Wird mein Kontaktformular gehackt?
Vinni Vega
bekommen. Ich glaube die eMails wurden über das Kontaktformular auf meiner
eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
Kontaktformular auf meiner Homepage zu hacken?
1. email
---
X-Gmail-Received: c03e7810e91853d47c5f58082920a5218c90f394
Delivered-To: v(...)h...@gmail.com
Received: by 10.48.142.6 with SMTP id p6cs19575nfd;
Sun, 11 Sep 2005 06:44:28 -0700 (PDT)
Received: by 10.54.5.41 with SMTP id 41mr1796024wre;
Sun, 11 Sep 2005 06:44:28 -0700 (PDT)
Return-Path: <wwwrun@h(...)p.de>
Received: from dd7622.kasserver.com (dd7622.kasserver.com [83.133.50.27])
by mx.gmail.com with ESMTP id 9si452410wrl.2005.09.11.06.44.27;
Sun, 11 Sep 2005 06:44:28 -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.133.50.27 is neither permitted nor
denied by best guess record for domain of wwwrun@h(...)p.de)
Received: by dd7622.kasserver.com (Postfix, from userid 30)
id 64DDC13A1E; Sun, 11 Sep 2005 15:44:24 +0200 (CEST)
To: service@h(...)p.de
Subject: vsyip@h(...)p.de Content-Type: multipart/mixed;
boundary="===============0813174470==" MIME-Version: 1.0 Subject: d1fb9c17
To: vsyip@h(...)p.de bcc: jrubi...@aol.com From: vsyip@h(...)p.de This
is a multi-part message in MIME format. --===============0813174470==
Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0
Content-Transfer-Encoding: 7bit zgsa --===============0813174470==--
From: <vsyip@h(...)p.de>
Message-Id: <200509111344...@dd7622.kasserver.com>
Date: Sun, 11 Sep 2005 15:44:24 +0200 (CEST)
vsyip@h(...)p.de
2. email
---
X-Gmail-Received: f17060e9785aa373dbcd72f289ace29d4f8ec344
Delivered-To: v(...)h...@gmail.com
Received: by 10.48.142.6 with SMTP id p6cs19576nfd;
Sun, 11 Sep 2005 06:44:30 -0700 (PDT)
Received: by 10.54.25.77 with SMTP id 77mr1821543wry;
Sun, 11 Sep 2005 06:44:30 -0700 (PDT)
Return-Path: <wwwrun@h(...)p.de>
Received: from dd7622.kasserver.com (dd7622.kasserver.com [83.133.50.27])
by mx.gmail.com with ESMTP id 11si580721wrl.2005.09.11.06.44.27;
Sun, 11 Sep 2005 06:44:30 -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.133.50.27 is neither permitted nor
denied by best guess record for domain of wwwrun@h(...)p.de)
Received: by dd7622.kasserver.com (Postfix, from userid 30)
id D232E13A1D; Sun, 11 Sep 2005 15:44:17 +0200 (CEST)
To: service@h(...)p.de
Subject: dyqulgvmrd@h(...)p.de
Content-Type: multipart/mixed; boundary="===============2109753417=="
MIME-Version: 1.0
Subject: 7f55354e
To: dyqulgvmrd@h(...)p.de
From: dyqulgvmrd@h(...)p.de
Message-Id: <200509111344...@dd7622.kasserver.com>
Date: Sun, 11 Sep 2005 15:44:17 +0200 (CEST)
This is a multi-part message in MIME format.
--===============2109753417==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
gelgkwc
--===============2109753417==--
>
From: <dyqulgvmrd@h(...)p.de
Content-Type: multipart/mixed; boundary="===============2109753417=="
MIME-Version: 1.0
Subject: 7f55354e
To: dyqulgvmrd@h(...)p.de
bcc: jrubi...@aol.com
From: dyqulgvmrd@h(...)p.de
This is a multi-part message in MIME format.
--===============2109753417==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
gelgkwc
--===============2109753417==--
>
dyqulgvmrd@h(...)p.de
3. email
---
X-Gmail-Received: 01fc29fc5bcab269252aa06c48d9dcceb0ca6577
Delivered-To: v(...)h...@gmail.com
Received: by 10.48.142.6 with SMTP id p6cs19578nfd;
Sun, 11 Sep 2005 06:44:34 -0700 (PDT)
Received: by 10.54.56.33 with SMTP id e33mr1829745wra;
Sun, 11 Sep 2005 06:44:33 -0700 (PDT)
Return-Path: <wwwrun@h(...)p.de>
Received: from dd7622.kasserver.com (dd7622.kasserver.com [83.133.50.27])
by mx.gmail.com with ESMTP id 13si1835570wrl.2005.09.11.06.44.31;
Sun, 11 Sep 2005 06:44:33 -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.133.50.27 is neither permitted nor
denied by best guess record for domain of wwwrun@h(...)p.de)
Received: by dd7622.kasserver.com (Postfix, from userid 30)
id CAE7613A1E; Sun, 11 Sep 2005 15:44:30 +0200 (CEST)
To: service@h(...)p.de
Subject: bdae@h(...)p.de
From: <bdae@h(...)p.de>
Message-Id: <200509111344...@dd7622.kasserver.com>
Date: Sun, 11 Sep 2005 15:44:30 +0200 (CEST)
bdae@h(...)p.de
4. email
---
X-Gmail-Received: cbd49fbf9f41750b93444c9a0b49f035fd09a1d7
Delivered-To: v(...)h...@gmail.com
Received: by 10.48.142.6 with SMTP id p6cs19579nfd;
Sun, 11 Sep 2005 06:44:41 -0700 (PDT)
Received: by 10.54.119.18 with SMTP id r18mr1838919wrc;
Sun, 11 Sep 2005 06:44:39 -0700 (PDT)
Return-Path: <wwwrun@h(...)p.de>
Received: from dd7622.kasserver.com (dd7622.kasserver.com [83.133.50.27])
by mx.gmail.com with ESMTP id 15si8441wrl.2005.09.11.06.44.38;
Sun, 11 Sep 2005 06:44:38 -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.133.50.27 is neither permitted nor
denied by best guess record for domain of wwwrun@h(...)p.de)
Received: by dd7622.kasserver.com (Postfix, from userid 30)
id A5DFE13A12; Sun, 11 Sep 2005 15:44:37 +0200 (CEST)
To: service@h(...)p.de
Subject: kqrx@h(...)p.de
From: <kqrx@h(...)p.de>
Message-Id: <200509111344...@dd7622.kasserver.com>
Date: Sun, 11 Sep 2005 15:44:37 +0200 (CEST)
kqrx@h(...)p.de
Content-Type: multipart/mixed; boundary="===============0708170897=="
MIME-Version: 1.0
Subject: c0ea94ab
To: kqrx@h(...)p.de
bcc: jrubi...@aol.com
From: kqrx@h(...)p.de
This is a multi-part message in MIME format.
--===============0708170897==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
sesbniznhd
--===============0708170897==--
Freddy Leitner
> Ich habe jetzt schon zum dritten Mal 4 eMails mit ähnlichem Inhalt (s. u.)
> bekommen. Ich glaube die eMails wurden über das Kontaktformular auf meiner
> eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
> Kontaktformular auf meiner Homepage zu hacken?
Ja. Er versucht, mehrzeilige Werte im POST-Request zu übergeben und
hofft, dass dein Kontaktformular diese ungeprüft in die Mail
übernimmt. Dass man das nicht macht und wie man das verhindert, sollte
jedem klar sein, der Mechanismen für Kontaktformulare ins Netz stellt.
- Freddy,
hiermit das erste und letzte Mal an "Vinni Vega" antwortend.
--
Respond with patience. Agree to differ.
Dirk Haun
> Ich habe jetzt schon zum dritten Mal 4 eMails mit ähnlichem Inhalt (s. u.)
> bekommen. Ich glaube die eMails wurden über das Kontaktformular auf meiner
> eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
> Kontaktformular auf meiner Homepage zu hacken?
Ja.
Der Kollege geht wohl schon seit einiger Zeit um. Siehe z.B. auch
<news:dfu00s$1hcu$1...@ulysses.news.tiscali.de>.
Bei mehreren von mir betreuten Websites versucht er z.B. auch, das
Login-Formular auszunutzen, z.B. so:
Fri Sep 9 17:41:04 2005 - Error, invalid username: 'tkfxlgzwz AT
geeklog.net
Content-Type: multipart/mixed'
(Leicht bearbeitet - da steht natürlich ein echtes @-Zeichen. Und nach
.net kam ein Zeilenvorschub.)
Der passende Logfile-Eintrag ist:
69.26.220.15 - - [09/Sep/2005:17:41:04 -0400] "POST /users.php HTTP/1.1"
200 15606 "http://www.geeklog.net/" "-"
Allerdings sehe ich den Kollegen auch auf anderen Sites von anderen
IP-Adressen aus kommen.
Abhilfe: Wohl keine. Formulare ordentlich programmieren.
bye, Dirk
Dieter Bruegmann
> "Vinni Vega" schrieb:
>
>> Ich habe jetzt schon zum dritten Mal 4 eMails mit ähnlichem Inhalt (s. u.)
>> bekommen. Ich glaube die eMails wurden über das Kontaktformular auf meiner
>> eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
>> Kontaktformular auf meiner Homepage zu hacken?
>
> Ja. Er versucht, mehrzeilige Werte im POST-Request zu übergeben und
> hofft, dass dein Kontaktformular diese ungeprüft in die Mail
> übernimmt. Dass man das nicht macht und wie man das verhindert, sollte
> jedem klar sein, der Mechanismen für Kontaktformulare ins Netz stellt.
