Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 07.12.2018, 08:09   #1
Студент
 
Регистрация: 12.02.2013
Сообщений: 17
Репутация: 10

По умолчанию Уязвимость mail отправки на сайте WP

Добрый день)

Суть проблемы:
Сайт на WP, используется форма обратной связи
При этом на некоторых страницах адреса получателя различные, то есть в настройках конкретной страницы есть поле для ввода маил-адреса конкретно для этой страницы – адрес получателя выражается переменной
Отправка писем идет через обычный phpmailer
Все настроено и работает корректно
Но из-за того, что адрес получателя выражается переменной, боты подставляют рандомные адреса и отправляют на них письма с формы обратной связи. По факту происходит спам на рандомные, даже не существующие маил адреса.

Пример из логов mail.log:
mail() on [/var/www/u0123***/data/www/site.su/wp-includes/cl ass-phpmailer.php:698]: To: kdannyn@aol.com — Headers: Date: Thu, 6 Dec 2018 17:41:56 +0000 From: Mikhail <myname@r-service.com> Message-ID: <a92faaf5bb2422bab914a2a8ba2c0f02@site.su> X-Mailer: PHPMailer 5.2.22 (github.com/PHPMailer/PHPM... MIME-Version: 1.0 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: 8bit
В данном примере отправка идет на непонятный адрес kdannyn@aol.com, все остальные записи имеют схожий вид – меняются только адреса маил

Примеры из логов access.log:
173.249.31.49 – - [06/Dec/2018:20:08:47 +0300] "GET / HTTP/1.0" 200 24577 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
173.249.31.49 – - [06/Dec/2018:20:08:49 +0300] "POST / HTTP/1.0" 302 – "site.su/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
Здесь видно как бот зашел и оставил заявку, подставив маил адрес получателя, который указан выше.

Может у кого то есть решение)
Как видно из обращения бот отправляет запрос post, может есть возможность как то его граничить, не нарушая при этом функции отправки для реальных людей

Спасибо за внимание

Последний раз редактировалось intell88; 07.12.2018 в 08:32..
intell88 вне форума   Ответить с цитированием

Реклама
Старый 07.12.2018, 09:40   #2
Sitealert
Слесарь-сайтосборщик
 
Регистрация: 30.09.2016
Адрес: Замкадье
Сообщений: 4,179
Репутация: 311063

По умолчанию Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от intell88 Посмотреть сообщение
в настройках конкретной страницы есть поле для ввода маил-адреса конкретно для этой страницы
И при чём здесь боты, если речь о настройках? У Вас есть список конкретных адресов?
__________________
Накрутка живой активности в Инстаграм. С гарантией!
Отпилю лишнее, прикручу нужное, выправлю кривое.
Вытравлю вредителей.
Sitealert вне форума   Ответить с цитированием
Старый 07.12.2018, 10:17   #3
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,361
Репутация: 1430707

По умолчанию Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от intell88 Посмотреть сообщение
используется форма обратной связи
Самописная дырявая кривуля?
Цитата:
Сообщение от intell88 Посмотреть сообщение
есть поле для ввода маил-адреса конкретно для этой страницы
Адреса ПОЛУЧАТЕЛЯ?
__________________
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 50$ ***
SeVlad вне форума   Ответить с цитированием
Старый 07.12.2018, 10:32   #4
Gerga
Кандидат наук
 
Аватар для Gerga
 
Регистрация: 02.08.2015
Адрес: Одесса
Сообщений: 416
Репутация: 77920
Отправить сообщение для Gerga с помощью ICQ Отправить сообщение для Gerga с помощью Skype™

По умолчанию Re: Уязвимость mail отправки на сайте WP

intell88, интересно взглянуть как у вас определяется адрес получателя для страницы. Как я могу представить, в вашей форме есть input, в котором вписывается адрес получателя из произвольного поля, это нужно исправить.
Gerga вне форума   Ответить с цитированием
Старый 07.12.2018, 10:49   #5
intell88
Студент
 
Регистрация: 12.02.2013
Сообщений: 17
Репутация: 10

ТопикСтартер Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Самописная дырявая кривуля?

Адреса ПОЛУЧАТЕЛЯ?
Да адрес получателя.

