Hallo,
ich bin die letzten Tage auch gehackt worden: Von Spammern. 2 meiner
PHP-Scripts (ein Kontaktformular und eine Newsletterbestellug mit
Opt-In Verfahren) sind zum Spamversand missbraucht worden. Dabei
dachte ich vorher immer genau diese Möglichkeit hätte ich
ausgeschlossen, da ich beim Kontaktformular z. B. die Mailadresse
hartkodiert im Script stehen habe. Aber das alleine hilft nicht.
Der Angriff funktioniert so:
Wenn beispielsweise die Mailadresse von aussen in das Script per
$_POST['mail'] kommt und der Mailversand mit:
mail(me@example.org,"Subject","Text","From: $_POST['mail'])
dann schickt der Angreifer einfach folgendes weg:
mail@example.org
bcc: spam1@example.org, spam2@example.org....
Woraus dann im Mailbefehl wird:
mail(me@example.org,"Subject","Text","From: mail@example.org\nbcc:
spam1@example.org, etc.)
Daher muß man in solchen Scripts unbedingt auf Zeilenumbrüche (\n)
prüfen um das zu verhindern. Das wußte ich davor auch noch nicht.
Nur als Tip an alle PHP-Programmierer hier. Siehe auch:
http://webwork-magazin.net/tricks/artikel/214
Gruß
Reks30
ich bin die letzten Tage auch gehackt worden: Von Spammern. 2 meiner
PHP-Scripts (ein Kontaktformular und eine Newsletterbestellug mit
Opt-In Verfahren) sind zum Spamversand missbraucht worden. Dabei
dachte ich vorher immer genau diese Möglichkeit hätte ich
ausgeschlossen, da ich beim Kontaktformular z. B. die Mailadresse
hartkodiert im Script stehen habe. Aber das alleine hilft nicht.
Der Angriff funktioniert so:
Wenn beispielsweise die Mailadresse von aussen in das Script per
$_POST['mail'] kommt und der Mailversand mit:
mail(me@example.org,"Subject","Text","From: $_POST['mail'])
dann schickt der Angreifer einfach folgendes weg:
mail@example.org
bcc: spam1@example.org, spam2@example.org....
Woraus dann im Mailbefehl wird:
mail(me@example.org,"Subject","Text","From: mail@example.org\nbcc:
spam1@example.org, etc.)
Daher muß man in solchen Scripts unbedingt auf Zeilenumbrüche (\n)
prüfen um das zu verhindern. Das wußte ich davor auch noch nicht.
Nur als Tip an alle PHP-Programmierer hier. Siehe auch:
http://webwork-magazin.net/tricks/artikel/214
Gruß
Reks30