code suspect

[austin powers]

Bonjour

j'ai sur la page d'accueil de mon site une fenetre "vos suggestion pour le site" qui m'envoi le message par Email.

Depuis queques jour voila le genre de message que je reçoit

email : lxrbzxreu_AT_pcparadise.fr

Content-Type: multipart/mixed; boundary=\"===============0817912928==\"

MIME-Version: 1.0

Subject: afef557e

To: lxrbzxreu_AT_pcparadise.fr

bcc: mhkoch321_AT_aol.com

From: lxrbzxreu_AT_pcparadise.fr

This is a multi-part message in MIME format.

--===============0817912928==

Content-Type: text/plain; charset=\"us-ascii\"

MIME-Version: 1.0

Content-Transfer-Encoding: 7bit

hgekcwhzyt

--===============0817912928==--

subject : lxrbzxreu_AT_pcparadise.fr

qu'est ce que c'est??????????

Modifié 29 Juillet 2005 par austin powers

[Portekoi]

Tu es certains que cela proviens de ton script?

[austin powers]

Non j'ai plutot l'impression que quelqu'un essaye un script

mais pourquoi?????????

[Dan]

Si tu as une adresse email en clair sur ton site, tu t'es fait aspirer cette adresse par un des robots.

Si tu utilises un programme tel que formail.pl, il s'est fait pirater.

[austin powers]

En fait pour m'envoyer un message via ce formulaire c'est un script formail en php

[Dan]

Dans ce cas c'est que ton script n'est pas suffisamment blindé. Il faudrait le bétonner un peu mieux, et tester le référant pour éviter qu'une simple URL avec des variables $_GET[] puisse envoyer des mails.

[austin powers]

hum

je n'ai pas tout compris la

En fait qui m'envoi ça depuis 2 jours et pourquoi??

quel est l'objectif de ce genre d'Email???

[Portekoi]

Pour savoir qui, tu dois connaitre le référant (le site qui appelle ton script : http_referer)

Pourquoi? C'est ce que l'on appelle du spam

EDIT : Google connait cette adresse email

http://www.google.com/search?le=en&ie=UTF-...refox.fr-search

Modifié 29 Juillet 2005 par portekoi

[Dan]

Deviner qui te l'a envoyé ? Je n'ai pas de boule de cristal

Mais avec certitude, c'est quelqu'un qui teste ton programme pour y découvrir des failles.

Et manifestement, si l'adresse en CC: n'est pas codée dans le script (mhkoch321@aol.com), il a trouvé une faille qui lui permet d'envoyer des emails.

Dan

[Dudu]

Hello,

-> Formmail n'est pas super-sécurisé comme script

-> Vu les défaillances d'IE, Opéra et Firefox au niveau de certains caractères ASCII, je pense qu'un kiddie essaie de te pourrir la vie.. Effaces le mail sans remords et change de script de formulaire, tu auras la paix

Bon courage

[austin powers]

Pour savoir qui, tu dois connaitre le référant (le site qui appelle ton script : http_referer)

Comment faire exactement ????????

Mais avec certitude, c'est quelqu'un qui teste ton programme pour y découvrir des failles.

Et manifestement, si l'adresse en CC: n'est pas codée dans le script (mhkoch321_AT_aol.com), il a trouvé une faille qui lui permet d'envoyer des emails.

peut il me pirater le site???

et sinon quel interet pour lui??

[Dan]

Disons que même s'il ne peut pas te pourrir le site, il peut envoyer des emails au départ de ton serveur; C'est toi qui risque d'être blacklisté (ou poursuivi, dans certains cas plus "hard", comme la pédophilie par exemple)

Tu devrais interdire l'accès à ce script en attendant de l'avoir sécurisé... parce qu'il peut très bien l'utiliser cette nuit pour envoyer 10 000 emails ou plus sans ton accord.

Dan

[austin powers]

ok, je vire le script tout de suite

merci pour vos reponse

Ou pourez je trouver un script plus securisé???

Et comment puis je savoir qui c'est si c'est possible??

[Dudu]

Et comment puis je savoir qui c'est si c'est possible??

Regardes dans tes logs en cherchant le mot-clé "formmail", tu devrais tomber sur son IP. De là, contacte son hébergeur (c'est AOL a priori) en donnant l'IP et l'heure à laquelle il avait cette IP, il peut se faire taper sur les doigts.

À mon avis, et sous toutes réserves, c'est un citoyen américain. Je dis çà à cause d'AOL.