В функциях темы:

if(isset($_POST['send_message'])):
$capkey = get_query_var( 'capkey' );
session_start();

if ( $_SESSION["code"] != $_POST["captcha"]) {
wp_redirect( '?status=error' );
exit;
}

Redux::init( 'redux_opt' );
// global $redux_opt;
$phone = $_POST['phone'];
$region = $_POST['name_region'];
$page = $_POST['page'];
$email_to = $_POST['email_to'];


$message .= '<p><b>имя: </b>нет</p>';
$message .= '<p><b>телефон: </b>'.$phone.'</p>';
$message .= '<p><b>содержание: </b>'.$region.'</p>';

$headers = 'From: Mikhail <myname@r-service.com>' . "\r\n";


if( isset($_POST['name']) && !empty($_POST['name']) ){
$message .= '<p><b>Имя: </b>'.$_POST['name'].'</p>';
}



add_filter('wp_mail_content_type', create_function('', 'return "text/html";'));

wp_mail($email_to, 'Заявка от #4268119', $message, $headers);

wp_redirect( '?status=success' );
exit;

endif;

if(isset($_POST['send_message1'])):


Redux::init( 'redux_opt' );
// global $redux_opt;
$phone = $_POST['phone'];
$region = $_POST['name_region'];
$page = $_POST['page'];
$email_to = $_POST['email_to'];

$message .= '<p><b>имя: </b>нет</p>';
$message .= '<p><b>телефон: </b>'.$phone.'</p>';
$message .= '<p><b>содержание: </b>'.$region.'</p>';

$headers = 'From: Mikhail <myname@r-service.com>' . "\r\n";

add_filter('wp_mail_content_type', create_function('', 'return "text/html";'));

wp_mail($email_to, 'Заявка от #4268119', $message, $headers);

wp_redirect( '?status=success' );
exit;

endif;

там две формы на сайте
intell88 вне форума   Ответить с цитированием
Старый 07.12.2018, 10:52   #6
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,361
Репутация: 1430707

По умолчанию Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от intell88 Посмотреть сообщение
Да адрес получателя.
О, ужас.

Поставь плагин и не ищи приключений на седалище.
SeVlad вне форума   Ответить с цитированием
Старый 07.12.2018, 10:52   #7
intell88
Студент
 
Регистрация: 12.02.2013
Сообщений: 17
Репутация: 10

ТопикСтартер Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от Gerga Посмотреть сообщение
intell88, интересно взглянуть как у вас определяется адрес получателя для страницы. Как я могу представить, в вашей форме есть input, в котором вписывается адрес получателя из произвольного поля, это нужно исправить.
Добрый день Название: Безымянный.png
Просмотров: 139

Размер: 27.6 Кб

Это как я понял через redux идет
intell88 вне форума   Ответить с цитированием
Старый 07.12.2018, 10:54   #8
intell88
Студент
 
Регистрация: 12.02.2013
Сообщений: 17
Репутация: 10

ТопикСтартер Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от SeVlad Посмотреть сообщение
О, ужас.

Поставь плагин и не ищи приключений на седалище.
Добрый день, а плагин позволяет задавать адрес получателя на каждую страницу?
intell88 вне форума   Ответить с цитированием
Старый 07.12.2018, 10:54   #9
Gerga
Кандидат наук
 
Аватар для Gerga
 
Регистрация: 02.08.2015
Адрес: Одесса
Сообщений: 416
Репутация: 77920
Отправить сообщение для Gerga с помощью ICQ Отправить сообщение для Gerga с помощью Skype™

По умолчанию Re: Уязвимость mail отправки на сайте WP

intell88, покажи код формы.

---------- Добавлено 07.12.2018 в 10:57 ----------

Цитата:
Сообщение от intell88 Посмотреть сообщение
плагин позволяет задавать адрес получателя на каждую страницу?
Можно сделать, чтобы он это позволял. Но в твоем случае можно обойтись малой правкой, чтобы не переделывать структуру.
Gerga вне форума   Ответить с цитированием
Старый 07.12.2018, 11:00   #10
intell88
Студент
 
Регистрация: 12.02.2013
Сообщений: 17
Репутация: 10

ТопикСтартер Re: Уязвимость mail отправки на сайте WP

Цитата:
Сообщение от Gerga Посмотреть сообщение
intell88, покажи код формы.

---------- Добавлено 07.12.2018 в 10:57 ----------


Можно сделать, чтобы он это позволял.
Код формы:


<form action="" method="POST" class="default-form">
<h3 class="default-description">
Просто укажите ваш телефон, мастер
перезвонит вам в течении 3-х минут </h3>
<input type="hidden" name="name_region" value="" />
<input type="hidden" name="page" value="site.su/">
<input type="hidden" name="email_to" value="shaky-m@yandex.ru, dfg@yandex.ru.ru" />
<input type="number" name="phone" class="text-input" placeholder="+7 (---) --- -- --" required="required">
<img src="http://site.su/wp-content/themes/rsm/captcha.php" class="captcha-image" />
<input type="text" class="captcha-input" name="captcha" placeholder="Введите код" required="required" />
<input type="submit" name="send_message" class="submit-btn" value="Оставьте заявку">
</form>
intell88 вне форума   Ответить с цитированием
Ответ

Метки
mail , php , phpmailer , бот , желтуха , кривые руки , уязвимость




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 20:09. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны