Самопроизвольное срабатывание скрипта отправки письма "заказ обратного звонка"

[Racing]

Уважаемые форумчане, коллеги. Я, ввиду своей неопытности, уже "сломал" всю голову себе(((
Ситуация какая происходит - самопроизвольно срабатывают формы заказа звонка на сайте. Ситуация весьма стабильна, и раз в два-три дня происходит срабатывание. Во время срабатывания по вебвизору никто с формами не взаимодействовал. Очень часто бывает что срабатывают одновременно две формы (из двух). Заметил что часто они срабатывают глубокой ночь. (в 3-5 ночи приходят письма)

Содержание писем при самопроизвольном срабатывании:

Вариант 1

(нажмите чтобы показать/скрыть)

Тема: Рассчет стоимости!
Тип проекта:
Площадь:
Срочность:
Полная предоплата:
На сумму:
E-mail:
Телефон:

(нажмите чтобы показать/скрыть)

Тема: Заказ обратного звонка!

Телефон:

Имя:

E-mail:

Удобное время : 

Сообщение:

Вариант 2

(нажмите чтобы показать/скрыть)

Тема: Заказ обратного звонка!

Телефон: WnRAXxeTs

Имя: pjbvnyeydn

E-mail: iypajc@iiaqei.com

Удобное время : jloPmqEbnvAiqHEVT Ближайшее рабочее

Сообщение: GAfcuG  <a href="http://hgwsbmfexdgb.com/">hgwsbmfexdgb</a>, vpzxbpddwvij, [link=http://maclrhloexmg.com/]maclrhloexmg[/link], http://ptsqhrmlajlk.com/

Второй вариант меня пугает больше.... Раскодировать не получилось, по кодировкам на сайте вроде все впорядке, на страницах на всех прописано, в самом скрипте php, в .htacces/ Везде прописана кодировка utf-8/ Кодировка сервера совпадает.

Как в случае 1 варианта,так и случае второго - человек судя по данным Яндекс метрики и вебвзиора, а так же "аналитики форм" в заполнение не участвует.
Если корректно буду человеком заполнить форму - все исправно работает.

вот сам обработчик:

(нажмите чтобы показать/скрыть)

<?php
 /* Здесь проверяется существование переменных */
  if (isset($_POST['phone'])) {$phone = $_POST['phone'];}
 if (isset($_POST['name'])) {$name = $_POST['name'];}
  if (isset($_POST['addres'])) {$addres = $_POST['addres'];}

/* Сюда впишите свою эл. почту */
 $address = "order@heshi-design.com";

/* А здесь прописывается текст сообщения, \n - перенос строки */
 $mes = "Тема: Заказ обратного звонка!\nТелефон: $phone\nИмя: $name\nE-mail: $addres";

/* А эта функция как раз занимается отправкой письма на указанный вами email */
$sub='Calculating'; //сабж
$email='Calculator <heshi-design.com>'; // от кого
 $send = mail ($address,$sub,$mes,"Content-type:text/plain; charset = utf-8\r\nFrom:$email");

ini_set('short_open_tag', 'On');
header('Refresh: 5; URL=index.html');
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="refresh" content="5; url=index.html">
<title>С вами свяжутся</title>
<meta name="generator">
<style type="text/css">
body
{
   
   background: #999999 url(images/spasibo.jpg) top -5% center no-repeat;
   
}

<script type="text/javascript">
setTimeout('location.replace("/index.html")', 5000);
/*Изменить текущий адрес страницы через 3 секунды (3000 миллисекунд)*/
</script>
</head>
</body>
</html>

Уважаемые форумчане, очень надеюсь на Вашу помощь, что же это такое? у меня паника уже.... Спасибо....

[Vlad03]

Я бы на стороне клиента проверял хотя бы на заполненность полей, еще лучше на правильность. Думаю это избавит от этих багов.
И прямой вызов файлов инклюда еще не отменяли.

[Racing]

Я бы на стороне клиента проверял хотя бы на заполненность полей, еще лучше на правильность. Думаю это избавит от этих багов.
И прямой вызов файлов инклюда еще не отменяли.

Влад большое Вам спасибо, но я в первом предложении я указал: "Я, ввиду своей неопытности," Если Вам не сложно - можно попроще объяснить? "И прямой вызов файлов инклюда еще не отменяли" - вот тут только отчасти понял. Т.е. кто то напрямую обращается по адресу отправщика? .../send.php (пример) А что касается задать в php проверку правильности заполнения полей - это избавит от отправки на почту невалида, но проблему то не решит. Меня больше всего волнует кто или ЧТО  обращается к php. Были мысли что это роботы поисковых систем проверяют работоспособность но bays по этому поводу не нашел, да и бред это... так что единственный вариант отпал... Что это может быть еще?

[Vlad03]

Про "прямой вызов", можно здесь прочитать _http://ruseller.com/lessons.php?rub=37&id=301
Про проверку на стороне клиента, я бы сделал её на js, и по нажатию на кнопку "отправить", чекал форму на валидность и отправлял бы только при успешной проверке, а потом уже чекал на стороне сервера.

[Racing]

Про "прямой вызов", можно здесь прочитать _http://ruseller.com/lessons.php?rub=37&id=301
Про проверку на стороне клиента, я бы сделал её на js, и по нажатию на кнопку "отправить", чекал форму на валидность и отправлял бы только при успешной проверке, а потом уже чекал на стороне сервера.

