mit einem anderen Account bei AOL.

      Struppi.

      1. Ahoi Struppi,

        bcc: bergkoch8@aol.com

        Da isser. Ist ein Dummspammer.

        Bist du sicher?

        Ich hatte nämlich die gleichen Versuche, aber mit einem anderen Account bei AOL.

        schickt doch mal eine freundlich email an diese addressen.

        MfG

        --
        Alle Angaben wie immer ohne Gewähr
        1. schickt doch mal eine freundlich email an diese addressen.

          Hab ich gemacht, freundlich aber bestimmt. Wenn wider Erwarten eine Reaktion kommt, berichte ich.
          bruno

          1. Moin!

            Hab ich gemacht, freundlich aber bestimmt. Wenn wider Erwarten eine Reaktion kommt, berichte ich.

            Na fein. Jetzt hast Du Deine Adresse bei Spamer, Drecksack & Co. eingeliefert.

            Die einzig richtige Adresse wäre abuse@aol.com gewesen.

            MFFG (Mit freundlich- friedfertigem Grinsen)

            fastix®

            --
            Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
            1. Moin!

              Hab ich gemacht, freundlich aber bestimmt. Wenn wider Erwarten eine Reaktion kommt, berichte ich.
              Na fein. Jetzt hast Du Deine Adresse bei Spamer, Drecksack & Co. eingeliefert.

              Hatte mich auch interessiert und hatte deshalb nur dafür eine Adresse eingerichtet, bisher keine Antwort, aber auch keine Mails vom Drecksack ;-)

              Die einzig richtige Adresse wäre abuse@aol.com gewesen.

              ok
              mfg
              bruno

      2. Moin!

        bcc: bergkoch8@aol.com
        Da isser. Ist ein Dummspammer.
        Bist du sicher?
        Ich hatte nämlich die gleichen Versuche, aber mit einem anderen Account bei AOL.

        jrubin3546@aol.com ?

        Wenns ein anderer war hätt ich die Adresse zu gern. ich möchte dann gleich blocken.

        THX!

        MFFG (Mit freundlich- friedfertigem Grinsen)

        fastix®

        --
        Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
        1. jrubin3546@aol.com ?

          Ja.

          Struppi.

          1. Moin!

            jrubin3546@aol.com ?

            Ja.

            Frisch von heute: jrubin3456@aol.com

            Ich werde wohl jrubin und den bergkoch mittels regex filtern müssen.

            MFFG (Mit freundlich- friedfertigem Grinsen)

            fastix®

            --
            Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
        2. Hi,

          jrubin3546@aol.com ?

          Der hat es auf meinen Seiten heute nacht 11 mal versucht.

          Viele Grüße

          Jörg

          1. Moin!

            Hi,

            jrubin3546@aol.com ?

            Der hat es auf meinen Seiten heute nacht 11 mal versucht.

            PHP? Dann gehts da weiter:

            https://forum.selfhtml.org/?t=114316&m=732638

            Viele Grüße

            Jörg

            Oh Gott! Noch ein Ossi um die 40?

            MFFG (Mit freundlich- friedfertigem Grinsen)

            fastix®

            --
            Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
            1. Hi Namensvetter,

              PHP? Dann gehts da weiter:

              https://forum.selfhtml.org/?t=114316&m=732638

              danke für den Hinweis.

              Oh Gott! Noch ein Ossi um die 40?

              Ja, man wird alt ... ;-)

              Viele Grüße

              Jörg

  6. Moin!

    Der Spammer trägt eMailadressen in praktisch jedes Formularfeld ein und versucht es so zu versenden.

    Ferner versucht er in den Formularelementen mehrzeilige Einträge unterzubringen um einen "Header" zu konstrieren. Der folgende Teil des Skriptes prüft die beiden Methoden jetzt bei mir ab und  schickt den Spammer erst in eine Teergrube um ihn dann doch noch zu benachrichtigen und natürlich das Skript abzubrechen.

    Natürlich kann/muss das Skript angepasst werden, denkbar ist auch eine Schleife über alle gesendeten Formularelemente einzubauen.

      
    # Wieviele Formularelemente dürfen ein @ enthalten?  
    $intMaxElementsMitAet = 2;  
      
    $intAetInElement = 0;  
    $bolBrInLine = false;  
      
    if (strpos($_POST['nachricht'], '@'))    $intAetInElement++;  
      
    if (strpos($_POST['subject'], '@'))      $intAetInElement++;  
    if (strpos($_POST['subject'], "\n"))     $bolBrInLine=true;  
      
    if (strpos($_POST['telefon'], '@'))      $intAetInElement++;  
    if (strpos($_POST['telefon'], "\n"))     $bolBrInLine=true;  
      
    if (strpos($_POST['sendername'], '@'))   $intAetInElement++;  
    if (strpos($_POST['sendername'], "\n"))  $bolBrInLine=true;  
      
