Problème de spam avec formulaire_ecrire_auteur

Bonjour
Mon site a été piraté par des spammeurs. Ils utilisent la page « contact » pour envoyer des spams.
J’ai l’impression que toutes les pages qui envoient des mails sont susceptibles d’être utilisées pour cela.
Quelqu’un a-t-il un moyen de bloquer ces spams ?

Voici un exemple de trace :

    [page] => contact
    [auteur] => 1
    [mailto] => mailto_webmaster
    [formulaire_action] => ecrire_auteur
    [formulaire_action_args] => A8F4ILGk5JI3Hj40rJdbPrp7u45MGCG2P8iynA94zds3Qgb7fAqJHwpHlew42lGElMULpP9068CfrJ5SjegHvmdmbGvP+Jc+3QiII09EjTdHcv7JwmVkJRjPa/NOApcIteHLMw==
    [formulaire_action_sign] => 
    [nom_message_auteur] => JamesGex
    [email_message_auteur] => nn5mi7xsqb@iwpx.tvtap.fun

    [sujet_message_auteur] => Раннелетний лента-марафон в KINOLAND: Открой с целью себе новейший сфера дармового HD цирк!
    [texte_message_auteur] => Здрасти, кинолюбители! 
 
Это лето станет сообразно-настоящему жарким благодаря нашему безвозмездному кино-марафону в KINOLAND (https://go.kinoland.biz/)! Мы приглашаем вас погрузиться в мир высококачественного кино в отсутствии каждых заморочек. Нет регистрации, недостает СМС, элементарно приобщайтесь к нам и радуйтесь! 
 
У нас есть широкий выбор кинофильмов на любой вкус: от глубоких драм до веселых комедий, от увлекательных триллеров по романтических ситуаций влюбленности. И всё  самая - в отличном HD свойстве! 
 
Не выпустите вероятность вести это самая лето с кино, которое заставит вас опять и опять ворачиваться в KINOLAND (https://go.kinoland.biz/). Пускай наверное лето станет много запоминающихся кино-моментов! 
 
С почтеньем, 
Ваша команда KINOLAND.
    [nobot] => JamesGex
    [valide] => Envoyer un message
)

Bonjour

utilises tu le plugin no-spam (NoSPAM - Plugins SPIP) ? il devrait te protéger de ce genre de spams.

Je confirme nospam plugins spip très efficace couplé avec Configurer FB Antispam

Courage !

-- 
ARBR-Webmaster

Bonjour et merci
Je viens de l’installer, je ne l’avais pas.
Je vais surveiller

Bonsoir,

Tu sais par quel formulaire cela passe ? Il enregistre en base les messages ?

Bonjour et merci pour votre aide.
Le plugin nospam ne semble pas suffisant j’ai encore des spams qui passent.
Cela semble passer par le formulaire « ecrire_auteur » via la page oubli ou contact

[page] => contact
[auteur] => 1
[mailto] => mailto_webmaster
[formulaire_action] => ecrire_auteur
[formulaire_action_args] => A8F4ILGk5JI3Hj40rJdbPrp7u45MGCG2P8iynA94zds3Qgb7fAqJHwpHlew42lGElMULpP9068CfrJ5SjegHvmdmbGvP+Jc+3QiII09EjTdHcv7JwmVkJRjPa/NOApcIteHLMw==
[formulaire_action_sign] => 
[_jeton] => c9b114e4487c771fbd2fa7a995573355bc9c54f2
[nom_message_auteur] => roxieki3
[email_message_auteur] => jodyni16@riku53.flooz.site
[sujet_message_auteur] => Hardcore Galleries with hot Hardcore photos
[texte_message_auteur] => Best Nude Playmates & Centerfolds, Beautiful galleries daily updates

h t t p : / / dbzporn. bestsexyblog. com / ? post-alyssa

free porn spankview gohan porn old black dick porn asian slut milf porn gallerie photobu porn

[nobot] => estherei18
[valide] => Envoyer un message
[email_nobot] => jodyni16@riku53.flooz.site

Désolé, quand je copie colle le log, cela génère des liens vers les sites qui sont dedans. J’ai modifié le lien pour éviter cela

Si ton site est pour les visiteurs d’Europe, tu peux aussi faire :

RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^AU|BG|CZ|GA|IL|RU|KZ|SG|SK|UK$ [NC]
RewriteRule .* https://casse-toi.com [R=301,L]

Si ton visiteurs est de la liste, cela va le bloquer

Merci
Je viens d’essayer cela et je surveille les logs
J’ai aussi bloqué 2 users agents que je vois dans les traces http « python-requests » et « go-http-client »
J’espère que je n’aurai pas d’effets de bord

Bonjour,

j’ai utilisé toutes les options indiquées mais cela n’est pas suffisant. Mon site est toujours un lanceur de spam. Je ne vois que la solution de couper les emails pour arrêter l’hémorragie ou de supprimer le formulaire ecrire_auteur ce qui reviendrait au même.
J’essaye de migrer vers une version plus récente de Spip mais je ne sais pas si la version 4 ou plus résoudra le problème.

