Spammer

[binarysun]

Cronaca di un'inchiapp###ata senza vaselina!

Recentemente sono passato da AV ad un host a pagamento (avevo bisogno di accedere a file esterni)

Una bella sera mi è venuta la brillante idea di modificare il mio modulo invia email.
Modificandolo però ho fatto un madornale errore, non ho controllato l'input.

Per chi non lo sapesse il comando mail di PHP funziona in questo modo:
Mail("destinatario","oggetto","messaggio","header" )
Io la usavo in questo modo:
Mail("mio@indirizzo.it","oggettoinserito","messagg io inserito","From: $mail")

Uno spammer quindi inserendo nel campo $mail direttamente un email ha sfruttato il mio spazio e il mio dominio per spammare in giro.
Un attacco di code injection.

Fortunatamente mene sono accorto relativamente presto, ma la frittata era fatta.

Su AV questo attacco accade relativamente di rado dato che il dominio di altervista è su tutte le liste antispam del globo, state attenti se utilizzate questa funzione perchè potrebbero utilizzarvi per inviare virus o roba peggiore.

[Dodi]

segnalazione importante questa! può tornare utile a molti in futuro!

[funcool]

segnalazione importante questa! può tornare utile a molti in futuro!

Ma tanto sono in pochi quelli che usano la funzione Cerca del forum...

Vorrei sottolineare che lo spammer ha utilizzato il campo Bcc, passando nelle intestazioni gli indirizzi email ai quali far recapitare la mail.

Il problema può esser facilmente eliminato controllando, in questo caso, che $mail sia realmente un indirizzo email utilizzando un semplice preg_match:

Codice PHP:

if ( preg_match ( '/^[A-z0-9][\w.-]*@[A-z0-9][\w\-\.]+\.[A-z0-9]{2,6}$/', $mail) )
{
echo "OK";

} else {
echo "Non è un indirizzo email valido";
}


[funcool]

Basta mettere ciao@come.va e la protezione salta.

Basta mettere ciao@come.va e la protezione salta.

Beh, in questo caso invierà una sola mail al VERO destinatario. Se non si effettuano controlli alla variabile $mail si possono passare alla funzione mail INTERE INTESTAZIONI; tanto per farti un esempio:

1) Inserisco l'oggetto nel form
2) Inserisco la mail (che può essere anche in HTML)
3) Inserisco nel campo mittente qualcosa del tipo:

george.bush@casabiance.it <george.bush@casabiance.it>\r\nBcc: mailtua@funcool.it, maildituasorella@funcool.it, maildituamadre@funcool.it, maildituononno@funcool.it, maildituonipote@funcool.it, maildeituoiamici@funcool.it\r\n

Poi se la mail è in HMTL, come ciliegina aggiungo anche:

MIME-Version: 1.0\r\nContent-type: text/html; charset=iso-8859-1\r\n

Ed il gioco è fatto.

@funcool: prima di criticare, leggi bene cosa si vuole evitare

Bye.

[funcool]

@funcool: prima di criticare, leggi bene cosa si vuole evitare

La mia non era una critica ma una constatazione.

[binarysun]

La mia paura è che non ci sia un controllo neppure sui caratteri ascii.

La mia soluzione è stata più drastica.
Tutto quello inviato dall'utente viene inserito nel corpo della lettera.
Nel comando mail inserisco "From: privato@miosito.net"
In questo modo non dovrebbe poter manipolare nulla.

La mia paura è che non ci sia un controllo neppure sui caratteri ascii.

La mia soluzione è stata più drastica.
Tutto quello inviato dall'utente viene inserito nel corpo della lettera.
Nel comando mail inserisco "From: privato@miosito.net"
In questo modo non dovrebbe poter manipolare nulla.

Se si usa htmlspecialchars per oggetto e testo e si controlla che l'indirizzo email del mittente è realmente un ind. email (e non anche altro..) non si corrono rischi

Naturlmente se si inserisce l'email del destinatario nel corpo dell'email si rischia ancora meno

Bye.

ci sono caduto anche io e per 4 giorni aruba mi ha disattivato il sito finchè non risolvevo il problema, praticamente dal mio dominio mandavano circa 1.000 e-mail al giorno e l'hanno fatto per circa 6 giorni!