Moin moin,
und danke für die Erklärungen.
Ich habe gestern mal noch etwas recherchiert - es sind unheimlich viele Seiten zu finden, die betroffen sind. Und das sind ja nur die, bei denen die Formularinhalte gespeichert werden, nicht die, bei denen nur Mails versendet werden.
Der Angreifer (und genau das ist ein Angriff ) macht das nicht manuell. Er sucht (mittels Suchmaschine?) nach Formularen und lässt diese durch ein Programm oder Skript abholen und parsen. Das Skript füllt das Formular mit den Mailadressen, bestehend aus zufälligem Localpart und Hostname sowie der Adresse jrubinxxx.aol.com. oder berg....@aol.com. Diese existiert....
Ja, das ist klar. Die Angriffe passieren ja innerhalb von wenigen Sekunden - manuell wäre das gar nicht machbar, vor allem auch, weil innerhalb von zwei oder drei Tagen so viele Formulare getestet wurden.
Auch enthalten: Eine ID für den Vorgang, ich nehme an, er speichert die Adresse des ausgefüllten Formulars in einer Datenbank (er benutzt Zombies, die Adressen wechseln ständig quer durch die ganze Welt, oft Brasilien und Polen (vermutlich gibts in diesen laändern viele ungepachte Windows-Rechner), aber vermutlich melden diese die Adresse und die ID an einen "Server".)
Das denke ich auch. Betroffen sind aber auch Seiten, die eigentlich rennomiert sein müßten, z. B. http://www.pcdirekt.de/praxis/home_computing/article20050812028.aspx
Seine Zombies füllen also Formulare und irgendwann gelingt der Angriff: Er erhält ein eMail mit der ID des Angriffs und braucht also nur noch in der Datenbank nachschauen, wo das unsichere Formular denn sei und dann noch ein wenig testen und: Spam frei!- Der arme "Webmaster" bekommt Beschwerden und eine hübsche Rechnung für Traffic und Support. Da hilft auch kein Zertifikat...
Dann mal herzliches Beileid ...
Beispiele für so angreifbare Skripte fanden (und finden sich sicher noch immer im Web (selbst auf selfhtml.org bis vor kurzem)- ich nehme an, er wird regelmäßig "geprüfte Webmaster" finden, die kurz danach "leidgeprüfte Webmaster" sind.
Naja, man lernt ja auch immer mehr dazu ...
BTW: Mich hat vor einigen Tagen etwas stutzig gemacht. Ein Webprojekt, bei dem nach außen momentan nur ein paar Seiten zu sehen sind und das erst im Entstehen ist (die DB ist noch fast leer), wurde mit einem Downloadmanager heruntergeladen. Wozu macht man das? Sucht man im HTML-Quelltext nach Input-Namen um die dann z. B. per $_POST zu testen? Auf den Seiten befinden sich mehrere Formulare ...
Viele Grüße
Jörg