Mir geht's genauso, aber mein Kontaktformular prüft die übergebenen
Werte. Dennoch übermittelt es mir Mails wie diese:
,------------------------------------------------------------------------
| Return-path: <xx...@bruhaha.de>
| Delivery-date: Sun, 11 Sep 2005 13:54:21 +0200
| Received: by gonzo.webpack.hosteurope.de running Exim 4.51 using esmtp
| from mu.mc1.hosteurope.de ([80.237.128.243])
| id 1EEQPd-0000da-FT; Sun, 11 Sep 2005 13:54:21 +0200
| Received: by mu.mc1.hosteurope.de running Exim 4.51 using esmtp
| from gonzo.webpack.hosteurope.de ([217.115.142.69])
| id 1EEQPc-0000su-75
| for xxxxxx...@bruhaha.de; Sun, 11 Sep 2005 13:54:21 +0200
| Received: by gonzo.webpack.hosteurope.de running Exim 4.51 using local
| from nobody id 1EEQPc-0000dP-5R; Sun, 11 Sep 2005 13:54:20
| +0200
| To: xxxxxx...@bruhaha.de, zuuez...@bruhaha.de
| Subject:
| From: "zuuez...@bruhaha.de
| Content-Type: multipart/mixed;
| boundary=\"===============1689642953==\"
| MIME-Version: 1.0
| Subject: e4fb013a
| From: zuuez...@bruhaha.de
| Message-Id: <E1EEQPc-...@gonzo.webpack.hosteurope.de>
| Date: Sun, 11 Sep 2005 13:54:20 +0200
| X-HE-Spam-Level: /
| X-HE-Spam-Score: 0.9
| X-HE-Spam-Report: Content analysis details: (0.9 points)
| pts rule name description
| ---- ----------------------
| --------------------------------------------------
| 0.9 SARE_HTML_INV_CHARSET RAW: Illegal chracterset in message
| Envelope-to: xxxxxx...@bruhaha.de
| X-Hamster-Account-Reason: Matching lines in mailfilt.hst
| 23(blackwhite.txt): =add(user) from:
| {(bruhaha\.de|xxxxxx\.?xxxxxxxxx@(arcor\.de|gmx\.net))} # Selfcopy
| X-Hamster-To: account:user
| X-Hamster-Info: Score=0 UIDL=dg1cus.3vv0js1.1 Received=20050911135435
|
| --===============1689642953==
| Content-Type: text/plain; charset=\"us-ascii\"
| MIME-Version: 1.0
| Content-Transfer-Encoding: 7bit
|
| ayitj
| --===============1689642953==--
`------------------------------------------------------------------------
Woher kann dabei die zusätzliche To:-Adresse kommen?
Da Didi
--
Dieter Brügmann, Spandau (bei Berlin) http://www.bruhaha.de
Projekt Vera R. Schung: http://home.arcor.de/vrschung-online
Füttert die Mugus, bis sie platzen!
Bernd Hohmann
> Woher kann dabei die zusätzliche To:-Adresse kommen?
Steht bei Deinem Kontaktformular im <form ...> Teil die Empfängeradresse
bei Dir drin? Dann kann er das in der Form
"recipient=mail1,mail2,mail3..." senden.
Bernd
--
"Ja, alles meine Herren" sprach Fürst Lichnowsky. "Ooch det roochen?"
"Ja, auch das Rauchen." "Ooch im Tiergarten?" "Ja, auch im Tiergarten
darf geraucht werden, meine Herren." Und so endeten die Barrikadenkämpfe
des 18. März in Berlin
Chris Kronberg
> Vinni Vega <vinn...@arcor.de> wrote:
>
>> Ich habe jetzt schon zum dritten Mal 4 eMails mit ähnlichem Inhalt (s. u.)
>> bekommen. Ich glaube die eMails wurden über das Kontaktformular auf meiner
>> eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
>> Kontaktformular auf meiner Homepage zu hacken?
>
> Ja.
>
> Der Kollege geht wohl schon seit einiger Zeit um. Siehe z.B. auch
><news:dfu00s$1hcu$1...@ulysses.news.tiscali.de>.
Scheint so. Offenbar geht die Zahl der offenen formmailer endlich
so zurueck, dass die armen, armen Spammer sich tatsaechlich nach
anderen Scripten umgucken.
*snip*
> Allerdings sehe ich den Kollegen auch auf anderen Sites von anderen
> IP-Adressen aus kommen.
>
> Abhilfe: Wohl keine. Formulare ordentlich programmieren.
Definitiv. Ausserdem: Mitloggen und beim Provider verpetzen.
Mein "Freund" hat noch nicht mitbekommen, dass hinter dem Kontakt-
formular gar kein Mailer sitzt.
Da nicht jeder Kontaktversuch mit einer hinterlegten Nachricht
endet, war ich neugierig und seitdem wird etwas extensiver mit-
geloggt. Da finden sich dann solche Versuche:
#############
69.26.220.15 gave unusual lengthy address: lhoykfic AT xxxxxx.de
Content-Type: multipart/mixed; boundary="===============1704573824=="
MIME-Version: 1.0
Subject: 7cf7c6f3
To: lhoykfic AT xxxxxx.de
bcc: jrubin3546 AT aol.com
From: lhoykfic AT xxxxxx.de
This is a multi-part message in MIME format.
--===============1704573824==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
euggw
--===============1704573824==--
.
69.26.220.15 tried invalid recipient: .
#############
Ich gehe davon aus, das die BCC Adresse die Kontrolladresse ist,
ob das Script so tut, wie der Spammer moechte.
Cheers,
Chris.
Freddy Leitner
> Mir geht's genauso, aber mein Kontaktformular prüft die übergebenen
> Werte. Dennoch übermittelt es mir Mails wie diese:
Ich bin nun nicht die letzte Weisheit des Headerlesens, aber für mich
sieht das so aus, als ob ...
>| To: xxxxxx...@bruhaha.de, zuuez...@bruhaha.de
>| Subject:
>| From: "zuuez...@bruhaha.de
>| Content-Type: multipart/mixed;
>| boundary=\"===============1689642953==\"
>| MIME-Version: 1.0
>| Subject: e4fb013a
>| From: zuuez...@bruhaha.de
... er es durch deine Prüfungen hindurch geschafft hat, mehrzeiligen
Inhalt in eine Variable zu drücken, die in den From-Header eingesetzt
wird. Weiters würde ich vermuten, dass entweder der Mailserver oder
der Hamster durch die entsprechend unpassenden Headerzeilen danach
mächtig ins Straucheln und grade noch so eben nicht ins Stolpern
geraten ist.
- Freddy
Dirk Haun
> Scheint so. Offenbar geht die Zahl der offenen formmailer endlich
> so zurueck, dass die armen, armen Spammer sich tatsaechlich nach
> anderen Scripten umgucken.
Allerdings stellen sie sich dabei selten dämlich an. Das oben zitierte
Beispiel war ein Login-Formular - da wird überhaupt keine E-Mail
verschickt. Sie probieren offenbar einfach alle Formulare durch, die sie
finden.
bye, Dirk
--
http://spam.tinyweb.net/article.php/form-hacking-attempts
Dieter Bruegmann
> Abhilfe: Wohl keine. Formulare ordentlich programmieren.
Erstens: Was soll das in meinem Fall des Formulars für eine
Kurzmitteilung überhaupt bringen? Es wird ja nichtmal sinnvoller
Inhalt übermittelt.
Zweitens: Wie kann man ein Formular ordentlicher als für seine
speziellen Zweck programmieren?
Falls letzteres eine Anfängerfrage sein sollte, bitte ich um PM, um
hier nicht zu stören.
Juergen Kuehne
> bcc: jrubin3546 AT aol.com
Hast du jrubin3546 schonmal ergoogelt?
nur "auf deutsch"
Ergebnisse 1 - 30 von ungefähr 11.400 Seiten auf Deutsch für jrubin3546
Das sind sicher nicht alles "nur" Testseiten.
erster Treffer... schau dir hier den Quelltext an:
| Dies ist der Zwischenspeicher von G o o g l e für
| http://www.testticker.de/praxis/peripherie/article20050812027.aspx
| nach dem Stand vom 31. Aug. 2005
| Subject: ece9be1c
| To: vreldn -at- vnunet.de
| bcc: <b
style="color:black;background-color:#ffff66">jrubin3546</b>@aol.com
| From: vreldn -at- vnunet.de
oder aber einige Treffer weiter:
| Dies ist der Zwischenspeicher von G o o g l e für
| http://www.chiemgau.de/gaestebuch/content.htm
| nach dem Stand vom 30. Aug. 2005
einige Treffer weiter:
| Dies ist der Zwischenspeicher von G o o g l e für
| http://www.acc-weimar.de/gaestebuch/
| nach dem Stand vom 10. Sept. 2005
Dort kannst du dir auch die Browseranzeige anschauen ;-)
Und ne Menge weitere AOL-"Kontroll"-Adressen finden ;-/
Einige Treffer weiter mit eigentümlicher Impressum-Seite:
http://www.bcfrankfurt.de/impressum.php
nettes Gästebuch bei der AOK Baden-Wuerttemberg in Lahr
http://www.aok-inlinetour-bw.de/guestbook1.php
sollte erstmal reichen ;-)
Grüsse von
Jürgen
Dieter Bruegmann
>> | To: xxxxxx...@bruhaha.de, zuuez...@bruhaha.de
>> | Subject:
>> | From: "zuuez...@bruhaha.de
>> | Content-Type: multipart/mixed;
>> | boundary=\"===============1689642953==\"
>> | MIME-Version: 1.0
>> | Subject: e4fb013a
>> | From: zuuez...@bruhaha.de
>
> ... er es durch deine Prüfungen hindurch geschafft hat, mehrzeiligen
> Inhalt in eine Variable zu drücken, die in den From-Header eingesetzt
> wird. Weiters würde ich vermuten, dass entweder der Mailserver oder
> der Hamster durch die entsprechend unpassenden Headerzeilen danach
> mächtig ins Straucheln und grade noch so eben nicht ins Stolpern
> geraten ist.
Darüber muß ich erstmal meditieren. Ich habe heute auch meinen
Provider danach gefragt, erwarte aber heute keine Antwort mehr.
Mich quält letztlich aber nur eine Frage: Was soll der Blödsinn?
Dieter Bruegmann
>> Woher kann dabei die zusätzliche To:-Adresse kommen?
>
> Steht bei Deinem Kontaktformular im <form ...> Teil die Empfängeradresse
> bei Dir drin? Dann kann er das in der Form
> "recipient=mail1,mail2,mail3..." senden.
Nein, die steht allein im Script. Und an das kommt niemand ran.
Vor allem: Was sollte das?
Dirk Haun
> Erstens: Was soll das in meinem Fall des Formulars für eine
> Kurzmitteilung überhaupt bringen?
Wie nebenan schon geschrieben: Bei uns gerne auch das Login-Forumular.
Es wird offenbar ohne Sinn und Verstand jedes Formular bespammt. So nach
dem Motto: Eins wird schon passen.
Und wenn Dein Kontaktformular Dir eine E-Mail schickt und er es schafft,
da ein BCC: einzuschmuggeln hat er sein Ziel ja schon erreicht ...
> Zweitens: Wie kann man ein Formular ordentlicher als für seine
> speziellen Zweck programmieren?
Ich meinte, man soll eben seine Formulare ordentlich programmieren, so
dass man diesen Unfug dann ruhig ignorieren kann. Die üblichen, z.B. auf
php-faq.de aufgelisteten, Maßnahmen reichen da vollauf.
Wenn's gar zu schlimm wird, kann man sich ja vielleicht noch von den
diversen Lösungen gegen Kommentarspam auf Webseiten inspirieren lassen.
Rainer Zocholl
>Chris Kronberg <sm...@agleia.de> wrote:
>> Scheint so. Offenbar geht die Zahl der offenen formmailer endlich
>> so zurueck, dass die armen, armen Spammer sich tatsaechlich nach
>> anderen Scripten umgucken.
>Allerdings stellen sie sich dabei selten dämlich an. Das oben zitierte
>Beispiel war ein Login-Formular - da wird überhaupt keine E-Mail
>verschickt. Sie probieren offenbar einfach alle Formulare durch, die
>sie finden.
Was auf einen Bot hindeutet, der das automatisch macht.
Wann gibt es endlich den Straftatbestand "(versuchter) Spam versand"
mit min. 2 Jahren Mindest-Strafe?
Rainer
Hans-Martin Mosner
> Mich quält letztlich aber nur eine Frage: Was soll der Blödsinn?
From:-Adresse ungeprüft in den 4. Parameter der mail()-Funktion
übergibst, kann er damit wunderbar spammen. Das hatte ich Ende Juli auf
einem von mir mitbetreuten Rechner (genau dieser Spammer). Da war ich
gerade im Urlaub, sonst wäre es mir möglicherweise in den Mail-Logs als
Unstimmigkeit aufgefallen, bevor der Spamrun losging.
In nanae gibt's im Moment gerade auch eine Diskussion, es scheint, als
ob der Spammer im Moment auf vielen Servern nach offenen PHP-Scripten
scannt. AOL hat ihm offenbar auch schon bisherige Adressen gesperrt,
aber er scheint sich dann halt neue zu besorgen.
Tschüss,
Hans-Martin
Freddy Leitner
>> ... er es durch deine Prüfungen hindurch geschafft hat, mehrzeiligen
>> Inhalt in eine Variable zu drücken [...]
>
> Mich quält letztlich aber nur eine Frage: Was soll der Blödsinn?
Ganz einfach: Wenn der Angreifer es schafft, mehrzeilige Inhalte dort
reinzudrücken, wo sie nicht als Inhalt der Mail, sondern noch als
Headerzeilen interpretiert werden, kann er eigene Headerzeilen
einschleusen und mittels Leerzeile seinen eigenen Text in die Mail
einsetzen. Und damit kann er den Server zum Spamversand missbrauchen
-- hinter einem HTTP-Proxy (mehr braucht er zum Absetzen des
POST-Requests ja nicht) praktisch unauffindbar.
Die Chance, dass er das schafft, ist (leider) nicht besonders klein.
Auf die Gefahr von Injection Attacks und Gegenmaßnahmen hierzu wird
den Einsteiger-Anleitungen für Serverprogrammierung selten bis nie
hingewiesen.
Freddy Leitner
>> Scheint so. Offenbar geht die Zahl der offenen formmailer endlich
>> so zurueck, dass die armen, armen Spammer sich tatsaechlich nach
>> anderen Scripten umgucken.
>
> Allerdings stellen sie sich dabei selten dämlich an. Das oben zitierte
> Beispiel war ein Login-Formular - da wird überhaupt keine E-Mail
> verschickt.
Ich finde das Vorgehen alles andere als dämlich. Es ist sogar relativ
perfide. Indem der Angreifer alle möglichen Formulare durchprobiert,
findet er auch diejenigen, die nicht offensichtlich, sondern evtl. nur
zur Kontrolle Mails versenden -- und in denen die Programmierer
deswegen nicht an eine Überprüfung der Variablen gedacht haben.
Dieter Bruegmann
>> Erstens: Was soll das in meinem Fall des Formulars für eine
>> Kurzmitteilung überhaupt bringen?
>
> Wie nebenan schon geschrieben: Bei uns gerne auch das Login-Forumular.
> Es wird offenbar ohne Sinn und Verstand jedes Formular bespammt. So nach
> dem Motto: Eins wird schon passen.
>
> Und wenn Dein Kontaktformular Dir eine E-Mail schickt und er es schafft,
> da ein BCC: einzuschmuggeln hat er sein Ziel ja schon erreicht ...
Erstens ist es eine zweite To:-Adresse und zweitens kein Inhalt.
>> Zweitens: Wie kann man ein Formular ordentlicher als für seine
>> speziellen Zweck programmieren?
>
> Ich meinte, man soll eben seine Formulare ordentlich programmieren, so
> dass man diesen Unfug dann ruhig ignorieren kann. Die üblichen, z.B. auf
> php-faq.de aufgelisteten, Maßnahmen reichen da vollauf.
Vielleicht sollte ich mich allmählich mal begraben lassen.
Jens Mander
news:dg1or7.3...@boogie.bruhaha.de...
> .oO(Freddy Leitner / Sun, 11 Sep 2005 16:16:23 +0200)
>
>> "Vinni Vega" schrieb:
>>
>>> Ich habe jetzt schon zum dritten Mal 4 eMails mit ähnlichem Inhalt (s.
>>> u.)
>>> bekommen. Ich glaube die eMails wurden über das Kontaktformular auf
>>> meiner
>>> eigenen Homepage an mich geschickt. Versucht da evtl. jemand, das
>>> Kontaktformular auf meiner Homepage zu hacken?
>>
>> Ja. Er versucht, mehrzeilige Werte im POST-Request zu übergeben und
>> hofft, dass dein Kontaktformular diese ungeprüft in die Mail
>> übernimmt. Dass man das nicht macht und wie man das verhindert, sollte
>> jedem klar sein, der Mechanismen für Kontaktformulare ins Netz stellt.
>
> Mir geht's genauso, aber mein Kontaktformular prüft die übergebenen
> Werte. Dennoch übermittelt es mir Mails wie diese:
> Woher kann dabei die zusätzliche To:-Adresse kommen?
Skriptauszug wäre hilfreich.
Es dürften mehrere Zeilen injected worden sein, vermutlich alles bis
| MIME-Version: 1.0
da du mit deinem Formular wohl kein multipart/mixed generierst. Die Boundary
und weiter unten den Content-type hat wohl magic_quotes_gpc=on zerschossen.
Warum in deinem To:-Feld ganz am Anfang des Headers bereits etwas anderes
steht, obwohl du dieses Feld nicht dynamisch generierst: Hier fallen mir nur
zwei Alternativen ein
1) register_globals an und möglicherweise irgendein perfides Problem damit
2) wahrscheinlicher: dein MTA oder dein verwendeter MUA (in der
Headeransicht) fassen mehrere To:-Felder zu einem zusammen (macht der Nager
das?) und es tauchte ursprünglich einfach noch ein To:-Feld weiter unten
auf.
Was mich allerdings irritiert ist diese Zeile:
| From: "zuuez...@bruhaha.de
Ist das Gänsefüßchen so in der Mail vorhanden? Komisch, weil es
a) nicht escaped ist
und es
b) kein schließendes Gänsefüßchen gibt.
Hattest du noch mehr derartige Requests? Wenn ja, logge doch einfach mal den
Inhalt von $_POST mit.
Ohne Quellcodeauszug deines Skript kann man sonst nur noch weiter wild
rumraten ...
--
Frisbitarianism is the belief that when you die, your soul goes up to
the roof and gets stuck.
Andreas Labres
>> Und wenn Dein Kontaktformular Dir eine E-Mail schickt und er es schafft,
>> da ein BCC: einzuschmuggeln hat er sein Ziel ja schon erreicht ...
>
> Erstens ist es eine zweite To:-Adresse
Ja und? Das stört ihn ja nicht weiter, wenn Du sein "Werk" auch bekommst.
> und zweitens kein Inhalt.
Wenn er es mal schafft, Newlines in Deinen Header zu bringen, braucht er nur
eine Leerzeile zu machen und kann damit auch den Body angeben. Dazu noch ein
bissl MIME-Magie (die ja die Versuche eh schon zeigen) und fertig.
Dein restlicher Header + Body verschwinden dann im letzten MIME-Part,
wurscht...
Servus, Andreas
Dirk Haun
> Hast du jrubin3546 schonmal ergoogelt?
Passend dazu auch:
<http://lists.grok.org.uk/pipermail/full-disclosure/2005-September/03704
8.html>
Jörg Reinholz
von Mails dienen. Es sind fast alle Arten von Formularen und den
verarbeitenden Skripten betroffen. Die folgende Funktion mitsamst dem im
Kommentar aufgeführtem Aufruf sollte zumindest bei PHP-Skripten Abhilfe
schaffen, wenn Sie am Beginn der Verarbeitung/des Skriptes aufgerufen wird.
Es ist eine Art Nachrüstsatz :)
