Victime d'un hack de type "relais" : j'aimerais comprendre

[Moderation]
Attention, cet article est posté dans deux groupes et le FU2
n'etait pas positionné.

J'ai pris sur moi de le positionner sur fr.comp.securite car :

- amha le problème est bien plus général que le php
(vérif des entrées, toussa :) )

- il vaut mieux éviter des réponses à droite et à gauche dans ce cas
Si vous n'êtes pas d'accord avec ce FU2 merci de le repositionner

Eric Razny.
Co-modérateur de fr.comp.securite
[fin de modération]


Bonjour,

j'ai très honte de moi, je pensais avoir bien sécurisé mes pages web, mais
j'ai été victime d'un hack monstrueux sur une page qui était censée
m'envoyer un email.

Je m'explique :
1) une page html classique, qui contient quatre champs : un nom d'émeteur,
un email d'émeteur, un sujet, et un message, en utilisant les champs FORM et
la méthode POST.

2) ces données sont envoyées à une page php qui les récupère, et qui
contient une commande mail qui contient en dur mon adresse email. Extrait de
la feuille php
_____________________________________________
$too = "moi@monadresse.org";
/* Ce qui vient du post */
$subject = $_POST['title'];
$from_n = $_POST['realname'];
$from_e = $_POST['emaille'];
$message = $_POST['comments'];
if ($from_n<>"") $mister = $from_n; else $mister = $from_e;

/* divers tests */
if ($from_e=='') { errmess("Vous n'avez pas mis votre
email...",$url_from,$css_f); }
if ($message=='' & $subject=='') { errmess("Vous avez oubli&eacute; le
sujet et le petit message...",$url_from,$css_f); }

$h = "MIME-version: 1.0\r\n";
$h .= "Content-type: text/html; charset=iso-8899-1\r\n";
$h .= "From: ".$from_n.'<'.$from_e.'>';
$sbj = stripcslashes($subject);
$message = stripcslashes($message);

mail($too, $sbj, $message, $h);
______________________________________


3) en l'espace de 24h, je reçois plus de 600 emails venant de cette page. Je
regarde mon log, effectivement, je vois les lignes qui contiennent les POST,
venant de diverses adresses email. Dans l'urgence je bloque mon site, puis
j'efface la feuille htm et la feuille php

Bon, je me dis "ce n'est pas grave", il n'y a que moi qui a reçu ce spam

4) M...... j'ai servi de relais, car les emails de spam ont bien été
redistribués à des centaines de personnes... Je le sais, car sur mon adresse
de retour (celle de mon serveur apache), j'ai reçu plus de 800 avis de non
délivrance....

5) je regarde les emails qui m'ont été envoyé sur moi@monadresse.org, et
effectivement, je vois pour la plupart des emails de spam une liste
d'adresses dans un deuxième champ "subject". Extrait de l'une d'entre elle :
________________________________________________
Date: Tue, 14 Feb 2006 16:46:43 +0100
Subject: Callorhynchus@monadresse.org
To: moi@monadresse.org
MIME-version: 1.0
Content-type: text/html; charset=iso-8899-1
From: Callorhynchus@monadresse.org<Callorhynchus
Content-Type: multipart/mixed; boundary=47b1ece617d073c62cc4160ab5112110
MIME-Version: 1.0
From: Callorhynchus@monadresse.org
Subject: hmm
,missamys@aol.com,ionacar@aol.com,mlmartin11@aol.com,johnonel@aol.com

-------------- Suit alors une longue liste d'emails, qui se termine par

Message-Id: <20060214154643.8239C1C0009B@mwinf1209.wanadoo.fr>
X-me-spamlevel: low
X-me-spamrating: 60.253081
__________________________

Questions :

A) est-ce normal que la méthode post puisse être simulée?
B) pourquoi, alors que l'adresse de la fonction mail dans la feuille php ne
contenait qu'un seul destinateur, cet email a été envoyé à d'autres???
C) Pourquoi y a -t-il deux champs subjects dans les entêtes?
D) que faire pour se protéger de ça? A part bien sûr ce que j'ai déjà
effectué, à savoir effacer les deux feuilles??
E) est-ce moi qui suis un sombre crétin?????

Pour info : serveur apache 2.0.55
Php 5.1.2

Merci pour vos réponses, et mes excuses à la communauté pour avoir servi,
contre ma volonté, la très mauvaise cause des spammeurs
:-(((((((((((((((((((