Perso j’utilise une méthode radicale quand la mise à jour n’est pas possible : Je désactive la fonctionnalité « rappel du mot de passe ».
Pour faire cela, je crée un fichier spip_pass.html dans le dossier squelettes.
Dedans j’ai mis comme info « Pour réinitialiser votre mot de passe, veuillez contacter l’administrateur »
Et c’est tout.
D’après mes tests, les autres formulaires publics (contact et login) ne sont pas impactés par la faille, donc le virus ne peut plus revenir infecter le serveur.

Je reviens après pas mal d’essais.
J’ai supprimé la fonctionnalité pour le rappel du mot de passe aussi. J’ai limité les pays, etc…
Rien à faire. Ils passent par le formulaire Contact. Voici un exemple de log que l’on a ajouté pour voir.
(J’ai remplacé les http par xxx et les @ par @@@@ pour éviter que quelqu’un ne clic sur un lien par erreur)

2023-11-13 03:37:08Array
(
[page] => contact
[auteur] => 1
[mailto] => mailto_webmaster
[formulaire_action] => ecrire_auteur
[formulaire_action_args] => A8F4ILGk5JI3Hj40rJdbPrp7u45MGCG2P8iynA94zds3Qgb7fAqJHwpHlew42lGElMULpP9068CfrJ5SjegHvmdmbGvP+Jc+3QiII09EjTdHcv7JwmVkJRjPa/NOApcIteHLMw==
[formulaire_action_sign] =>
[_jeton] => 9ada1383816d58d79f256c7ffe6ac24fb1eaed7a
[nom_message_auteur] => Bryanbug
[email_message_auteur] => 1xbet@@@@@gmail.com
[sujet_message_auteur] => Elevate Your Betting Game with xxxxx.com: Where Innovation Meets Entertainment.
[texte_message_auteur] => 1XBET stands out as a leading online betting platform,
offering an unparalleled blend of sports betting and gaming entertainment.
With a sleek interface and a vast array of sports markets,
including live betting options, 1xBet caters to both seasoned bettors and casual enthusiasts.
The platform’s commitment to innovation extends to its diverse casino games,
virtual sports, and e-sports offerings, making 1xBet a dynamic and engaging
destination for those seeking a thrilling online betting experience.

Click button

xxxx://urlis.net/fk8h9n0f

[nobot] => Bryanbug
[valide] => Envoyer un message
[email_nobot] => 1xbet@@@@@gmail.com

)

2023-11-13 06:56:05Array
(
[page] => contact
[auteur] => 1
[mailto] => mailto_webmaster
[formulaire_action] => ecrire_auteur
[formulaire_action_args] => A8F4ILGk5JI3Hj40rJdbPrp7u45MGCG2P8iynA94zds3Qgb7fAqJHwpHlew42lGElMULpP9068CfrJ5SjegHvmdmbGvP+Jc+3QiII09EjTdHcv7JwmVkJRjPa/NOApcIteHLMw==
[formulaire_action_sign] =>
[_jeton] => 312ee1335dbbf2646034dbc90deedda2494e5542
[nom_message_auteur] => Keithvew
[email_message_auteur] => yanyarov853@@@@@gmail.com
[sujet_message_auteur] => Аналог мекенист дешево тут
[texte_message_auteur] =>
<a href=xxxx:// melanoma-help.ru/o/b2b83a/>траметиниб торговое название
[nobot] => Keithvew
[valide] => Envoyer un message
[email_nobot] => yanyarov853@@@@@gmail.com
)

Bonjour,
Je suis passé en version 4.2.6 en espérant que cela changerait mais rien à faire, c’est toujours la même chose.
La messagerie du site est utilisée pour spammer via le formulaire ecrire_auteur
J’ai pourtant bloqué les pays, les mails contenant http:// et https:// via le couteau Suisse (lutte contre le spam) mais ça ne change rien.

