Willkommen in der Webstatt
User-1 am 11.03.06 13:39

Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

Quote
Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.

Wir haben Ihr Kontaktformular/Indexseite vorsorglich deaktiviert bzw.
umbenannt, damit im Moment keine weiteren Massenspams verschickt werden können.

Wir bitten Sie nun dringlichst, Ihr Kontaktformular auf Sicherheit zu
überarbeiten. Bitte aktivieren Sie dieses im jetzigen Zustand NICHT!!!


Bei Fragen kontaktieren Sie uns
unter [EMAIL]info@super-online.de[/EMAIL]




Das betreffende Formular sieht so aus

<div class="chapter">Kontaktformular</div>
<div class="content">
Für Ihre individuellen Fragen bieten wir Ihnen hier die Möglichkeit, diese zu stellen. Sie werden so schnell wie es mir möglich ist, eine
Antwort bekommen.<br/>
Leider können wir Ihnen keine andere Kontakt-Möglichkeit wegen Missbrauchs von Privat- oder Messengernummern geben.<br/><br/>


<form action="?page=contact" method="post">
<table border="0" cellspacing="3" cellpadding="0" style="width: 100%">
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Vorname:</span></td>
<td style="width: 90%"><input type="text" name="vorname" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Nachname:</span></td>

<td style="width: 90%"><input type="text" name="nachname" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">e-Mail:</span></td>
<td style="width: 90%"><input type="text" name="email" style="width: 60%" /></td>
</tr>
<tr valign="middle">
<td align="left" style="width: 10%"><span class="fontnormal">Betreff:</span></td>
<td style="width: 90%"><select name="betreff" style="width: 60%;">
<option value="-1">Bitte ausw&auml;hlen:</option>
<option value="Auftrag">Auftrag</option>
<option value="Frage/n">Frage/n</option>
<option value="Kritik">Kritik</option>
<option value="Anregung/en">Anregung/en</option>
<option value="Sonstiges">Sonstiges</option></select>
</td>

</tr>
<tr valign="middle">
<td align="left"><span class="fontnormal">Nachricht:</span></td>
<td><textarea cols="30" rows="6" name="nachricht" style="width: 60%;"></textarea></td>
</tr>
<tr>
<td colspan="2"><br /><input type="submit" value="Senden" name="submit" />&nbsp;<input type="reset" name="Reset" value="L&ouml;schen" /></td>
</tr>
</table></form>
</div>

<?php
if (isset ($_POST['submit'])) {
if (!empty ($_POST['vorname']) AND !empty($_POST['nachname']) AND !empty($_POST['email']) AND !empty($_POST['nachricht'])) {
$absender = 'From:' .$_POST['email'];
mail("admin@tr-art.de", $_POST['betreff'] , $_POST['nachricht'] , $absender);
echo "Vielen xyz-48k für Ihr Interesse! Sie werden so schnell wie möglich eine Antwort bekommen!"; }
else {
echo "Bitte geben Sie alle Felder ein, damit die eMail verschickt werden kann!"; }
}
?>



Was ist daran nicht sicher?
Wo kann man von außen darauf zugreifen?

Viele Grüße,
Justus

netcup.de Warum gibt es hier Werbung?
User-2 am 11.03.06 14:10

Also erstmal ist der Empfänger ja statisch, jedoch solltest du bei den Formular Variablen htmlspecialchars benutzen

User-3 am 11.03.06 14:18

Huii, was ne div-Suppe...

Eine einfache Spam-Sperre kannst du realisieren, indem du die IP des Besuchers mit der Zeit des Mailversands speicherst und diesem xyz-19utzer dann ~5 Minuten verbietest, weitere Mails zu verschicken.

User-4 am 11.03.06 14:20

Es geht doch um Spam. Also zum einen könntest du eine IP-Sperre einbauen, allerdings lässt sich auch das leicht umgehen. Du könntest desweiteren bekannte Bots per .htaccess von deiner Seite ausschließen. CAPTCHA´s heißt die zur Zeit sicherste Methode, oder du testet mal die neue Methode von xyz-14, [URL=http://nögel.de/mawcha/index.php]MAWCHA´s[/URL]

Edit : Sorry für doppelt genannte Punkte, war noch auf der Suche von xyz-14 Methode :/

User-2 am 11.03.06 14:48

darum gehts meine meinung nach nicht

das script ist unsicher

natürlich kann man im grunde auch ne spam bombe schicken, aber auf den ersten blick eben nur an ihn (das ist das, was ihr meint).

User-4 am 11.03.06 14:53

Quote
Original von ***
Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

[Quote]Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.
.....

[/quote]

Also, da wird auch kein htmlspecialchars helfen.

User-2 am 11.03.06 15:49

machts aber um einiges sicherer

User-4 am 11.03.06 15:50

Vor was denn?

User-3 am 11.03.06 15:58

Vor nix. Um eine "Header Injection" zu unterbinden, müsste man Linefeeds entfernen.

User-2 am 11.03.06 16:04

ohne htmlspecialchars kann da doch jeder depp drin rumspielen

User-4 am 11.03.06 16:05

Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.

User-3 am 11.03.06 16:10

Ganz abgesehen davon wird ja im text/plain format gesendet...

User-4 am 11.03.06 16:22

Quote
Original von xyz-207
Es wird eine stinknormale E-Mail versendet...


;)

User-2 am 11.03.06 16:56

Quote
Original von xyz-207
Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.
^
ich red von was ganz anderem :)

User-4 am 11.03.06 17:01

xyz-48n klär mich/uns auf

User-1 am 11.03.06 17:07

öhm ja :)
Soll ich lieber bei meinem Webhoster nachfragen, was er mir vorschlägt?

User-5 am 11.03.06 17:13

grundsätzlich gilt:
vom user beinflussbare werte immer nachbearbeiten - mit addslashes, htmlspecialchars oder was auch immer sei mal dahingestellt.

zudem würde es bestimmt sinnmachen, die von sven angesprochene technik CAPTCHA zu verwenden.

gruß, xyz-118

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt