Willkommen in der Webstatt Zum Webstatt Blog und Stories
trefixxx am 11.03.06 13:39

Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

Quote
Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.

Wir haben Ihr Kontaktformular/Indexseite vorsorglich deaktiviert bzw.
umbenannt, damit im Moment keine weiteren Massenspams verschickt werden können.

Wir bitten Sie nun dringlichst, Ihr Kontaktformular auf Sicherheit zu
überarbeiten. Bitte aktivieren Sie dieses im jetzigen Zustand NICHT!!!


Bei Fragen kontaktieren Sie uns
unter [EMAIL]info@super-online.de[/EMAIL]




Das betreffende Formular sieht so aus

<div class="chapter">Kontaktformular</div>
<div class="content">
Für Ihre individuellen Fragen bieten wir Ihnen hier die Möglichkeit, diese zu stellen. Sie werden so schnell wie es mir möglich ist, eine
Antwort bekommen.<br/>
Leider können wir Ihnen keine andere Kontakt-Möglichkeit wegen Missbrauchs von Privat- oder Messengernummern geben.<br/><br/>


<form action="?page=contact" method="post">
<table border="0" cellspacing="3" cellpadding="0" style="width: 100%">
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Vorname:</span></td>
<td style="width: 90%"><input type="text" name="vorname" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Nachname:</span></td>

<td style="width: 90%"><input type="text" name="nachname" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">e-Mail:</span></td>
<td style="width: 90%"><input type="text" name="email" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Betreff:</span></td>
<td style="width: 90%"><select name="betreff" style="width: 60%;">
<option value="-1">Bitte ausw&auml;hlen:</option>
<option value="Auftrag">Auftrag</option>
<option value="Frage/n">Frage/n</option>
<option value="Kritik">Kritik</option>
<option value="Anregung/en">Anregung/en</option>
<option value="Sonstiges">Sonstiges</option></select>
</td>

</tr>
<tr valign="middle">
<td align="left"><span class="fontnormal">Nachricht:</span></td>
<td><textarea cols="30" rows="6" name="nachricht" style="width: 60%;"></textarea></td>
</tr>
<tr>
<td colspan="2"><br /><input type="submit" value="Senden" name="submit" />&nbsp;<input type="reset" name="Reset" value="L&ouml;schen" /></td>
</tr>
</table></form>
</div>

<?php
if (isset ($_POST['submit'])) {
if (!empty ($_POST['vorname']) AND !empty($_POST['nachname']) AND !empty($_POST['email']) AND !empty($_POST['nachricht'])) {
$absender = 'From:' .$_POST['email'];
mail("admin@tr-art.de", $_POST['betreff'] , $_POST['nachricht'] , $absender);
echo "Vielen Dank für Ihr Interesse! Sie werden so schnell wie möglich eine Antwort bekommen!"; }
else {
echo "Bitte geben Sie alle Felder ein, damit die eMail verschickt werden kann!"; }
}
?>



Was ist daran nicht sicher?
Wo kann man von außen darauf zugreifen?

Viele Grüße,
Justus

netcup.de Warum gibt es hier Werbung?
sebastian am 11.03.06 14:10

Also erstmal ist der Empfänger ja statisch, jedoch solltest du bei den Formular Variablen htmlspecialchars benutzen

milahu milahu am 11.03.06 14:18

Huii, was ne div-Suppe...

Eine einfache Spam-Sperre kannst du realisieren, indem du die IP des Besuchers mit der Zeit des Mailversands speicherst und diesem Benutzer dann ~5 Minuten verbietest, weitere Mails zu verschicken.

Sven Sven am 11.03.06 14:20

Es geht doch um Spam. Also zum einen könntest du eine IP-Sperre einbauen, allerdings lässt sich auch das leicht umgehen. Du könntest desweiteren bekannte Bots per .htaccess von deiner Seite ausschließen. CAPTCHA´s heißt die zur Zeit sicherste Methode, oder du testet mal die neue Methode von Barabbas, [URL=http://nögel.de/mawcha/index.php]MAWCHA´s[/URL]

Edit : Sorry für doppelt genannte Punkte, war noch auf der Suche von Barabbas Methode :/

sebastian am 11.03.06 14:48

darum gehts meine meinung nach nicht

das script ist unsicher

natürlich kann man im grunde auch ne spam bombe schicken, aber auf den ersten blick eben nur an ihn (das ist das, was ihr meint).

Sven Sven am 11.03.06 14:53

Quote
Original von trefixxx
Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

[Quote]Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.
.....

[/quote]

Also, da wird auch kein htmlspecialchars helfen.

sebastian am 11.03.06 15:49

machts aber um einiges sicherer

Sven Sven am 11.03.06 15:50

Vor was denn?

milahu milahu am 11.03.06 15:58

Vor nix. Um eine "Header Injection" zu unterbinden, müsste man Linefeeds entfernen.

sebastian am 11.03.06 16:04

ohne htmlspecialchars kann da doch jeder depp drin rumspielen

Sven Sven am 11.03.06 16:05

Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.

milahu milahu am 11.03.06 16:10

Ganz abgesehen davon wird ja im text/plain format gesendet...

Sven Sven am 11.03.06 16:22

Quote
Original von Sven
Es wird eine stinknormale E-Mail versendet...


;)

sebastian am 11.03.06 16:56

Quote
Original von Sven
Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.
^
ich red von was ganz anderem :)

Sven Sven am 11.03.06 17:01

Dann klär mich/uns auf

trefixxx am 11.03.06 17:07

öhm ja :)
Soll ich lieber bei meinem Webhoster nachfragen, was er mir vorschlägt?

leo am 11.03.06 17:13

grundsätzlich gilt:
vom user beinflussbare werte immer nachbearbeiten - mit addslashes, htmlspecialchars oder was auch immer sei mal dahingestellt.

zudem würde es bestimmt sinnmachen, die von sven angesprochene technik CAPTCHA zu verwenden.

gruß, leo

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt