Mail de contact bizarre via formulaire et script php
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010
-
3 déc. 2008 à 13:17
Flachy Joe
Messages postés2103Date d'inscriptionjeudi 16 septembre 2004StatutMembreDernière intervention21 novembre 2023
-
4 déc. 2008 à 14:28
Bonjour à tous,
Sur mon site internet j'ai un formulaire de contact avec les champs :
nom organisme
nom
email
sujet
message
et depuis quelques jours je recois des messages de la forme:
Return-Path: <ophoskk626@agencemultiservices.eu>
Received: from mwinf8309.laposte.net (mwinf8309.laposte.net)
by mwinb8601 (SMTP Server) with LMTP; Wed, 03 Dec 2008 06:18:07 +0100
X-Sieve: Server Sieve 2.2
Received: from meplus.info (localhost [127.0.0.1])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 53E192400084
for <lpo000000000000000008054674@back86-mail01-01.meplus.info>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
Received: from ns66.ophos.com (ns66.ophos.com [87.98.206.137])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 476FE2400098
for <mic.simonet@laposte.net>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
X-ME-UUID: 20081203051807292.476FE2400098@mwinf8309.laposte.net
Received: from apache by ns66.ophos.com with local (Exim 4.69)
(envelope-from <ophoskk626@agencemultiservices.eu>)
id 1L7k8m-00048p-7u
for mic.simonet@laposte.net; Wed, 03 Dec 2008 06:19:12 +0100
To: mic.simonet@laposte.net
Subject: Contact-Agence Relationnelle Multiservices nLSbKxdTrQOafd
X-PHP-Script: www.agencemultiservices.eu/services/cours-formation/arm/contact-cours.php for 134.37.255.5
From: pjbegnfc@rvmr.com
X-Mailer: PHP/4.4.8
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Message-Id: <E1L7k8m-00048p-7u@ns66.ophos.com>
Date: Wed, 03 Dec 2008 06:19:12 +0100
X-me-spamlevel: not-spam
X-me-spamrating: 40.000000
X-me-spamcause: OK, (0)(0000)gggruggvucftvghtrhhoucdtuddrvdejledrtdekucetggdotefuucfrrhhofhhilhgvmecuoehnohhnvgeqnecuuegrihhlohhuthemuceftddtnecu
Adresse IP de la personne vous contactant : 134.37.255.5 host :
134.37.255.5
ATTENTION : Vous ne devez pas faire une confiance absolue à la
personne vous qui vous contact
---------------------------------------------------------------------------------------------
Message de la part de : ground turkey burger recipes
(rDXhYQCitrIqAuLHa)
Voici le message : Might Be The Best Ever Yet
on peu constater que la personne malveillante (ou les personnes malveillantes)on remplit le formulaire de la façon suivante :
nom organisme : rDXhYQCitrIqAuLHa
nom : ground turkey burger recipes
email : pjbegnfc@rvmr.com
sujet : nLSbKxdTrQOafd
message : Might Be The Best Ever Yet
Ce qui me semble louche c que pour le sujet (header du message) et nom de l'organisme (body du message) on constate de l'encodage 64.
Mes questions sont donc quel est le but de cette démarche est ce que les personnes exploitent une faille de sécu? comment empecher cela?
Merci d'avance pour votre aide. Je pourais poster la source de mon script si nécessaire.
mickadevelop
Messages postés55Date d'inscriptionmardi 15 février 2005StatutMembreDernière intervention 4 juin 2010 3 déc. 2008 à 23:14
Bonsoir,
oui je te remercie pour l'info mais le probleme c'est que à chaque fois l'IP est différente un coup de finlande une autre fois de frankfort, etats unis, albanie,pologne,.....
est ce que l'encodage 64 dans le header (champs sujet du formulaire) peut servir de à détourner mon script d'envoi de mail?
Merci encore 2 message ce soir (environ 3 par jours) ca commence a devenir ch.....
J'ai repéré plusieurs site de cet hébérgeur (12gbfree.com) qui ont envoyé du spam (et ont disparus depuis).
A mon avis les mails sont envoyés depuis des ordis qui ont été infectés.
Met un captcha sur ton formulaire, ça le protègera des robots.
Flachy Joe
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. » Les Shadoks<