Discussion :

[psychoBob]

Bonjour,

Voilà quelques jours que je reçois dans ma base de données ce genre de code, depuis un formulaire permettant de proposer des liens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

="us-ascii"MIME-Version: 1.0Content-Transfer-Encoding: 7bitSubject: beams, one crossing thebcc: charleses3299@aol.comd13de850a74367b379985dc119d1a27e.

ou encore

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

isContent-Type: text/plain; charset="us-ascii"MIME-Version: 1.0Content-Transfer-Encoding: 7bitSubject: good hasbcc: charieses329@aol.comd093f35780f88e28c789f9053e6a4be5.

Ce qui est très bizarre, c'est que l'email qui envoie cela est de la forme
the4255@lenomdeMonsite.com (par exemple, cela change souvent ,mais le nom de domaine est toujours celui de mon site).

Comment des emails peuvent-ils être générés avec pour nom de domaine mon propre site internet ?

Quel est l'objectif de ce code ?


Aussi, ce code est filtré par htmlentitites puis demande une validation par email être affiché sur le site, mais là il n'y a même pas de page sur lequel il puisse s'afficher. Et je reçois les demandes de validation dans ma boite email qui n'est même pas celle correspondant à l'adresse fournie par le qui s'amuse à jouer avec mon formulaire.

[dj-julio]

pour protéger tes données de ta base n'utilise pas htmlentities, mais :
mysql_real_escape_string

[psychoBob]

Oui je vais le rajouter sur la nouvelle version que je termine, ceci dit htmlentities est bien aussi puisque dans ce cas, le code est désactivé grace à elle.

Mais ce code, c'est quoi justement ?

Comment le gars génère t'il des adresses email avec mon site pour domaine ?

Merci pour vos réponses

[psychoBob]

J'ai fait une recherche sur google avec le mail mentionné dans le code du dessus : charleses3229@aol.com

Apparemment il semble que le gars ai l'habitude de cela, j'ai retrouvé son code pourri sur plein d'autres site.

Qu'est-ce qu'il fait ainsi ?

[Yogui]

Aucune idée mais ce sera toujours intéressant si tu trouves... :p

[Fladnag]

ca permet de voir si tu utilise le contenu de ton formulaire pour injecter directement dans un en tete de CGI de mail... si c'était le cas, le gars recevrait en copie cachée invisible (bcc) un mail provenant... d'un mail avec ton site en provider... donc il saurait de quel site il vient.

Une fois detecté, il n'a plus qu'a refaire la meme chose pour envoyer des mails sur n'importe quoi a n'importe qui via ton site... donc "plus" difficilement tracable.

Une application simple est... du spam.

[psychoBob]

Merci pour ta réponse,

ça ne m'étonnerait pas que ce soit du spam, car j'ai déjà reçu des emails du type sex@monsite.com
C'est très désagréable, d'autant plus que je ne fais pas dans le porno.

Mais je n'ai pas bien compris le fonctionnement.

Le gars envoit ce code et si jamais mon script envoit un email, alors il reçoit une copie de ce mail et trouve des informations qui lui permettent d'envoyer autant d'emails qu'il le souhaite avec mon nom de domaine ?

Je veux bien d'avantage d'explication parce que c'est très intéressant.
Et bien sur, comment parer cela? à priori le htmlentities n'a pas d'effet dans ce cas?

[Matth_S]

Le gars utilise une des failles de la fonction mail, il peut rajouter son propre destinatoire, sujet de message etc. Il y a un article interessant à ce sujet : http://www.phpsecure.info/v2/article/MailHeadersInject.php

[psychoBob]

Je viens de lire le lien (merci), je n'ai pas tout compris.

Une question :

Si je place une fonction qui recherche parmi les valeurs entrées par l'utilisateur/hacker, la chaine "Content-Type:multipart/mixe" (qui semble être utilisée systématiquement pour cette magouille).

Et si cette fonction, détectant cette chaine de caractère, bloque tout. Est-ce que ça supprime les risques ?

Et le htmlentities que j'utilise, à priori il ne fait aucun effet alors ? pourquoi ?

[Matth_S]

Je pense que supprimer "Content-Type:multipart/mixe" n'est pas suffisant, car tu as plusieurs types d'attaques possible, c'est pas dit que le gars va automatiquement tenter de rajouter dans le header de ton mail le "Content-Type:multipart/mixe", si il souhaite simplement utiliser ton site pour un envoi massif de mail au format text, il rajoutera pas le multipart par exemple. Il peut tout simplement tenter (comme dans l'article) si tu autorise de remplir le champ de destination de se rajouter en copie en ajoutant le champ Cc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
"email@anonymous.com%0ACc:email1@website1.com%

Vu que les données proviennent de tes champs de formulaires, tu peux tenter de les filtres avec des str_replace ou des expressions régulières (filtrer le contenu de type Bcc, Cc, etc). Si tu veux tu peux carrément empecher l'envoi du mail si tu detectes des caracteres succeptibles d'être une tentative de hack.

[psychoBob]

Oui je pense que je vais utiliser les expressions régulières pour vérifier que les informations entrées dans le formulaire sont bien de la forme nom, prénom et mail@domaine.com .

Avec en plus un système de blocage de l'ip en cas de double soumission en moins de 20 secondes.

Tout cela devrait être suffisant je pense.


En tout cas merci pour tes informations, je suis soulagé de savoir ce qu'est ce code et je vais pouvoir faire le nécessaire.


Si vous avez d'autres informations/solutions n'hésitez pas, je ne marque pas" résolu" tout de suite.

[vg33]

Tu dois valider très précisément tes données.
Utilises les expressions régulières pour tester la validité d'une adresse http, ou d'un mail. Si cela ne passe pas, renvoie le formulaire. Ton spammer ira voir ailleurs.
Cela montre encore une fois l'absolue nécessité de valider drastiquement les données fournies par l'utilisateur, surtout si elle doivent être réutilisées pour un mail ou un lien (voir les attaques XSS).

[psychoBob]

Je suis d'accord avec ce que tu dis, même si c'est du boulot.

Mais comment tu fais quand il y a un textarea censé permettre d'envoyer du contenu libre ?

[vg33]

Si c'est un textarea, il ne sera pas utilisé dans une fonction (mail, lien...).
Les deux gros risques sont l'injection sql et le XSS.
1) injection sql : passage par mysql_real_escape_string() avant insertion en bdd
2) XSS : passage par htmlentities() avant affichage.

[Fladnag]

du calme, du calme ;o)

pour que ca fonctionne, il faut que tu utilise une variable de ton site pour composer l'entete d'un mail.

En général, tout ce qu'on met dans un en tete de mail devant d'une variable est :

* Le titre : htmlentities suffit ici
* L'adresse du destinataire ou de l'expediteur : Là, il suffit de faire une verif que l'adresse est du genre : [alpha etendu]@[alpha etendu].[2/3 caracteres]

je nomme alpha etendu une chaine contenant :
* alphanumerique
* ._ et peut etre quelques autres, a voir dans la RFC des adresses mails ;o) mais en tout cas, pas d'espace ni de deux-points (:)

[zulkifli]

Trop interessant ce topic!
Il savere que jai eu la même bizarerie un jour. J'avais un formulaire pour s'inscrire à la newsletter de mon site et pendant un mois j'avais des adresses email bizarre dans ma bdd avec des MIME-Version et companie. Je me demandais bien ce que le hacker tentait de faire, on a donc utiliser mon site pour spamer des innocents

bref j'utilise l'expression regulière suivante pour verifier les emails

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
ereg( "^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]{2,}[.][a-z]{2,4}$", $_POST["email"] )

depuis RAS

[chaced]

Trop interessant ce topic!
Il savere que jai eu la même bizarerie un jour. J'avais un formulaire pour s'inscrire à la newsletter de mon site et pendant un mois j'avais des adresses email bizarre dans ma bdd avec des MIME-Version et companie. Je me demandais bien ce que le hacker tentait de faire, on a donc utiliser mon site pour spamer des innocents

bref j'utilise l'expression regulière suivante pour verifier les emails

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
ereg( "^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]{2,}[.][a-z]{2,4}$", $_POST["email"] )

depuis RAS

legere optimisation de ton code pour une gain d'environ 100fois, bon ok c'est un détail

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

preg_match( "/^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]{2,}[.][a-z]{2,4}$/", $_POST["email"] )

[psychoBob]

En quoi le code de Chaced est-il supérieur à celui de Zulkifli, s'il vous plait ?

Parce que je dois à l'instant me servir d'un bout de code de ce genre pour un formulaire de contact.

[vg33]

preg_match() est plus rapide que ereg().

[psychoBob]

je regardais un ou deux tuto, ils utilisent tous ereg.