Hvad gør jeg- min hjemmside er lukket p.g.a. spam

Hvad de skriver, rette dine sikkerhedshuller.

Vi kan altså ikke hjælpe uden at kende din kode, duuuh!

Jamen kode- der er ca. 100 sider................

Men hvad er det i en kode, der kan gøre siden åben for spam?

Flere ting end jeg kunne skrive her på et par dage. Men du kunne jo lave en liste over hvilke features din hjemmeside havde, så er det nok nemmere at pointere ud de sandsynelige fejlpunkter, og så kan du poste koden for disse.

Tænker du på de steder, hvor brugeren kan sende e-mails?
Bortset fra det er det ganske simpel html.

ntg -> Det er sandsynligt at du har et sikkerhedsproblem i den komponent som kan sende emails ? Fx. at du kan sende til alle mulige modtagere efter eget valg

Det er vist rigtigt - tror jeg har en "anbefal til en ven" et sted.
Men hvordan bærer spammeren sig ad med at bruge det?

Så skal vi bruge den PHP eller ASP kode du bruger til funktionen

Kan det være det her:

If you fill in the form and submit it, an e-mail with your recommendation will be sent to your friend

<form action="send.php" method="post">
<TABLE WIDTH="100%" BORDER="2" CELLSPACING="0">

<TR><TD nowrap><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
Your name
</TD><TD><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
<input type="text" name="from" size="30">
</TD></TR>

<TR><TD nowrap><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
Your e-mail
</TD><TD><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
<input type="text" name="frommail" size="30">
</TD></TR>

<TR><TD nowrap><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
Your friends name
</TD><TD><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
<input type="text" name="to" size="30">
</TD></TR>

<TR><TD nowrap><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
Your friends e-mail&nbsp;&nbsp;&nbsp;
</TD><TD><FONT FACE="Arial" COLOR="#FFFFFF"><H5>
<input type="text" name="tomail" size="30">
</TD></TR>

</TABLE>

<BR><input type="submit" value="Click to send recommendation">

Jeg ville overveje at lave en form for sikkerhed, fx. captcha

Men det du viser os er jo ikke PHP koden, men den rene HTML, det er ikke det som sender emailen

Det kunne være send.php som vi skal se

Selvfølgelig. Den kommer her:
Men hvad er captcha?

<?php

echo "<html><BODY BACKGROUND='../pics/nav.gif' bgcolor='#BFBFBF' text='#FFFFFF' LINK=red VLINK='red' ALINK=silver> <FONT FACE='Arial'><H5>";





$subject = "Re: Fight the Death Penalty in USA";
$message = "Hi $to\n\n

$from ($frommail) recommends you to take a look at http://www.fdp.dk\n\n$hilsen";
$extra = "From: $frommail\nReply-To: ngr@mail.dk\n";

mail ($tomail,  $subject, $message, $extra);




$time= date("d.m.Y - H:i", time());

$datafil = "recommend.dat";

if (is_file($datafil))
{
}
else
{
touch($datafil);
}

$fp=fopen($datafil,"a");
fwrite($fp,"$time\n");
fwrite($fp,"Fra: $from  -  $frommail\n");
fwrite($fp,"Til: $to  -  $tomail\n\n");
fclose($fp);

echo "Thank you<BR><BR>Your recommendation has been mailed to $to, $tomail <BR><BR>Click <A HREF='../index.html'><b>here</b></A> to proceed to the main page";

echo "</body></html>";

?>

http://www.google.dk/search?hl=da&q=captcha+php&meta=

Du er jo så heldig at din Tip-en-ven-funktion har en log-funktion.

Du vil altså kunne gå ind i recommend.dat og se om funktionen er blevet misbrugt.


Iøvrigt - hvorfor sender du en mail hvor subject starter med Re:?
Hvis jeg modtog sådan en ville jeg også kunne finde på at kalde det spam. Specielt fordi mailen jo ikke indeholder noget særligt.

ja, den kode der.. ville være nem at spamme ekstremt med.

send.php?tomail=send_me@spam.com&to=FREE%20VIAGRA

Og så ville du sende en mail ud. Hvis du ikke selv har skrevet php kode, vil jeg anbefale er du fjerner email funktionen fra din webside, indtil du har lært at kode php.

Derudover skal du have skrevet en hel ny php mailer, da det stykke kode du har er kort sagt elendigt. Og du bør tilføje en captcha.

Så har jeg fjernet koden, recommend.dat indeholdt en masse almindelige adresser, og i slutningen dette:

Virtually all high paying jobs require a degree. If you don\'t have the
degree you feel you deserve, or have a degree you feel no longer suits your
chosen career path, let us help!

Simply call the number below (at no cost to you), and leave your contact
info (your name and full phone number, and what time is most convenient for
you for us to return your call), and we\'ll get back to you promptly with
full information about the types of accredited degrees we offer, and the
process required to obtain them.

Take a solid step to improve your life, and drastically improve your
income..
Call:  1-801-659-3997
Call 24/7, including Sundays and Holidays (system is automated, be sure to
leave your phone number so that we can get back to you!)

Og tak for hjælpen!
Kan jeg få nogle svar til points?

Men windcape: Hvordan har spammerne fundet frem til send.php?

På samme måde som Leif i 24/04-2007 14:28:34:
Via. html: <form action="send.php" method="post">
... og så prøver de sig så frem til det knækker
eller rettere de prøver om scriptet knækker.

Rart at se, at udbyderne gør noget ved sådanne situationer,
selvom det selvfølgelig ikke er sjovt, at blive ramt af det.

Men hvordan ved de, at der ligger en send.php på mit site?

I din html formular til anbefal ven står:
<form action="send.php" method="post">
- Læg mærke til hvad der står i action.

Captcha kan være meget godt.

I det her tilfælde kræver det nok bare noget input-validering.
Jeg vil, som andre, foreslå at du sletter send.php indtil du får styr på det.

Input validering er ikke nok. Spørgeren benytter også register globals hvilket er en stor sikkerhedsfejl (du burde brokke dig over det er slået til :p)

Og der er absolut intet check på om dataen overhovedet er sendt, dvs. at man kan sende blank bare ved at åbne send.php, og man kan også snyde dem som jeg viste før.

Ville ikke tage mere en et par min at kode et script som sendte et par milliarder emails fra hans send.php :p