Zur Navigation

Spam über Kontaktformulare, Gästebücher - globaler Angriff?

1 C)-(iLL@

Hallo Ihr,

ich weiß zwar nicht ganz, was in letzter Zeit los ist, aber es scheint einen Großangriff auf Kontaktformulare und Gästebucher zu geben, wo sich irgendwelche Freaks daran versuchen, mit ihren content-type und multipart-Nachrichten Server zur Spamschleuder zu machen. Innerhalb von einer Woche (!) sind 4 meiner Kunden von solchen Angriffen betroffen - sind natürlich gescheitert, man ist ja nicht doof und kennt Schutzmaßnahmen. Lustig ist, dass es sogar dort versucht wurde, wo keine E-Mail versandt wird, z.B. in Kommentaren zu Bildern und mailfreien Gästebüchern.

Meine Frage ist nun, ob es nur mir auffällt, dass sich das innerhalb diesen kurzen Zeitraums manifestiert, oder ist das wirklich ein Großangriff? Dummer Zufall oder systematisches Vorgehen?

btw: Wenn ich mal so einen erwische, der hat nix zu lachen. Von nun an sind überall IP-Logger eingebaut, wenn ich ein böses Wort finde, ich werde bei einem Neuversuch sofort anzeigen.

Etwas verärgert,
Rudy

02.03.2006 15:15

2 Gustafsson

moin rudy,

da kann ich auch ein lied von singen ;-( in letzter zeit...

es wurde auf drei präsenzen von mir versucht, auch vor ein paar tagen wieder. beim ersten mal hab ich direkt jörg angerufen in voller panik ;-) und hab das checken lassen von ihm.

lustig war nur, diese Spam Attacken kamen jedesmal von AOL. ich hab ungefähr 50 dieser mailversuche/angriffe zu AOL geschickt mit der bitte um stellungnahme. auch angerufen... der support dort ist so dumm, schlimmer noch als bei 1und1. auf die mails habe ich bis heute keine antwort.

wenn da so weitergeht, werde ich meine anwälte fragen, ob sie mir eine protestnote formulieren mit der androhung der klage, vielleicht wachen sie dann auf, oder wir setzen uns zusammen und gehen an die presse, wenn es bei euch auch immer AOL war??

gruß uwe

02.03.2006 16:22

3 Jörg

Meine Frage ist nun, ob es nur mir auffällt, dass sich das innerhalb diesen kurzen Zeitraums manifestiert, oder ist das wirklich ein Großangriff? Dummer Zufall oder systematisches Vorgehen?

Vieleicht auch noch ein Frage, dass man gefunden wird, z.B. anhand von Dateinamen. Aber davon abgesehen wird so etwas wohl eher zunehmen als weniger werden..

02.03.2006 19:04

4 C)-(iLL@

Ich bin nicht Teil der 'Spam-Szene', in denen aus Profitgeilheit fieberhaft nach Arten gesucht wird, Leute mit Informationen zu überfluten, die sie nicht brauchen können. Deshalb habe ich leider wenig Einblick, ich vermute aber, irgendwas hat sich in letzter Zeit geändert - die Ähnlichkeit des Ablaufs der Spam-Versuche lässt Automation vermuten. Ich wundere mich, ob da nicht kürzlich ein Black-Tool populär geworden ist. Nach einiger Suche im Internet bin ich hierauf gestoßen, das erhärtet meinen Verdacht.

Zitat von Gustafsson
beim ersten mal hab ich direkt jörg angerufen in voller panik ;-) und hab das checken lassen von ihm.
Aha, Jörg betreibt also ein Sorgentelefon - wie schön :) Wie ist die Nummer?

Zitat von Gustafsson
lustig war nur, diese Spam Attacken kamen jedesmal von AOL ... der support dort ist so dumm ...
Das ist das zweite Mal diese Woche, dass ich das höre - scheint also was dran zu sein. Wie gut, dass ich diese Support-Hotlines noch nie nutzen musste, AOL habe ich sowieso nicht. Nur mit dem UTF8-Mailversand an AOL-Adressen musste ich mich letztens ärgern, die wurden immer verunstaltet.

Zitat von Jörg
Vieleicht auch noch ein Frage, dass man gefunden wird...
Alle meine Seiten werden gut gefunden, nicht zuletzt durch Tips von Dir :) Alles hat seine Vor- und Nachteile.

02.03.2006 20:30 | geändert: 02.03.2006 20:31

5 C)-(iLL@

Heute ist es wieder passiert, diesmal in einem kleinen Forum, das ich für nen Kunden erstellt habe - es sendet ebenfalls keine Mails :) Pech gehabt, lieber(lieber?) Spamer.

