Hallo,

Ist das schon der eigentliche Spamversuch oder nur der Versuch ein offenes Formmail-Script zu finden?

Vermutlich letzteres.

Interpretiere ich das richtig, wenn ich Formmail haette, wuerde

• eine e-mail an alaydwen@aol.com geschickt
• mit dem Absender WantDis@aol.com
• und dem Subject http://www.ministryofpropaganda.co.uk/cgi-bin/formmail.pl

Da das Subject immer der jeweilige Pfad ist, interpretiere ich das so, dass der Spammer eine e-mail mit dem Pfad bekommen wuerde, so dass er diesen spaeter benutzen kann.

Ja.

Aber was soll die Message, die ja nur aus Buchstabensalat zu bestehen scheint?

Vermutlich eine eindeutige ID (oder Hashcode), die/der deine Seite
eindeutig identifizierbar macht. So kann der Spammer sicher gehen,
daß sein Mailaccount zum Sammeln der "Bestätigungs-Mails" nicht
selbst mit lauter ungültigen Einträgen gespammt wird. Z.B. wenn du
jetzt auf die Idee kommen würdest, ihm 1000 gefakte Bestätigungs-
Mails mit ungültigen URLs zukommen zu lassen.

Natürlich Spekulation. Aber so würde ich es machen. :-)

Gruß
Slyh

Hallo Armin,

Ach ja, alles von dieser IP: 24.27.233.183 Muss ich bei Gelegenheit mal nachsehen.

OrgName:    Road Runner
     OrgID:      RRMA
     Address:    13241 Woodland Park Road
     City:       Herndon
     StateProv:  VA
     PostalCode: 20171
     Country:    US

NetRange:   24.24.0.0 - 24.29.255.255
     CIDR:       24.24.0.0/14, 24.28.0.0/15
     NetName:    ROAD-RUNNER-1
     NetHandle:  NET-24-24-0-0-1
     Parent:     NET-24-0-0-0-0
     NetType:    Direct Allocation
     NameServer: DNS1.RR.COM
     NameServer: DNS2.RR.COM
     NameServer: DNS3.RR.COM
     NameServer: DNS4.RR.COM
     Comment:
     RegDate:    2000-06-09
     Updated:    2002-08-22

TechHandle: ZS30-ARIN
     TechName:   ServiceCo LLC
     TechPhone:  +1-703-345-3416
     TechEmail:  abuse@rr.com

OrgAbuseHandle: ABUSE10-ARIN
     OrgAbuseName:   Abuse
     OrgAbusePhone:  +1-703-345-3416
     OrgAbuseEmail:  abuse@rr.com

OrgTechHandle: IPTEC-ARIN
     OrgTechName:   IP Tech
     OrgTechPhone:  +1-703-345-3416
     OrgTechEmail:  abuse@rr.com

Grüße
Thomas

Ich denke das der Buchstbensalat nach einem Algorythmus codiert wurde, warum auch immer!
Übrigens hatte ich den gleichen Vorkommnisse bei mir auch schon auf dem Server, da kann man wohl nichts machen!
TomIRL

"GET /cgi-bin/formmail.pl?

hi Armin,

bei mir hab' ich zwar keinen formmailer drauf, aber versucht hatte erst kürzlich auch hier jemand aufzurufen:
/cgi-bin/formmail2.pl
/cgi-bin/formmail.pl
/cgi-bin/formmail.cgi
/cgi-bin/gmformmail.pl
/cgi-bin/formmail2.cgi
/cgi-bin/form2mail.pl

nicht sehr erfindungsreich..;-)
Gruß
Ingo

Hallo Armin,

Heute waren meine logfiles mal wieder voll mit Eintraegen dieser Art:
"GET /cgi-bin/formmail.pl?

Das Problem hatte ich vor kurzem mit einem Spam-Robot namens "Missauga Locate". Wenn die Aufrufe bei dir ins Leere gehen, brauchst du dir keine Gedanken zu machen. Allerdings ist "ML" wohl so clever, dass er sämtliche Scripte im Verzeichnis cgi-bin auf die Möglichkeit hin untersucht, Mails zu versenden. Das Ergebnis bei mir waren ca. 10 leere Mails. Das ganze habe ich dann versucht zu lösen, indem ich sämtliche Scripte durch folgende Zeile ergänzt habe:

if ($ENV{'HTTP_USER_AGENT'} =~ /robot|spider|wget|crawl|slurp|bot|openfind|missauga/i) {
  exit(1);
}

Ich weiß nicht, ob das die beste Lösung ist, bis jetzt jedenfalls habe ich meine Ruhe.

Viele Grüße
Torsten