attaque email

[bertiauxmarc]

Bonjour 

depuis ce week end je recois par le site plus de 7000 email de ce type : 

Delivery delayed: [XXXXXXXX] Votre message a été correctement envoyé #ct436 #tceMAMaiuUOEj

j'ai mis mon site en maintenance pour arrêter les mail, j'ai supprimer mes mail en mettant un filtre spam 

quand je réactive mon site les mails continue a tomber 

comment puis je faire pour les arrêter ? 

merci pour le coup de main 

 

[Eolia]

Cherchez un peu, on a passé la journée d'hier à répondre à ce problème^^

[bertiauxmarc]

j'ai lu les réponses d'hier mais j'ai déjà en place le système captcha 

alors que faire 

[Eolia]

Quel système captcha ? Celui de Google ou un autre ? (Je ne parle pas de module)

[bertiauxmarc]

c'est le module prestashop 

si je doit mettre l'autre je dois désactiver le module ou pas ? 

[Eolia]

Il y en a plein de modules Prestashop et apparement celui-ci ne fait le job.

Si vous installez la méthode du recaptcha Google, vous devez évidemment supprimer ce module.

[natachaC]

Bonsoir

sur le site d'un client, j'ai été récemment confronté à un chinois qui envoyait des mails via le formulaire de contact mais pas en si grand nombre

il utilise le mail de confirmation de contact pour transmettre un contenu incompréhensible traduit du chinois mais avec un lien

pour l’arrêter

j'ai installé le recaptcha Google : rien
j'ai conditionné l'affichage du formulaire de contact aux seuls clients connectés : pareil
pour voir j'ai même supprimé le formulaire : pareil

il semblerai qu'il s'attaque directement au contrôleur via un script

du coup dans ContactController.php j'ai ajouté des filtres au fur et à mesure des mails

je suis un peu testasse en tout cas plus que lui il a fini par lâcher le morceau au bout de 15 jours

if (!($from = trim(Tools::getValue('from'))) || !Validate::isEmail($from) || stripos($from, "@qq.com") || stripos($from, "@163.com") || stripos($from, "@qq.con") || stripos($from, "@qq.cim") || stripos($from, "@cod222.com") || stripos($from, "@sina.com") || stripos($from, "@126.com") || stripos($from, "@189.cn") || stripos($from, "@139.com") || stripos($from, "@sohu.com") || stripos($from, "@qq.qqcom") || stripos($from, "@sina.cn") || stripos($from, "@sohu.com") || stripos($from, "@sina.com.cn") || stripos($from, "[email protected]") || stripos($from, "@189.com") || stripos($from, "@qq.cm") || stripos($from, "@qq.om") || stripos($from, "@vip.qq.com") || stripos($from, "@qq.ckm") || stripos($from, "@www.wcloud.com") || stripos($from, "[email protected]") || stripos($from, "@foxmail.com") || stripos($from, "@pp.com") || stripos($from, "@yahoo.com.tw") || stripos($from, "@foxmail.con") || stripos($from, "@foxmil.com") || stripos($from, "[email protected]") || stripos($from, "@bccto.me") || stripos($from, "@2980.com") || stripos($from, "[email protected]") || stripos($from, "@qq.xy") || stripos($from, "@qq.ccc") || stripos($from, "@s.com") || stripos($from, "[email protected]") || stripos($from, "@qq.cpm") || stripos($from, "[email protected]") || stripos($from, "[email protected]") || stripos($from, "@tom.com") || stripos($from, "@yahoo.cn") || stripos($from, "@15.com") || stripos($from, "[email protected]"))

monsieur est joueur comme vous pouvez le constater dans les adresses mail

sinon pour un autre site plus récent j'ai fait installer geoIP sur le serveur et on a installé un module de bannissement par IP et pays

[bertiauxmarc]

Bonjour a tous 

j'ai modifier le header.tpl  et le Index.php en pensant être débarrassé de mail cette nuit, mais il n'en est rien j'en ai reçu 700 cette nuit et ils arrivent encore 

avez vous d'autre idée afin de les arrêter 

 

[Eolia]

URL de votre site svp ?

[bertiauxmarc]

le voici

www.artifreeze.be 

 

[Eolia]

Bah vous avez du rater un truc, il est où le re-captcha ???

[bertiauxmarc]

je me doute pourtant les deux fichiers header.tpl et index.php son modifier 

voici l'extrait des deux 

header :

  <script src="https://oss.maxcdn.com/libs/respond.js/1.3.0/respond.min.js"></script>
  <![endif]-->
<!-- Google ReCaptcha on contact form -->
                <script>
                        var googlecaptchasitekey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx; /* TODO: tune this https://www.google.com/recaptcha/admin */
                        $(document).ready(function(){
                                var $forms = $('form.contact-form-box');
                                if ($forms.length > 0){
                                        var captcha = $('<div class="g-recaptcha" data-sitekey="'+ googlecaptchasitekey + '">');
                                        var $submit = $forms.find('#submitMessage');
                                        $submit.before(captcha);
                                        $submit.click(function(event){
                                                if ($forms.find('#g-recaptcha-response').val().length == 0) {
                                                        event.preventDefault();
                                                        event.stopPropagation();
                                                        return false;
                                                }
                                        });
                                }
                        });
                </script>
                <script src='https://www.google.com/recaptcha/api.js?hl={$language_code}'></script> 
 </head>

 

 

index.php

*  @license    http://opensource.org/licenses/afl-3.0.php Academic Free License (AFL 3.0)
*  International Registered Trademark & Property of PrestaShop SA
*
*/
  if (isset($_REQUEST['submitMessage'])){
                                if (empty($_REQUEST['g-recaptcha-response'])){
                                        sleep(25);
                                        die('not human');
                                }
                                $opts = array('http' =>
                                                array(
                                                        'method'  => 'POST',
                                                        'header'  => 'Content-type: application/x-www-form-urlencoded',
                                                        'content' => http_build_query(
                                                                array(
                                                                        'secret' => xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, /* TODO: tune this https://www.google.com/recaptcha/admin */
                                                                        'response' => $_REQUEST['g-recaptcha-response'],
                                                                )
                                                        ),
                                                ),
                                );
                                $stream = stream_context_create($opts);
                                $captcha = @json_decode(file_get_contents('https://www.google.com/recaptcha/api/siteverify', false, $stream), true);
                                if (empty($captcha) || empty($captcha['success']) || !$captcha['success']){
                                        sleep(25);
                                        die('not human'.PHP_EOL.print_r($captcha,1));
                                }
                        }
               
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");

 

 

[Eolia]

On est bien d'accord que vous êtes allés sur https://www.google.com/recaptcha/admin et que vous avez remplacé les XXXXXX par la clé SECRETE dans index.php et les XXXXXX par la clé PUBLIQUE dans le header.tpl ???

Ces clés doivent être entourées de guillemets (simples ou doubles)

 

 var googlecaptchasitekey = 'XXXXXXX';
                        $(document).ready(function(){

[bertiauxmarc]

je n'avais pas mis les guillement 

je commence a voir le capcha mais il me fait une erreur 

[Eolia]

Vous n'auriez pas interverti les clés ?

Vous avez bien entré votre nom de domaine seul ? (sans www)

[bertiauxmarc]

excusez moi il y avait les www 

ce qui me regénéré  deux autres cle qui fonctionne a présent 

je croise les doigts que je ne reçoivent plus de mail 

encore merci pour votre patience 

[Eolia]

 

[bertiauxmarc]

bonjour du jeudi 

je reviens vers le forum car les mails continuent à arriver aucun changement depuis que le recaptcha est installé correctement 

est-ce la queue qui doit encore sortir ? 800,mail cette nuit ... la queue est longue 

ou les mails arrivent ils par ailleurs I don't know 

[Eolia]

Commencez par vider votre mailqueue (à voir avec votre hébergeur) ensuite regardez votre access.log pour voir si des appels sont effectués sur la page contact.

[Sda33]

Bonjour et avant tout merci pour toutes les réponses apportées sur ce forum, et sur ce sujet en particuliers.

Nous sommes confrontés au même problème de détournement de notre formulaire de contact. Après un bloquage OVH, nous avons pu rétablir les services tout en maintenant l'envoi de mail inactif le temps de résoudre le problème.

J'ai mis en place le recaptcha Google (paramétré en "paramètre le plus sécurisé" depuis Google) ce matin en suivant les conseils de Eolia, il fonctionne bien quand je teste, mais nous continuons à voir grossir le nombre de messages postés dans le SAV.

Nous en avons tellement que maintenant deux fois sur 3 le site en back comme en front plante pour un problème de connexion bdd.

Comment expliquer que le formulaire soit toujours validé malgré le captcha ? Qu'ai'je fait de travers ?

 

Mille mercis.

 

Voici le type de log :

125.118.78.219 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
218.73.135.44 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
14.115.206.250 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
49.72.4.197 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
103.230.123.53 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
103.213.250.40 (xxx)- [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
60.176.237.115 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
121.231.171.177 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
222.188.247.118 (xxx) - [25/Jan/2018:13:00:37 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"

[bertiauxmarc]

re bonjour 

depuis +/- 10h je ne reçois plus de mail dans mon back office SAV tout c'est arrêté

ma configuration sur suis hébergé chez one.com et je peux voir mes mais par one.com

 

bref plus de mail dans mon back office prestashop (c super !!)  par contre les mails continuent à arriver (en spam) sur one.com 

en voici un exemple

 

[Eolia]

Bah c'est votre mailqueue ça^^

Le message est en DELAYED (différé donc envoyé le 23 sans doute) et a été délivré hier.

[bertiauxmarc]

d'accord merci 

par contre juste avant 10 h j'ai demandé a one.com pour vider la queue et ils m'ont répondu que c'était impossible chez eux 

[Eolia]

il y a une heure, Sda33 a dit :

Bonjour et avant tout merci pour toutes les réponses apportées sur ce forum, et sur ce sujet en particuliers.

Nous sommes confrontés au même problème de détournement de notre formulaire de contact. Après un bloquage OVH, nous avons pu rétablir les services tout en maintenant l'envoi de mail inactif le temps de résoudre le problème.

J'ai mis en place le recaptcha Google (paramétré en "paramètre le plus sécurisé" depuis Google) ce matin en suivant les conseils de Eolia, il fonctionne bien quand je teste, mais nous continuons à voir grossir le nombre de messages postés dans le SAV.

Nous en avons tellement que maintenant deux fois sur 3 le site en back comme en front plante pour un problème de connexion bdd.

Comment expliquer que le formulaire soit toujours validé malgré le captcha ? Qu'ai'je fait de travers ?

 

Mille mercis.

 

Voici le type de log :

125.118.78.219 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
218.73.135.44 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
14.115.206.250 (xxx) - [25/Jan/2018:13:00:35 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
49.72.4.197 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
103.230.123.53 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
103.213.250.40 (xxx)- [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
60.176.237.115 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
121.231.171.177 (xxx) - [25/Jan/2018:13:00:36 +0100] "POST /contactez-nous HTTP/1.1" 200 62702 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
222.188.247.118 (xxx) - [25/Jan/2018:13:00:37 +0100] "POST /contactez-nous HTTP/1.1" 200 153 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"

Vous avez bien mis les 2 clés DIFFERENTES ?

Le code php est bien dans l'index.php à LA RACINE DU SITE ?

Avez-vous testé d'envoyer un message sans valider le captcha ? (et même en désactivant le javascript)

[Sda33]

@Eolia voilà je ne voulais pas faire le boulet et je l'ai quand même fait. Quand je testais le formulaire, si je ne cochais pas la case du captcha je ne pouvais pas le soumettre, j'ai pensé que c'était ok. Mais...

 

J'avais modifié index.php à la racine de mon thème, c'est à dire au même niveau que le contact_form.tpl - et non pas à la racine de mon www. 

Je viens donc de retirer le code de ce fichier, et de le mettre dans l'index.php à la racine du www donc.

Le site s'est mis à ramer, beaucoup, j'espère que ça ira ainsi.

Merci encore.

 

Pour info après plusieurs minutes je n'enregistre effectivement plus de message au SAV mais j'ai toujours ça dans les logs : dois-je m'en inquiéter, est-ce que ça "fait un truc que je ne vois pas", ou bien est-ce "normal" et cela va s'arrêter ?

218.93.175.55 (xxx) - [25/Jan/2018:14:54:49 +0100] "POST /contactez-nous HTTP/1.1" 200 9 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
115.204.29.119 (xxx) - [25/Jan/2018:14:54:49 +0100] "POST /contactez-nous HTTP/1.1" 200 9 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
115.221.124.79 (xxx) - [25/Jan/2018:14:54:50 +0100] "POST /contactez-nous HTTP/1.1" 200 9 "https://(xxx)/contactez-nous" "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"

Edited January 25, 2018 by Sda33 (see edit history)

[[email protected]]

Bonjour,

j'ai installé reCaptcha de Google il y a quelques semaines et je ne recevais plus messages russes. A ma grande surprise, depuis ce matin je suis à nouveau investi par de nouveaux messages SAV russes.

J'ai deux questions :

1. Est-ce qu'il n'y a pas de moyen de supprimer complètement le formulaire "contacter-nous", pour ne plus recevoir ces messages ? Ce devrait régler le problème définitivement, non ?

2. Comment sélectionner et supprimer plusieurs messages SAV à la fois ? Je n'ai que la possibilité de les supprimer un par un, ce qui prend un temps fou.

Merci d'avance pour votre aide et bonne année 2019.

 

Pour info, mon site est soapandthecity.fr

[Eolia]

C'est qu'il est mal installé ou que vous avez utilisé la version V3 qui n'est pas fiable.

Supprimer la page ne sert à rien car le controleur existe toujours^^

Suivez ce tuto et vous n'aurez plus de spam: https://shop.devcustom.net/fr/content/9-mise-en-place-captcha?content_only=1

[[email protected]]

Merci beaucoup Eolia. Je crois que je l'avais mal installé. J'ai suivi vos instructions et depuis quelques heures je n'ai plus de messages russe. Ouf ! Pourvu que ça dure.

 

[Eolia]

Ça durera