Spamversand über Formular, ohne dass ich es merke?

Kookaburra · 05.09.2008, 13:36

Hallo, liebe PHP-Gemeinde,

ich habe eine grundsätzliche Frage an die Experten:

Mein Hoster hat mir mitgeteilt, dass über meine Website SPAM verschickt wird. Vor einiger Zeit betraf dies mein Kontaktformular. Ich bin nicht fit in php, aber über Dinge wie Header-Injection weiß ich Bescheid und habe das Skript diesbezüglich abgesichert. Trotzdem wurde angeblich SPAM darüber verschickt, von dem ich selbst aber nichts mitbekommen hatte. Deshalb habe ich das Formular einfach herausgenommen. Ich hatte übrigens selbst nie SPAM über dieses Formular erhalten.

Jetzt hat mein Hoster offenbar das gleiche Problem mit meiner Podcast-Software Loudblog. Dort können Besucher Kommentare verfassen, die ich als E-Mail zugestellt bekomme. Als SPAM-Schutz kann ich dort eine Frage stellen, die korrekt beantwortet werden muss (ähnlich, wie das hier im Forum gehandhabt wird). Ich habe dort ebenfalls noch nie SPAM bekommen, nachdem ich diese Sicherheitsfrage aktiviert hatte. Trotzdem meint mein Provider, es würde SPAM darüber versand.

Jetzt meine Frage:

Gibt es grundsätzlich eine Möglichkeit für Spammer, Mails über ein HTML/PHP-Formular zu versenden, ohne dass der eigentliche Emfpänger etwas davon mitbekommt?

Mein Provider meinte, das wäre möglich, ohne mir das genauer zu erklären (der Support ist dort ohnehin etwas wortkarg). Ich habe allerdings langsam das Gefühl, dass mein Provider ganz andere Probleme hat und mir die Schuld dafür in die Schuhe schieben will. Es müsste dafür ja die Empfängeradresse überschrieben werden, wie ist sowas möglich?

Wolla · 05.09.2008, 14:19

Ich kenne nur Injektionen in die Betreffzeile, bei der böse CC bzw. BCC eingefügt werden. Hierbei bekommst du die mail aber auch selbst, es sei denn, dass dein eigener Spamfilter die aussortiert.

Manko10 · 05.09.2008, 14:30

Ohne entsprechenden Code kann ich auch nicht mehr beipflichten.

Kookaburra · 05.09.2008, 15:36

Da es eine grundsätzliche Frage ist, dachte ich, es ginge auch ohne Code.

Erst mal die einfache Variante: Hierüber wurde vor einiger Zeit angeblich Spam versandt. Ich selbst habe davon nichts mitbekommen. Ich hatte das Formular damals deaktiviert, da ich keine Zeit hatte, mich näher mit dem Problem zu befassen.

PHP-Code:

  <?php

$Empfaenger = "meine_adresse@.....de";
if($_REQUEST['Send'])
{
   if(empty($_REQUEST['Name']) || empty($_REQUEST['Email']) || empty($_REQUEST['Nachricht'])) {
      echo"Bitte gehen Sie <a href=\"javascript:history.back();\">zurück</a> und füllen Sie alle Felder aus!";
   } 
   else
   {  $Mailnachricht = "Nachricht über Kontaktformular: \n\n";
      while(list($Formularfeld, $Wert)=each($_REQUEST))
      {
         if($Formularfeld!="Send")
         {
            $Mailnachricht .= $Formularfeld.": ".$Wert."\n";
         }
      }
      
      $Mailnachricht .= "\nDatum/Zeit: ";
      $Mailnachricht .= date("d.m.Y H:i:s");
      $Mailbetreff = "Kontakt: ";
      $Mailbetreff .= $_REQUEST['Betreff'];
      $Mailnachricht = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $Mailnachricht );
      $Absender = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $_POST['Email'] );
      $Email = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $Absender );
      $Mailbetreff = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $Mailbetreff );
      $Mailnachricht .=$Absender;
      mail($Empfaenger, $Mailbetreff, $Mailnachricht, "From: ".$Email);
      echo"Vielen Dank für die Nachricht! Ich werde sie so schnell wie möglich bearbeiten.";
   }
}
else
{
   echo"Ein Fehler ist aufgetreten. Bitte probieren Sie es <a href=\"auswerten.php\">erneut</a> oder senden Sie Ihre Nachricht an <a href=\"mailto:meine_adresse@.....de\">meine_adresse@.....de</a>.";
}

phpdummi · 05.09.2008, 15:45

Also für mich sieht das so aus, als würde an den Filtern kein Spammer vorbeikommen.

Was Lodblog angeht: Habe ich noch nie verwendet. Wie sehen denn da die Fragen aus und wie viele Fragen umfasst der Katalog?

StarSt0rm · 05.09.2008, 15:49

Man sollte generell lieber $_POST statt $_REQUEST verwenden. Zudem fällt
mir auf, dass keine einzige Eingabe überprüft/gefiltert wird. Wie man damit
nun Spam versenden soll, kann ich dir auch nicht genau sagen, da die
Empfängeradresse ja "fest" ist.

Wie ist es mit der Einstellung der "register_globals" aus?

Edit: Tja, jetzt war ich wohl zu langsam.

PTC · 05.09.2008, 16:09

Was ist es den für ein Hoster(Name, Art des Produktes)?

Wolla · 05.09.2008, 16:28

Ist die Regex im preg_replace case-sensitiv? Dann könnte man da ggf CC: einschmuggeln.
Sonst sehe ich da auch nichts. Vielleicht hat jemand dein Pop3-Passwort geknackt und schickt über deinen SMTP Mails raus, ohne dass er eins deiner Scripte nutzt.

PsychoEagle · 05.09.2008, 16:40

Vielleicht wurde auf deiner Seite auch irgendwo ein Script eingeschleust, welches ein mail(...) enthält, und es geht gar nicht um eines der von dir bekannten? Musst du mal deine Dateien nach mail() etc. abscannen. Ansonsten seh ich im Kontaktformular auch nichts, was jetzt ausgenutzt werden kann

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP: Formular Generator	Zergling-new	Tutorials	16	06.07.2010 03:14
Formular Pflichtfelder für Frontpage Formular erstellen	Caruso	JavaScript, Ajax und mehr	5	21.06.2008 09:17
Wert aus Textfeld in neues Formular übernehmen (kein Submit)	PsychoEagle	HTML, Usability und Barrierefreiheit	9	02.01.2007 14:51
formular an mehrere email-empfänger	katarzyna	PHP Tipps 2006	2	22.08.2006 07:42
formular includen	samspa5	PHP Tipps 2006	13	18.03.2006 11:37
[Erledigt] Formular in Formular		HTML, Usability und Barrierefreiheit	4	19.10.2005 12:18
[Erledigt] Formular testen ....		HTML, Usability und Barrierefreiheit	7	19.09.2005 14:03
[Erledigt] PHP Formular ~~wichtig~~		PHP Tipps 2005	27	29.05.2005 19:38
Formular --> Ergebnis auf anderer Seite anzeigen	Jojo1	PHP Tipps 2005	58	01.02.2005 17:13
Im Formular user abfragen?		Datenbanken	3	06.01.2005 10:51
[Erledigt] Daten in einem Formular ausgeben und ändern		PHP Tipps 2004-2	7	07.12.2004 17:22
Wie implementiere ich mein Email Formular?		PHP Tipps 2004-2	2	14.11.2004 17:02
Brauche PHP Formular		Beitragsarchiv	9	16.08.2004 16:23
[Erledigt] Formular mit Daten werden auf anderer Seite zusammengefasst		PHP Tipps 2004	4	15.08.2004 15:44
[Erledigt] Daten in neuem Formular anzeigen		PHP Tipps 2004	6	21.07.2004 10:44

05.09.2008, 13:36
Kookaburra Neuer Benutzer Registriert seit: 05.09.2008 Beiträge: 2	Spamversand über Formular, ohne dass ich es merke? Hallo, liebe PHP-Gemeinde, ich habe eine grundsätzliche Frage an die Experten: Mein Hoster hat mir mitgeteilt, dass über meine Website SPAM verschickt wird. Vor einiger Zeit betraf dies mein Kontaktformular. Ich bin nicht fit in php, aber über Dinge wie Header-Injection weiß ich Bescheid und habe das Skript diesbezüglich abgesichert. Trotzdem wurde angeblich SPAM darüber verschickt, von dem ich selbst aber nichts mitbekommen hatte. Deshalb habe ich das Formular einfach herausgenommen. Ich hatte übrigens selbst nie SPAM über dieses Formular erhalten. Jetzt hat mein Hoster offenbar das gleiche Problem mit meiner Podcast-Software Loudblog. Dort können Besucher Kommentare verfassen, die ich als E-Mail zugestellt bekomme. Als SPAM-Schutz kann ich dort eine Frage stellen, die korrekt beantwortet werden muss (ähnlich, wie das hier im Forum gehandhabt wird). Ich habe dort ebenfalls noch nie SPAM bekommen, nachdem ich diese Sicherheitsfrage aktiviert hatte. Trotzdem meint mein Provider, es würde SPAM darüber versand. Jetzt meine Frage: Gibt es grundsätzlich eine Möglichkeit für Spammer, Mails über ein HTML/PHP-Formular zu versenden, ohne dass der eigentliche Emfpänger etwas davon mitbekommt? Mein Provider meinte, das wäre möglich, ohne mir das genauer zu erklären (der Support ist dort ohnehin etwas wortkarg). Ich habe allerdings langsam das Gefühl, dass mein Provider ganz andere Probleme hat und mir die Schuld dafür in die Schuhe schieben will. Es müsste dafür ja die Empfängeradresse überschrieben werden, wie ist sowas möglich?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

05.09.2008, 14:19
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Ich kenne nur Injektionen in die Betreffzeile, bei der böse CC bzw. BCC eingefügt werden. Hierbei bekommst du die mail aber auch selbst, es sei denn, dass dein eigener Spamfilter die aussortiert.

05.09.2008, 14:30
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Ohne entsprechenden Code kann ich auch nicht mehr beipflichten. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

05.09.2008, 15:36
Kookaburra Neuer Benutzer Registriert seit: 05.09.2008 Beiträge: 2	Da es eine grundsätzliche Frage ist, dachte ich, es ginge auch ohne Code. Erst mal die einfache Variante: Hierüber wurde vor einiger Zeit angeblich Spam versandt. Ich selbst habe davon nichts mitbekommen. Ich hatte das Formular damals deaktiviert, da ich keine Zeit hatte, mich näher mit dem Problem zu befassen. PHP-Code: <?php $Empfaenger = "meine_adresse@.....de"; if($_REQUEST['Send']) { if(empty($_REQUEST['Name']) \|\| empty($_REQUEST['Email']) \|\| empty($_REQUEST['Nachricht'])) { echo"Bitte gehen Sie <a href=\"javascript:history.back();\">zurück</a> und füllen Sie alle Felder aus!"; } else { $Mailnachricht = "Nachricht über Kontaktformular: \n\n"; while(list($Formularfeld, $Wert)=each($_REQUEST)) { if($Formularfeld!="Send") { $Mailnachricht .= $Formularfeld.": ".$Wert."\n"; } } $Mailnachricht .= "\nDatum/Zeit: "; $Mailnachricht .= date("d.m.Y H:i:s"); $Mailbetreff = "Kontakt: "; $Mailbetreff .= $_REQUEST['Betreff']; $Mailnachricht = preg_replace( "/(content-type:\|bcc:\|cc:\|to:\|from:)/im", "", $Mailnachricht ); $Absender = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $_POST['Email'] ); $Email = preg_replace( "/(content-type:\|bcc:\|cc:\|to:\|from:)/im", "", $Absender ); $Mailbetreff = preg_replace( "/(content-type:\|bcc:\|cc:\|to:\|from:)/im", "", $Mailbetreff ); $Mailnachricht .=$Absender; mail($Empfaenger, $Mailbetreff, $Mailnachricht, "From: ".$Email); echo"Vielen Dank für die Nachricht! Ich werde sie so schnell wie möglich bearbeiten."; } } else { echo"Ein Fehler ist aufgetreten. Bitte probieren Sie es <a href=\"auswerten.php\">erneut</a> oder senden Sie Ihre Nachricht an <a href=\"mailto:meine_adresse@.....de\">meine_adresse@.....de</a>."; }

05.09.2008, 15:45
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	Also für mich sieht das so aus, als würde an den Filtern kein Spammer vorbeikommen. Was Lodblog angeht: Habe ich noch nie verwendet. Wie sehen denn da die Fragen aus und wie viele Fragen umfasst der Katalog? __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

05.09.2008, 15:49
StarSt0rm Neuer Benutzer Registriert seit: 25.08.2008 Beiträge: 14 PHP-Kenntnisse: Fortgeschritten	Man sollte generell lieber $_POST statt $_REQUEST verwenden. Zudem fällt mir auf, dass keine einzige Eingabe überprüft/gefiltert wird. Wie man damit nun Spam versenden soll, kann ich dir auch nicht genau sagen, da die Empfängeradresse ja "fest" ist. Wie ist es mit der Einstellung der "register_globals" aus? Edit: Tja, jetzt war ich wohl zu langsam. __________________ gmap – Das jQuery Plug-in für Google Maps anpassen jQuery – Sternchen Bewertungssystem Google Chart API – wenn’s mal schnell gehen muss

05.09.2008, 16:09
PTC Erfahrener Benutzer Registriert seit: 27.10.2007 Beiträge: 1.708 PHP-Kenntnisse: Anfänger	Was ist es den für ein Hoster(Name, Art des Produktes)?

05.09.2008, 16:28
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Ist die Regex im preg_replace case-sensitiv? Dann könnte man da ggf CC: einschmuggeln. Sonst sehe ich da auch nichts. Vielleicht hat jemand dein Pop3-Passwort geknackt und schickt über deinen SMTP Mails raus, ohne dass er eins deiner Scripte nutzt.

05.09.2008, 16:40
PsychoEagle there's only one psycho Registriert seit: 21.08.2007 Beiträge: 1.283 PHP-Kenntnisse: Anfänger	Vielleicht wurde auf deiner Seite auch irgendwo ein Script eingeschleust, welches ein mail(...) enthält, und es geht gar nicht um eines der von dir bekannten? Musst du mal deine Dateien nach mail() etc. abscannen. Ansonsten seh ich im Kontaktformular auch nichts, was jetzt ausgenutzt werden kann __________________ "Weaseling out of things is important to learn. It's what separates us from the animals ... except the weasel." (Homer J. Simpson)