Nun hat es mich doch erwischt und jemand, der ĂŒber einen vietnamesischen Server gekommen ist, hat meinen Root-Server als Spam-Schleuder missbraucht, ĂŒber meinen Server ca 10 Gigabyte an Spam versendet und mir eine Menge Arbeit beschert. Alles, was der Spammer benötigt hat, war ein simples, schlecht geschĂŒtzes Kontaktformular.
Obwohl das Kontaktformular nicht auf Mein Parteibuch lag, will ich hier trotzdem kurz erlĂ€utern, wie die Masche funktioniert. Wer Webdesigner ist, sollte die Masche mit dem BCC Spam auf jeden Fall kennen und *alle* alten Formulare daraufhin ĂŒberprĂŒfen, ob die noch fĂŒr die Masche anfĂ€llig sind. Ăber zwei Jahre war auf meiner TrafficStatistic-Seite ein simples Kontaktformular online, mit dem es nie Probleme gegeben hat. Da das Formular mir die Eingaben sowieso einfach nur per E-Mail zuschickt, habe ich auf einen besonderen Spamschutz nicht geachtet und mich darauf verlassen, dass mein Mailprogramm den Spam wie gewohnt zuverlĂ€ssig rausfiltert. Das war, wie sich heute gezeigt hat, ein ziemlich dicker Fehler.
Heute ist mir aufgefallen, dass die Maschine ziemlich viel Traffic gemacht hat. Ein kurzer Blick auf das auf ein Gigabyte angewachsene Logfile lieĂ meine BefĂŒrchtung zur Gewissheit werden, dass auf meiner Maschine jemand dabei war, in ganz grossem Stil E-Mails zu versenden. Nach ein paar Minuten hatte ich dann raus, dass es jemandem gelungen sein musste, ĂŒber das Kontaktformular Mails an fremde Adressen zu verschicken.
Der Trick ist zu simpel, um wahr zu sein. Jemand hat einfach Posts dieser Art abgesetzt:
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain
X-Mailer: TWIG 2.6.2
Subject: ack acon, or anadian acon ack
bcc: lange Liste von E-Mail-Adressen
Hier dann die Spam-Botschaft zum Kauf von falschen Diplomen in den USA.
Wenn das Posting geschickt genug gemacht ist, dann sieht das, was php an das Mailprogramme rĂŒberschiebt, wohl so aus, dass mancher Mailserver das fĂŒr eine Mail mit vielen, vielen BCC EmpfĂ€ngern hĂ€lt. Wenn dann ein automatisches Tool alle paar Minuten ein solches Posting im Kontaktformular absetzt, dann kann aus einem Kontaktformular ganz schnell eine Spamschleuder werden. So simpel ist der Trick.
Die Verwendung aktueller Blogsoftware schĂŒtzt gegen solche Angriffe, die nicht wirklich neu sind, möchte ich noch einmal eindringlich davor warnen. Versucht wird es jedenfalls auch bei Blogs immer noch, wie dieses Posting auf dem MBlog! beweist. Wie ein gut gemachtes Kontaktformular aussieht, dass den BCC Trick nicht erlaubt, kann man ĂŒbrigens hier bewundern.
Zum GlĂŒck waren die E-Mail-Adressen fast alle von AOL und AOL hat anscheinend recht schnell begriffen, dass die Mails vernĂŒnftigerweise abzuweisen waren. Bei all denen, die durch mein schlecht gemachtes Formular eine Spam-Mail erhalten haben, möchte ich mich entschuldigen. Hoffentlich bekomme ich nun nicht hunderttausend Abmahnungen. Wer Kontaktformulare auf seiner Seite verwendet, der sei hiermit gewarnt, dass BCC Spam nicht immer so lustig wie der hier ist.
UngeklĂ€rt ist fĂŒr mich bisher die Frage, wie ich BCC Spam serverseitig in php oder notfalls auch im Mailer postfix unterbinden kann. Reicht da ein Update auf die neueste Versionen? Gibt es fĂŒr Ă€ltere php Versionen vernĂŒnftige Lösungen? Schliesslich kann ich nicht jedes Formular von Hand kontrollieren, was irgendjemand bei mir auf dem Server in seine Webseiten einbaut.
| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| « Sep | Nov » | |||||
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
Par·tei·buch n. Heft mit persönlichen Daten und Mitgliedsnummer zum Beweis der Mitgliedschaft in einer Partei



[powered by WordPress.]
22 queries. 0.325 seconds.
Built dynamically. Top
Ich bin dazu ĂŒbergegangen, Kontaktformulare mit Captchas zu versehen, nachdem ich teilweise Spam aus eigenen Kontaktformularen bekam. In den meisten FĂ€llen reicht das in Kombination mit aktuellen Software-Versionen aus.
MfG
Daniel
Die einfachste Lösung wĂ€re es wohl, das Textformular vor dem ĂŒbergeben an sendmail o.Ă€. auf Vorkommen von “bcc: ” zu prĂŒfen.
Klar, dass per Check der Eingabedaten im php-Script, dass das Formular abarbeitet, zu lösen, habe ich ja nun auch gemacht und macht aktuelle Blogsoftware auch so.
Mir stellt sich bloĂ die Frage, ob wenn ja wie so etwas auch serverseitig lösbar ist, so dass das Problem fĂŒr alle Formulare, die irgendwie auf dem Server laufen und von den verschiedensten Leuten betreut werden, erledigt ist.
Serverseitig kannst du es nur bedingt lösen. Einerseits kannst du natĂŒrlich “sicherere” Alternativen wie qmail einsetzen - einige ermöglichen es, Header-Tags im Body herauszufiltern. Eine direkte Möglichkeit, Sendmail/Postfix umzukonfigurieren gibt es soweit ich weiss nicht, da mĂŒsste man schon tief ins System gehen.
Was du allerdings (relativ, mit guten PHP-Kenntnissen) machen könntest, wĂ€re folgendes: schreib dir einen Mail-Wrapper, der wie auch schon oben gesagt jede E-Mail auf Tags etc. prĂŒft und mit der gescheckten Mail dann deinen Mailer aufruft. Diesen Wrapper trĂ€gst du dann in die php.ini dort ein, wo derzeit noch der direkte Verweis auf Mail steht. Du setzt den Wrapper also quasi zwischen php-seitiger Mailbearbeitung und tatsĂ€chlichem Versenden.
Serverseitig wĂŒsste ich auch nichts - aber Tabs sollte in kontaktfeldern vermieden werden, die meisten Spambots bauen darauf auf…
Hier gibt es einen thread zum Filtern von Tabs und Àhnlichen Zeichen via preg_match: http://forum.de.selfhtml.org/archiv/2003/12/t66524/
GruĂ
Alex