Mail de contact bizarre via formulaire et script php

Signaler
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010
-
Messages postés
2083
Date d'inscription
jeudi 16 septembre 2004
Statut
Membre
Dernière intervention
15 octobre 2020
-
Bonjour à tous,

Sur mon site internet j'ai un formulaire de contact avec les champs :
nom organisme
nom
email
sujet
message

et depuis quelques jours je recois des messages de la forme:


Return-Path: <ophoskk626@agencemultiservices.eu>
Received: from mwinf8309.laposte.net (mwinf8309.laposte.net)
by mwinb8601 (SMTP Server) with LMTP; Wed, 03 Dec 2008 06:18:07 +0100
X-Sieve: Server Sieve 2.2
Received: from meplus.info (localhost [127.0.0.1])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 53E192400084
for <lpo000000000000000008054674@back86-mail01-01.meplus.info>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
Received: from ns66.ophos.com (ns66.ophos.com [87.98.206.137])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 476FE2400098
for <mic.simonet@laposte.net>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
X-ME-UUID: 20081203051807292.476FE2400098@mwinf8309.laposte.net
Received: from apache by ns66.ophos.com with local (Exim 4.69)
(envelope-from <ophoskk626@agencemultiservices.eu>)
id 1L7k8m-00048p-7u
for mic.simonet@laposte.net; Wed, 03 Dec 2008 06:19:12 +0100
To: mic.simonet@laposte.net
Subject: Contact-Agence Relationnelle Multiservices nLSbKxdTrQOafd
X-PHP-Script: www.agencemultiservices.eu/services/cours-formation/arm/contact-cours.php for 134.37.255.5
From: pjbegnfc@rvmr.com
X-Mailer: PHP/4.4.8
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Message-Id: <E1L7k8m-00048p-7u@ns66.ophos.com>
Date: Wed, 03 Dec 2008 06:19:12 +0100
X-me-spamlevel: not-spam
X-me-spamrating: 40.000000
X-me-spamcause: OK, (0)(0000)gggruggvucftvghtrhhoucdtuddrvdejledrtdekucetggdotefuucfrrhhofhhilhgvmecuoehnohhnvgeqnecuuegrihhlohhuthemuceftddtnecu


Adresse IP de la personne vous contactant : 134.37.255.5 host :
134.37.255.5

ATTENTION : Vous ne devez pas faire une confiance absolue à la
personne vous qui vous contact
---------------------------------------------------------------------------------------------

Message de la part de : ground turkey burger recipes
(rDXhYQCitrIqAuLHa)
Voici le message : Might Be The Best Ever Yet

on peu constater que la personne malveillante (ou les personnes malveillantes)on remplit le formulaire de la façon suivante :

nom organisme : rDXhYQCitrIqAuLHa
nom : ground turkey burger recipes
email : pjbegnfc@rvmr.com
sujet : nLSbKxdTrQOafd
message : Might Be The Best Ever Yet

Ce qui me semble louche c que pour le sujet (header du message) et nom de l'organisme (body du message) on constate de l'encodage 64.

Mes questions sont donc quel est le but de cette démarche est ce que les personnes exploitent une faille de sécu? comment empecher cela?

Merci d'avance pour votre aide. Je pourais poster la source de mon script si nécessaire.

Merci

Micka

3 réponses

Messages postés
2083
Date d'inscription
jeudi 16 septembre 2004
Statut
Membre
Dernière intervention
15 octobre 2020
1
D'après les information obtenu par la commande whois :

flachyjoe@localhost:~$whois 134.37.255.5

Cette adresse IP est fournie par une compagnie Finlandaise, on trouve 3 noms : Cargotec, Partek et Tieto.

Si tu n'as aucune raison de recevoir des messages de ces organismes, fait un filtrage sur l'IP pour bloquer la possibilité d'envoi.

Flachy Joe

« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. » Les Shadoks<
Messages postés
55
Date d'inscription
mardi 15 février 2005
Statut
Membre
Dernière intervention
4 juin 2010

Bonsoir,
oui je te remercie pour l'info mais le probleme c'est que à chaque fois l'IP est différente un coup de finlande une autre fois de frankfort, etats unis, albanie,pologne,.....
est ce que l'encodage 64 dans le header (champs sujet du formulaire) peut servir de à détourner mon script d'envoi de mail?

Merci encore 2 message ce soir (environ 3 par jours) ca commence a devenir ch.....

mickadevelop
Messages postés
2083
Date d'inscription
jeudi 16 septembre 2004
Statut
Membre
Dernière intervention
15 octobre 2020
1
Est ce que le texte est toujours le même ?

Jete un coup d'œil à ça :
http://209.85.229.132/search?q=cache:eMqp_ufF2VIJ:www-umb.u-strasbg.fr/listedesemplois101007.php+%22ground+turkey+burger+recipes%22&hl=fr&ct=clnk&cd=4&gl=fr

et au site lié.

J'ai repéré plusieurs site de cet hébérgeur (12gbfree.com) qui ont envoyé du spam (et ont disparus depuis).
A mon avis les mails sont envoyés depuis des ordis qui ont été infectés.

Met un captcha sur ton formulaire, ça le protègera des robots.

Flachy Joe

« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. » Les Shadoks<