Hier ein Beispielinput:

Content-Type: multipart/alternative; boundary=feb9e4ccbac40ab2c6aa680c19863bb2 MIME-Version: 1.0 Subject: crimmage, a term so often used upon bcc: vickiebosworth@aol.com This is a multi-part message in MIME format. --feb9e4ccbac40ab2c6aa680c19863bb2 Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit heart out iv th wretched crather an exposed it to th wurruld. h wicked, ugly little eyes, th crooked nose, th huge graspin hands, tell th story iv this miscreant s character as completely as if they were written in --feb9e4ccbac40ab2c6aa680c19863bb2-- .

@Gustafsson: Hier ebenfalls AOL, scheint also die gleiche Masche wie bei Dir zu sein - wie gesagt, scheinen automatisierte Angriffe zu sein.

03.03.2006 21:23

6 Gustafsson

moin,
um das thema nochmals aufzugreifen - gerade habe ich wieder pro mailformular 10 mails bekommen - wäre es eventuell nicht sinnvoll, da ja alles auf einen automatisierten ablauf hinweist, grafiken einzubauen, die der user dann noch zur sicherhheit eintippen muß (Captcha)??

@jörg
ist das ein großer aufwand, das noch nachträglich einzufügen?

gruß uwe

06.03.2006 18:13 | geändert: 06.03.2006 18:14

7 Jörg

Einfacher wäre es, die Formularseite und das Script umzubenennen - möglichst keine verräterischen Dateinamen wie "kontakt.html", "danke.php", "formular.html" - und dann vom Indizieren auszuschließen, so dass das Formular nicht mehr über Suchmaschinen gefunden wird.

Mit Grafik-Captchas schließt du diejenigen aus, die schlecht oder gar nicht sehen können.

Man könnte das Script aber vielleicht noch so umbauen, dass es die Umbrüche nicht mehr entfernt, und die Mails trotzdem abschickt, sondern stattdessen eine Fehlermeldung erzeugt

06.03.2006 18:43 | geändert: 06.03.2006 18:48

8 C)-(iLL@

Also meine Kontaktformulare heißen immer noch 'kontakt.html', 'buchung.html' etc. - die Mühe des Umbenennens tue ich mir nicht wegen eines solchen Freaks an, soll er sich doch die Zähne ausbeißen.

Ich mache mit preg_replace alle bösen Inhalte raus, so wie von dr.web empfohlen, zusätzlich zu content-type:, bcc:, cc:, to:, from: aus der Absender-Email schicke ich noch mime-version: und boundary= ins Nirvana, klarerweise auch aus dem Mailtext. Vorher wird eine eregi-Prüfung gemacht und in klassischer fopen-Manier ein Log geschrieben, der die Uhrzeit, IP (leider nutzen Spamer zumeist Proxies) und den Inhalt der gefährlichen Felder (Absender und Mailtext) logt, wenn die Schlüsselwörter gefunden wurden.

Die Mail sende ich immer trotzdem ab. Die Umbrüche entferne ich nur aus der Absender-Email, beim Mailtext wird nur zusätzlich ein wordwrap gemacht.

Die Spams kommen da bisher nicht mehr durch.

06.03.2006 19:41

9 Jörg

Inhalt der gefährlichen Felder (Absender und Mailtext)

Mit Mailtext meinst du den Text, der den body der Email bildet? Die Anleitung auf Dr. Web suggeriert zwar, dass auch der Nachrichtentext anfällig ist für eine Email-Injection - ich habe allerdings bislang noch nirgends lesen können, auf welche Weise dies geschehen könnte. Aber es ist sicher besser, zuviel zu schützen, als zu wenig, vielleicht gibt es da irgendwann auch einen Trick, der jetzt noch nicht bekannt ist. Auf jeden Fall geschützt werdn sollten alle Header-Felder der Email: Absender, Empfänger, Subjekt, CC, BCC etc., die sind durch die bekannten Email-Injections gefährdet

06.03.2006 21:07 | geändert: 06.03.2006 21:07

10 C)-(iLL@

Die Anleitung auf Dr. Web suggeriert zwar, dass auch der Nachrichtentext anfällig ist für eine Email-Injection
So verstehe ich zumindest den Code:

$txt = preg_replace(...

Die Spamversuche (auch der Beispielinput von meinem Vorposting) waren auch im Message-Feld eingegeben worden. Ich habe selbst nie eine Injection probiert - ich befolge lieber die Ratschläge, als später draufzuzahlen ;) Aber laut Logik - klar, wenn content-type, boundary, cc, bcc etc. aus den Headers weg ist, nützt das Spam im Mailbody nichts.

Auf jeden Fall geschützt werdn sollten alle Header-Felder der Email
Jep. Das Subject ist bei meinen Mailformularen ein konstanter Text, CC/BCC nutze ich nicht, Empfänger ist hardcodiert - wären es Eingabefelder, müsste ich auch da rausfiltern. Wer soll dort schon eine Nachricht schicken wollen, die 'Content-Type:' oder 'boundary=' enthält... der soll bitte seine Anfrage umformulieren :)

06.03.2006 22:10