    if (strpos($_POST['unternehmen'], '@'))  $intAetInElement++;  
    if (strpos($_POST['unternehmen'], "\n")) $bolBrInLine=true;  
      
    if (strpos($_POST['position'], '@'))     $intAetInElement++;  
    if (strpos($_POST['position'], "\n"))    $bolBrInLine=true;  
      
    if (($intAetInElement > $intMaxElementsMitAet) || ($bolBrInLine)  {  
      $str=MD5($_SERVER['UNIQUE_ID'])."<br>Note: There is no way to use my skripts to send spam.";  
      for ($i=0; $i<strlen ($str); $i++) {  
        sleep (10);  
        echo $str{$i};  
      }  
      exit;  
    }  
    
    

    MFFG (Mit freundlich- friedfertigem Grinsen)

    fastix®

    --
    Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
    1. Hi,

      Der Spammer trägt eMailadressen in praktisch jedes Formularfeld ein und versucht es so zu versenden.

      Ja, und zwar die Absenderadresse. Deshalb lasse ich jetzt auch prüfen, ob meine Adresse irgendwo enthalten ist:

      if (strpos($_POST['Mail'], "excel-vba") > 0) {$Fehler .= "<li>An mich soll die Mail nicht geschickt werden.</li> ... usw, usf.

      Wieviele Formularelemente dürfen ein @ enthalten?

      $intMaxElementsMitAet = 2;

      $intAetInElement = 0;
      $bolBrInLine = false;

      if (strpos($_POST['nachricht'], '@'))    $intAetInElement++;

      if (strpos($_POST['subject'], '@'))      $intAetInElement++;
      if (strpos($_POST['subject'], "\n"))     $bolBrInLine=true;

      if (strpos($_POST['telefon'], '@'))      $intAetInElement++;
      if (strpos($_POST['telefon'], "\n"))     $bolBrInLine=true;

      if (strpos($_POST['sendername'], '@'))   $intAetInElement++;
      if (strpos($_POST['sendername'], "\n"))  $bolBrInLine=true;

      if (strpos($_POST['unternehmen'], '@'))  $intAetInElement++;
      if (strpos($_POST['unternehmen'], "\n")) $bolBrInLine=true;

      if (strpos($_POST['position'], '@'))     $intAetInElement++;
      if (strpos($_POST['position'], "\n"))    $bolBrInLine=true;

      if (($intAetInElement > $intMaxElementsMitAet) || ($bolBrInLine)  {
        $str=MD5($_SERVER['UNIQUE_ID'])."<br>Note: There is no way to use my skripts to send spam.";
        for ($i=0; $i<strlen ($str); $i++) {
          sleep (10);
          echo $str{$i};
        }
        exit;
      }

        
      Gute Idee, werde ich mir auch mal ansehen.  
        
      Ich lasse zusätzlich noch die Mailadresse (so weit möglich) auf Gültigkeit prüfen und habe noch eine Grafik mit Buchstaben/Zahlen eingeblendet, die in das nebenstehende Feld vor dem Versand eingetippt werden müssen.  
        
      Viele Grüße  
        
      Jörg
      
  7. Hi,

    seht Euch mal http://www.bcfrankfurt.de/disclaimer.php?action=results&poll_ident=1 und hier den Text rechts oben (Shoutbox) an. Kommt Euch das bekannt vor? Wie kommt das dahin?

    Viele Grüße

    Jörg

    1. Moin!

      seht Euch mal http://www.bcfrankfurt.de/disclaimer.php?action=results&poll_ident=1 und hier den Text rechts oben (Shoutbox) an. Kommt Euch das bekannt vor? Wie kommt das dahin?

      Das kann ich Dir sagen.
      Der Angreifer (und genau das ist ein Angriff ) macht das nicht manuell. Er sucht (mittels Suchmaschine?) nach Formularen und lässt diese durch ein Programm oder Skript abholen und parsen. Das Skript füllt das Formular mit den Mailadressen, bestehend aus zufälligem Localpart und Hostname sowie der Adresse jrubinxxx.aol.com. oder berg....@aol.com. Diese existiert....

      Auch enthalten: Eine ID für den Vorgang, ich nehme an, er speichert die Adresse des ausgefüllten Formulars in einer Datenbank (er benutzt Zombies, die Adressen wechseln ständig quer durch die ganze Welt, oft Brasilien und Polen (vermutlich gibts in diesen laändern viele ungepachte Windows-Rechner), aber vermutlich melden diese die Adresse und die ID an einen "Server".)

      Seine Zombies füllen also Formulare und irgendwann gelingt der Angriff: Er erhält ein eMail mit der ID des Angriffs und braucht also nur noch in der Datenbank nachschauen, wo das unsichere Formular denn sei und dann noch ein wenig testen und: Spam frei!- Der arme "Webmaster" bekommt Beschwerden und eine hübsche Rechnung für Traffic und Support. Da hilft auch kein Zertifikat...