# Im Gedenken an jrubin3456
function jrubin3456($intMaxAllowed, $strFields) {
# Übergeben Sie dieser Funktion als Int wieviele Formularfelder ein
# '@' enthalten dürfen sowie als String eine Komma-separierte
# Liste aller Rückgaben von Formularfeldern, die einzeilig sein sollen.
# Die Funktion liefert ein true zurück, wenn in den Feldern
Zeilenumbrüche
# vorkommen oder die zulässige Anzahl der Felder mit einem '@'
überschritten wird
# Beispiel eines Aufrufs:
#
/*
if (jrubin3456(2, 'name,email,firma,position')) {
header("HTTP/1.0 403 Forbidden");
die("Spam attempt denied");
}
*/
if ((!isset($strFields)) || (trim($strFields)=='')) {
die ("Error in function jrubin3456: Es wurden keine Feldnamen
übergeben");
}
$arFields=explode(',', $strFields);
if ($intMaxAllowed > count($arFields)) {
die ("Error in function jrubin3456: Die Anzahl der erlaubten Felder mit
@ ist größer als die Anzahl der Felder.");
}
$intFoundAet=0;
foreach ($arFields as $strField) {
$strField = trim ($strField);
if (isset($_POST[$strField])) {
if ((strpos($_POST[$strField],"\n")) || (strpos($_POST[$strField],"\r")))
{
return true;
}
if (strpos($_POST[$strField],'@')) {
$intFoundAet++;
}
}
if (isset($_GET[$strField])) {
if ((strpos($_GET[$strField],"\n")) || (strpos($_GET[$strField],"\r"))) {
return true;
}
if (strpos($_GET[$strField],'@')) {
$intFoundAet++;
}
}
if ($intFoundAet > $intMaxAllowed)
return true;
}
}
Mit freundlichen Grüßen
Jörg Reinholz
http://www.it-schule.de/
Dieter Bruegmann
> O.K. Das Problem betrifft lange nicht nur "Formulare" welche zum Versenden
> von Mails dienen. Es sind fast alle Arten von Formularen und den
> verarbeitenden Skripten betroffen.
Aber nur eine Mail-Funktion im Skript kann für Spamversand mißbraucht
werden.
Ich habe jetzt übrigens das Erzeugen des From: aus dem Skript genommen
und schicke es im Text mit. Eine evtl. Antwort wird zwar etwas
umständlicher, aber so oft wird die Kurzmitteilung auch nicht benutzt.
Und siehe da, heute fand ich dies in meiner Mailbox:
,----------------------------------------------------------
| Name: imogb...@bruhaha.de
| Content-Type: multipart/mixed;
| boundary=\"===============1734093961==\"
| MIME-Version: 1.0
| Subject: 643b6198
| To: imogb...@bruhaha.de
| bcc: jrubi...@aol.com
| From: imogb...@bruhaha.de
|
| This is a multi-part message in MIME format.
|
| --===============1734093961==
| Content-Type: text/plain; charset=\"us-ascii\"
| MIME-Version: 1.0
| Content-Transfer-Encoding: 7bit
|
| acdwwm
| --===============1734093961==-- <imogb...@bruhaha.de>
| WWW: imogb...@bruhaha.de
| Thema:
|
| imogb...@bruhaha.de
`----------------------------------------------------------
Ab "WWW:" ist wieder aus dem Original-Formular.
War das jetzt wieder nur ein Test, den jrubi...@aol.com machen
wollte? Denn es war ja kein echter Inhalt drin.
Irmgard Schwenteck
[plöder versuch]
> War das jetzt wieder nur ein Test, den jrubi...@aol.com machen
> wollte? Denn es war ja kein echter Inhalt drin.
Die mails bekomme ich regelmäßig im Viererpack - das erste offenbar zum
Testen, die anderen versuchen, über jeweils eines der 3 Formularfelder
an header-Zeilen heranzukommen.
Im BCC steht hier immer berg...@aol.com.
Der Mail-header wird bei mir vom script zusammengesetzt, die
Formularfelder werden im body übergeben, da sollte nix anbrennen.
Aber der Vorschlag, gleich auf mehrzeilige Eingaben zu prüfen ist hilfreich.
Gruß
Irmgard
Juergen Kuehne
> Juergen Kuehne wrote:
> > Hast du jrubin3546 schonmal ergoogelt?
>
> Passend dazu auch:
> <http://lists.grok.org.uk/pipermail/...
Interessant ;-)
Google(.com) mal nach allen Begriffen gleichzeitig (_mit_ Hochkommata)
"Content-Type:" "multipart/mixed;" "boundary" "bcc:"
Ich gehe davon aus, dass (fast) alle Treffer
| Ergebnisse ... von ungefähr 309.000 für
| "Content-Type:" "multipart/mixed;" "boundary" "bcc:"
auf derselben Masche basieren ;-/
Daraus einige Adressen, häufiger in Gästebüchern, aber evtl. auch in
Spam-Traps:
bcc: jrubin3546_aol.com
bcc: jrubin3456_aol.com
bcc: bergkoch8_aol.com hmm, hört sich ziemlich deutsch an ;-/
bcc: mhkoch321_aol.com
bcc: Homeiragtime_aol.com
bcc: HomerRagtime_aol.com
Weils ein wenig "Spass" macht, per Google-Groups gibts auch was:
| In allen Gruppen gesucht
| Ergebnisse 1 - 17 von 17 für bergkoch8 aol
Infos zu Homeiragtime_aol.com (bitte 1 Zeile)
| http://groups.google.com/group/news.admin.net-abuse.email/browse_threa
d/thread/3f38fcb67f15df5b/75f1de3c37c44420?tvc=2
Wenn ich mir die Ergebnisse so anschaue, läuft das scheinbar bereits
seit mindestens 7.7.05 :-(
In den Postings sah ich auch mal
| NNTP-Posting-Host: 65.125.90.165
INNOVATIVE EMERGENCY MANAEMENT (in Baton Rouge)
^^^^^^^^^
Katastrophen-Management drüben? Wurde deren Server benutzt?
Immerhin haben einige wenige Gästebücher den Schrott mittlerweile
mitbekommen, so steht bei einer AOK jetzt
| Am 13.09.2005 um 12:32:31 Uhr schrieb FREUNDE Eventlogistik
| Das Gästebuch wird vorläufig geschlossen.
| Bitte mailt uns euer Feedback direkt.
Grüsse von
Jürgen
Uli Bernt
Am Wed, 14 Sep 2005 00:59:00 +0200 schrieb hexe...@gmx.de (Juergen
Kuehne):
>bcc: bergkoch8_aol.com hmm, hört sich ziemlich deutsch an ;-/
laut Google über 100.000 Treffer
Den wollte auch jemand bei mir zigmal im Kontaktformular eintragen.
Uli
Chris Kronberg
Interessant. Inzwischen war ich auch mal googlen. Der/Die/Das bergkoch8
findet sich in meinen Logs. Und weil ich eine scheusslich neugierige
Nase bin, habe ich mal einen der eingetueteten Trials manuell an diese
gewuenschte Adresse geschickt. Obwohl laut google lang bekannt, ist
diese Adresse noch aktiv. Obgleich dank weiter Verbreitung wohl auch
gut mit spam versorgt, wird diese Adresse auch "gelesen" bzw. ausge-
wertet. Momemtan rollen die naechsten trials, definitiv botgesteuert,
mit der derzeit favorisierten Adresse lIlIIlIl...@aol.com.
Laut google seit Mitte des Monats en vogue.
Was mich wundert: Ich habe (bislang) bei AOL die Erfahrung gemacht,
dass Beschwerden helfen. Warum also ist der achte bergkoch noch aktiv?
Ich schicke denen jetzt mal meine Logsfiles zu, mal gugge, ob's huelft.
Naja, und die ISPs der Bots werden natuerlich auch angeschrieben. *veg*
Cheers,
Chris.
Uwe Schröder
> Interessant. Inzwischen war ich auch mal googlen. Der/Die/Das bergkoch8
> findet sich in meinen Logs.
Ich hab auch noch einen für die Sammlung.
Interessant an der Sache ist, daß es überhaupt nirgends auf dem Server
ein entsprechendes Formular gibt, sondern daß er sich einen
parametrisierten URL unseres ehemaligen CMS ausgesucht und die Parameter
per POST statt per GET übergeben hat. Dummerweise steht dahinter
natürlich kein Mailer, sondern eine Datenbank, so daß er nur im Errorlog
gelandet ist (unsere Firmendomain durch "invalid" ersetzt):
... WHERE sprache='qykjuaweh@invalid' AND url='qykjuaweh@invalid
Content-Type: multipart/mixed; boundary="===============0458156250=="
MIME-Version: 1.0
Subject: a1d79bdc
To: qykjuaweh@invalid
bcc: homerr...@aol.com
From: qykjuaweh@invalid
This is a multi-part message in MIME format.
--===============0458156250==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
nmfmwi
--===============0458156250==--
'
Insgesamt 8 Versuche, alle am 19.09. ca. 04:54 Uhr, alle von der Adresse
194.143.190.8 aus. Da scheint jemand noch einen ganzen Berg AOL-CDs zu
haben :-/
usch
Uwe Schröder
> Interessant. Inzwischen war ich auch mal googlen. Der/Die/Das bergkoch8
> findet sich in meinen Logs.
Ich hab auch noch einen für die Sammlung. "Dummerweise" steht hinter dem
ausgesuchten URL gar kein Mailer, sondern zunächst einmal die Datenbank
unseres CMS, so daß er nur im Errorlog gelandet ist (unsere Firmendomain
durch "invalid" ersetzt):
... WHERE sprache='qykjuaweh@invalid' AND url='qykjuaweh@invalid
Content-Type: multipart/mixed; boundary="===============0458156250=="
MIME-Version: 1.0
Subject: a1d79bdc
To: qykjuaweh@invalid
bcc: homerr...@aol.com
From: qykjuaweh@invalid
This is a multi-part message in MIME format.
--===============0458156250==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
nmfmwi
Howard Knight
: Zweitens: Wie kann man ein Formular ordentlicher als für seine
: speziellen Zweck programmieren?
My contact form was attacked by these miscreants also. If you will
notice, the Subject line contains a fake email address with the
host name of the web site. In my case, for example,
"gvv...@howardk.moonfall.com".
What I did was just throw out all message with
"@howardk.moonfall.com" in the Subject line.
Howard
Uwe Schröder
> Was mich wundert: Ich habe (bislang) bei AOL die Erfahrung gemacht,
> dass Beschwerden helfen. Warum also ist der achte bergkoch noch aktiv?
> Ich schicke denen jetzt mal meine Logsfiles zu, mal gugge, ob's huelft.
> Naja, und die ISPs der Bots werden natuerlich auch angeschrieben. *veg*
Hast du zufällig einen Standard-Text, den man übernehmen könnte? :)
Aktuell schlägt bei uns <homeigo...@aol.com> von 82.143.153.174
(host82-143-153-174.ip.nd.e-wro.net.pl) auf.
usch