Toujours le même type de mails
[page] => contact
[auteur] => 1
[mailto] => mailto_webmaster
[lang] => fr
[formulaire_action] => ecrire_auteur
[formulaire_action_args] => AInJ2cRxSIwqshjZg1fsLdUHpQpElmiqgoOjIr85cawSvIHtQfDM65obzGSvHI/4oRY7W4PKzl0FAt8sYSI48U9Xq+QWxT4f7fHW78Z6InEnPWRuGiw+407H3PMFu+FgbCn8G/u6MXY+PlRqVXT7T+KhHQ==
[formulaire_action_sign] =>
[_jeton] => 7966b62a16592f165fc45c5d99b796ed82a21c5d2e7d7cb177755c55d29deaf1
[nom_message_auteur] => CharlesJak
[email_message_auteur] => xrumerbb02@gmail.com
[sujet_message_auteur] => Как чёрный брокер Esperio маскируется
[texte_message_auteur] => Как чёрный брокер Esperio маскируется под нормального
etc…

Petit rappel pour lutter contre les spams ou les attaques

• avoir un SPIP toujours à jour, voir la dernière version stable sur Télécharger SPIP - SPIP
• avant la mise à jour, s’assurer que rien n’est suspect (ou même après la MAJ)
• ne pas laisser des copies de formulaire de contact ou de page de login dans vos squelettes personnels, ce sont des failles potentielles, sinon les vérifier proprement
• utiliser le plugin no-spam NoSPAM - SPIP-Contrib (dans tes logs très clairement nobot est rempli et devrait empêcher l’envoi)

Bonjour Touti
Merci pour la réponse.
Mais je ne peux pas être plus à jour avec la 4.2.6. J’ai le plugin NoSpam installé, dernière version aussi
Et je n’ai aucun formulaire de contact autre que ceux standards.
Je ne vois pas ce que je peux faire de plus. Le formulaire utilisé pour spammer est le ecrire_auteur…
Je viens d’essayer des « trucs » que j’ai trouvé sur les forum. J’attends pour voir si cela règle le problème.
J’ai ajouté les lignes suivantes dans mes_options.php

// anti spam ?
$GLOBALS[‹ formulaires_no_spam ›][] = ‹ ecrire_auteur ›;
define(’_SPAM_ENCRYPT_NAME’, true);

wait and see

Tu ne nous a pas dit d’où tu étais parti au départ ? Si tu es parti d’une version de SPIP inférieure aux versions décrites ici Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18 - SPIP-Contrib il est probable que des fichiers vérolés ont été installés sur ton site, si tu ne les a pas nettoyés tu peux faire toutes les mises à jour que tu veux ton site restera hacké.

Comme dit

Si ton site était dans une version de SPIP vulnérable le mieux est probablement de faire une install au propre en ne gardant que :

• IMG (vérifier que tout est OK)
• squelettes, si tu as des éléments dans ce dossier (vérifier que tout est OK)
• plugins, uniquement si tu avais des plugins persos… (sinon tu vires aussi)
• config/mes_options.php avec tes réglages personnalisés

Ensuite tu réinstalles le site avec spip_loader.php en te branchant sur la base existante (tu auras gardé tous tes paramètres), puis tu réinstalles tous les plugins dont tu as besoin via l’interface de gestion SVP.

Tu dis « spip piraté », mais ce dont tu témoignes, c’est que des internautes utilisent des formulaires de contact de ton site, que tu as mis à leur disposition, et donc le site n’a pas l’air techniquement piraté, et ton besoin par contre, c’est d’empêcher l’usage des formulaires de contact à des fins non désirées.
C’est bien ça ?

Bonjour

Oui tu as parfaitement raison, je me suis mal exprimé. Mon site est toujours OK, aucune page n’a été touchée.
En effet, ils utilisent le formulaire ecrire_auteur pour envoyer des spams via des POST.
En attendant mieux, je suis en train d’ajouter une captcha dedans. Ce n’est pas génial pour les utilisateurs mais rien n’a fonctionné dans tout ce que j’ai fait jusqu’à maintenant.

Très franchement avec ce que tu décris j’ai de gros doutes… Il faudrait tirer au clair quelle était la version en service au moment où ont commencé les soucis. Et vérifier, vérifier les fichiers…
Ou alors c’est que tu as des formulaires perso mal foutus et sur lesquels nospam n’est pas correctement activé. Voir NoSPAM - SPIP-Contrib

bah, le spam est un éternel jeu du chat et de la souris. Entre l’intelligence artificielle désormais et les cliqueurs humains sous payés dans des caves industrielles traditionnellement, les ressources ne manquent pas pour déjouer les outils anti spams. C’est donc normal que de temps en temps le chat (ou la souris, je ne sais) invente une nouvelle tactique qui déjoue les blocages…

C’est un peu ce qui semble s’être passé aussi sur contrib au vu de Un grand nombre de noms de visiteurs surprenants sur contrib.spip.net - #6 par equipement