      Beispiele für so angreifbare Skripte fanden (und finden sich sicher noch immer im Web (selbst auf selfhtml.org bis vor kurzem)- ich nehme an, er wird regelmäßig "geprüfte Webmaster" finden, die kurz danach "leidgeprüfte Webmaster" sind.

      Ach so: Wie kommt die Nachricht ins Gästebuch....

      <input size="10" maxlength="300" name="message" type="text">

      Seine 'message' ist natürlich länger als 300 Zeichen und enthält Zeilenumbrüche. Er hat aber auch das Formular nicht benutzt....

      MFFG (Mit freundlich- friedfertigem Grinsen)

      fastix®

      --
      Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
      1. Moin moin,

        und danke für die Erklärungen.

        Ich habe gestern mal noch etwas recherchiert - es sind unheimlich viele Seiten zu finden, die betroffen sind. Und das sind ja nur die, bei denen die Formularinhalte gespeichert werden, nicht die, bei denen nur Mails versendet werden.

        Der Angreifer (und genau das ist ein Angriff ) macht das nicht manuell. Er sucht (mittels Suchmaschine?) nach Formularen und lässt diese durch ein Programm oder Skript abholen und parsen. Das Skript füllt das Formular mit den Mailadressen, bestehend aus zufälligem Localpart und Hostname sowie der Adresse jrubinxxx.aol.com. oder berg....@aol.com. Diese existiert....

        Ja, das ist klar. Die Angriffe passieren ja innerhalb von wenigen Sekunden - manuell wäre das gar nicht machbar, vor allem auch, weil innerhalb von zwei oder drei Tagen so viele Formulare getestet wurden.

        Auch enthalten: Eine ID für den Vorgang, ich nehme an, er speichert die Adresse des ausgefüllten Formulars in einer Datenbank (er benutzt Zombies, die Adressen wechseln ständig quer durch die ganze Welt, oft Brasilien und Polen (vermutlich gibts in diesen laändern viele ungepachte Windows-Rechner), aber vermutlich melden diese die Adresse und die ID an einen "Server".)

        Das denke ich auch. Betroffen sind aber auch Seiten, die eigentlich rennomiert sein müßten, z. B. http://www.pcdirekt.de/praxis/home_computing/article20050812028.aspx

        Seine Zombies füllen also Formulare und irgendwann gelingt der Angriff: Er erhält ein eMail mit der ID des Angriffs und braucht also nur noch in der Datenbank nachschauen, wo das unsichere Formular denn sei und dann noch ein wenig testen und: Spam frei!- Der arme "Webmaster" bekommt Beschwerden und eine hübsche Rechnung für Traffic und Support. Da hilft auch kein Zertifikat...

        Dann mal herzliches Beileid ...

        Beispiele für so angreifbare Skripte fanden (und finden sich sicher noch immer im Web (selbst auf selfhtml.org bis vor kurzem)- ich nehme an, er wird regelmäßig "geprüfte Webmaster" finden, die kurz danach "leidgeprüfte Webmaster" sind.

        Naja, man lernt ja auch immer mehr dazu ...

        BTW: Mich hat vor einigen Tagen etwas stutzig gemacht. Ein Webprojekt, bei dem nach außen momentan nur ein paar Seiten zu sehen sind und das erst im Entstehen ist (die DB ist noch fast leer), wurde mit einem Downloadmanager heruntergeladen. Wozu macht man das? Sucht man im HTML-Quelltext nach Input-Namen um die dann z. B. per $_POST zu testen? Auf den Seiten befinden sich mehrere Formulare ...

        Viele Grüße

        Jörg

        1. Moin!

          BTW: Mich hat vor einigen Tagen etwas stutzig gemacht. Ein Webprojekt, bei dem nach außen momentan nur ein paar Seiten zu sehen sind und das erst im Entstehen ist (die DB ist noch fast leer), wurde mit einem Downloadmanager heruntergeladen. Wozu macht man das? Sucht man im HTML-Quelltext nach Input-Namen um die dann z. B. per $_POST zu testen? Auf den Seiten befinden sich mehrere Formulare ...

          Nun... neben den Forumularen sind ja auch schnöde Adressen interessant. Der Useragent ist übigens leicht zu ändern.

          MFFG (Mit freundlich- friedfertigem Grinsen)

          fastix®

          --
          Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
          1. Moin moin,

            Der Useragent ist übigens leicht zu ändern.

            Das kann man sehr gut einsetzen, wenn man selbst Statistiken erstellt und die eigenen Afrufe nicht zählen möchte.

            Der Referer läßt sich auch spoofen ...

            Schönes WE

            Jörg