Sujet Précédent Sujet Suivant

Mail de contact bizarre via formulaire et script php

mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010 - 3 déc. 2008 à 13:17
Flachy Joe Messages postés 2103 Date d'inscription jeudi 16 septembre 2004 Statut Membre Dernière intervention 21 novembre 2023 - 4 déc. 2008 à 14:28
Bonjour à tous,

Sur mon site internet j'ai un formulaire de contact avec les champs :
nom organisme
nom
email
sujet
message

et depuis quelques jours je recois des messages de la forme:


Return-Path: <ophoskk626@agencemultiservices.eu>
Received: from mwinf8309.laposte.net (mwinf8309.laposte.net)
by mwinb8601 (SMTP Server) with LMTP; Wed, 03 Dec 2008 06:18:07 +0100
X-Sieve: Server Sieve 2.2
Received: from meplus.info (localhost [127.0.0.1])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 53E192400084
for <lpo000000000000000008054674@back86-mail01-01.meplus.info>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
Received: from ns66.ophos.com (ns66.ophos.com [87.98.206.137])
by mwinf8309.laposte.net (SMTP Server) with ESMTP id 476FE2400098
for <mic.simonet@laposte.net>; Wed, 3 Dec 2008 06:18:07 +0100 (CET)
X-ME-UUID: 20081203051807292.476FE2400098@mwinf8309.laposte.net
Received: from apache by ns66.ophos.com with local (Exim 4.69)
(envelope-from <ophoskk626@agencemultiservices.eu>)
id 1L7k8m-00048p-7u
for mic.simonet@laposte.net; Wed, 03 Dec 2008 06:19:12 +0100
To: mic.simonet@laposte.net
Subject: Contact-Agence Relationnelle Multiservices nLSbKxdTrQOafd
X-PHP-Script: www.agencemultiservices.eu/services/cours-formation/arm/contact-cours.php for 134.37.255.5
From: pjbegnfc@rvmr.com
X-Mailer: PHP/4.4.8
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Message-Id: <E1L7k8m-00048p-7u@ns66.ophos.com>
Date: Wed, 03 Dec 2008 06:19:12 +0100
X-me-spamlevel: not-spam
X-me-spamrating: 40.000000
X-me-spamcause: OK, (0)(0000)gggruggvucftvghtrhhoucdtuddrvdejledrtdekucetggdotefuucfrrhhofhhilhgvmecuoehnohhnvgeqnecuuegrihhlohhuthemuceftddtnecu


Adresse IP de la personne vous contactant : 134.37.255.5 host :
134.37.255.5

ATTENTION : Vous ne devez pas faire une confiance absolue à la
personne vous qui vous contact
---------------------------------------------------------------------------------------------

Message de la part de : ground turkey burger recipes
(rDXhYQCitrIqAuLHa)
Voici le message : Might Be The Best Ever Yet

on peu constater que la personne malveillante (ou les personnes malveillantes)on remplit le formulaire de la façon suivante :

nom organisme : rDXhYQCitrIqAuLHa
nom : ground turkey burger recipes
email : pjbegnfc@rvmr.com
sujet : nLSbKxdTrQOafd
message : Might Be The Best Ever Yet

Ce qui me semble louche c que pour le sujet (header du message) et nom de l'organisme (body du message) on constate de l'encodage 64.

Mes questions sont donc quel est le but de cette démarche est ce que les personnes exploitent une faille de sécu? comment empecher cela?

Merci d'avance pour votre aide. Je pourais poster la source de mon script si nécessaire.

Merci

Micka

3 réponses

Réponse 1 / 3
Flachy Joe Messages postés 2103 Date d'inscription jeudi 16 septembre 2004 Statut Membre Dernière intervention 21 novembre 2023 1
3 déc. 2008 à 15:06
D'après les information obtenu par la commande whois :

flachyjoe@localhost:~$whois 134.37.255.5

Cette adresse IP est fournie par une compagnie Finlandaise, on trouve 3 noms : Cargotec, Partek et Tieto.

Si tu n'as aucune raison de recevoir des messages de ces organismes, fait un filtrage sur l'IP pour bloquer la possibilité d'envoi.

Flachy Joe

« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. » Les Shadoks<
0
Réponse 2 / 3
mickadevelop Messages postés 55 Date d'inscription mardi 15 février 2005 Statut Membre Dernière intervention 4 juin 2010
3 déc. 2008 à 23:14
Bonsoir,
oui je te remercie pour l'info mais le probleme c'est que à chaque fois l'IP est différente un coup de finlande une autre fois de frankfort, etats unis, albanie,pologne,.....
est ce que l'encodage 64 dans le header (champs sujet du formulaire) peut servir de à détourner mon script d'envoi de mail?

Merci encore 2 message ce soir (environ 3 par jours) ca commence a devenir ch.....

mickadevelop
0
Réponse 3 / 3
Flachy Joe Messages postés 2103 Date d'inscription jeudi 16 septembre 2004 Statut Membre Dernière intervention 21 novembre 2023 1
4 déc. 2008 à 14:28
Est ce que le texte est toujours le même ?

Jete un coup d'œil à ça :
http://209.85.229.132/search?q=cache:eMqp_ufF2VIJ:www-umb.u-strasbg.fr/listedesemplois101007.php+%22ground+turkey+burger+recipes%22&hl=fr&ct=clnk&cd=4&gl=fr

et au site lié.

J'ai repéré plusieurs site de cet hébérgeur (12gbfree.com) qui ont envoyé du spam (et ont disparus depuis).
A mon avis les mails sont envoyés depuis des ordis qui ont été infectés.

Met un captcha sur ton formulaire, ça le protègera des robots.

Flachy Joe

« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. » Les Shadoks<
0

Discussions similaires

[clos] script pour prendre des rendez sur mon site
cs_lyamcarter -
Julien39 -

1 réponse
TLSCONTACT
Cavalier14 -
jordane45 -

3 réponses
besoin de désactiver/supprimer le captcha
aissous27 -
jordane45 -

9 réponses
Formulaire de connexion et d'inscription
Nemebertrandlkn -
djimtolouma -

3 réponses
Formulaire de demande de congés
cs_sarrayosra -
syndrael -

3 réponses
Rejoignez-nous