Спасибо изучу сейчас, а как сделать проверку на js и связать ее с формами?

[Vlad03]

Есть плагины, например этот _http://jqueryvalidation.org/ , для номера телефона, можно использовать этот _http://digitalbush.com/projects/masked-input-plugin/
можно самому написать. Вариантов много.

[Racing]

Мужики вопрос актуален, может кто еще че подскажет?

[DOleg]

Пару недель тому многие им жаловались на такие заказы, было много тем создано на разных форумах, только странно, найти их сейчас не могу 

Проверяйте юзер-агент, проверяйте айпи, ставьте временную куку на страницах товара и проверяйте её наличие в обработчике, проверяйте не только на существование, а ещё и на непустые переменные из пост запроса, проверяйте соответствие телефона, адреса и айпи.

[Racing]

Пару недель тому многие им жаловались на такие заказы, было много тем создано на разных форумах, только странно, найти их сейчас не могу 

Проверяйте юзер-агент, проверяйте айпи, ставьте временную куку на страницах товара и проверяйте её наличие в обработчике, проверяйте не только на существование, а ещё и на непустые переменные из пост запроса, проверяйте соответствие телефона, адреса и айпи.

Спасибо Олег, в который раз уже мне помогаете) Как это реализовать? Через php ? В форме задать проверку переменных или как? Страниц товаров нет - форма заказа обратного звонка висит на кнопке в шапке сайта.

Вы говорили что много тем таких было - а причину то так и не нашли?  Что заставляет срабатывать форму? Ведь все вышеописанное просто не даст отправить "не правильное" сообщение, а "нечто" все равно будет приходить и пытаться взаимодействовать.

Что я заметил вообще в этой ситуации: 1) как правило взаимодействие происходит всегда с двумя формами из двух в один и тот же период времени. 2) По данным метрики никого на сайте в момент отправки таких сообщений нет. 3) Кое что расшифровать можно из первого письма

P.s. Сегодня опять пришли такие сообщения в 09:33 (по мск) (но сегодня сработала только одна форма, но два разных письма: с каракулями и пустое)

(нажмите чтобы показать/скрыть)

Тема: Заказ обратного звонка!

Телефон: fJhVvmakCBNawPi

Имя: pcoucj

E-mail: pxvasf@nhwlxz.com

Удобное время : vskFLFHVbrSrJ Ближайшее рабочее

Сообщение: O3RK2n  <a href="http://fwdbdygpjyip.com/">fwdbdygpjyip</a>, xnkupzjphhiu, [link=http://knmixeltzkvr.com/]knmixeltzkvr[/link], http://rzcdswvgucgu.com/

(нажмите чтобы показать/скрыть)

Тема: Заказ обратного звонка!

Телефон:

Имя:

E-mail:

Удобное время : 

Сообщение:

По поводу третьего:
Есть строка:
Удобное время : vskFLFHVbrSrJ Ближайшее рабочее
Расшифровывается как:
Удобное время : vskFLFHVbrSrJ Ближайшее рабочее
Весьма близко к тому что есть на самом деле.
Вот так выглядит в оригинале:
Удобное время :  Ближайшее рабочее

Остальные каракули из сообщения расшифровке не поддаются

Вот оригинал как выглядит письмо ( сейчас сам заполнил форму и отправил)

(нажмите чтобы показать/скрыть)

Тема: Заказ обратного звонка!

Телефон: 890323999999

Имя: Максим

E-mail: m@m.ru

Удобное время :  Ближайшее рабочее

Сообщение: Комментарий к заказу

Исходя из всего этого встает вопрос, ответ на который возможно даст найти первопричину - почему в этих "кривых" письма происходит перекодировка "Удобное время : vskFLFHVbrSrJ Ближайшее рабочее" - которые поддается расшифровке...

[DOleg]

1) как правило взаимодействие происходит всегда с двумя формами из двух в один и тот же период времени.

Нашли "дыру", вот и бомбят, по списку, один сайт, потом другой, потом ваш, следующий и так по кругу.

2) По данным метрики никого на сайте в момент отправки таких сообщений нет.

Поставьте метрику в скрипт, возможно данные и появятся
Метрика их не видит, так как на сайте в данный момент их нет, используют только скрипт отправки сообщения (формы) напрямую.

3) Кое что расшифровать можно из первого письма

Не стоит тратить силы и время на расшифровку спама, лучше займитесь устранением дыр.

почему в этих "кривых" письма происходит перекодировка

Криворукий хакер не удосужился привести кодировку своего спама в соответствии с сайтом-жертвы. Повторюсь, не тратьте время и силы.

Что заставляет срабатывать форму? Ведь все вышеописанное просто не даст отправить "не правильное" сообщение, а "нечто" все равно будет приходить и пытаться взаимодействовать.

Это как с подбором паролей в известных цмс, когда известен файл для входа в админку. Создаётся список сайтов с определённой цмс, например ВП. Все знают, что авторизация проходит с помощью wp-login.php. Дальше пишется скрипт, который проходит по списку сайтов и пытается перебрать разные связки Логин:Пароль.

Чем закончилось или продолжается я не знаю, тему не мониторю, а линки потерял, но на тот момент, когда это попалось на глаза, обсуждение велось как раз в исключении возможности действовать напрямую на скрипт отправки, методами написанными мною выше:

Проверяйте юзер-агент, проверяйте айпи, ставьте временную куку на страницах товара и проверяйте её наличие в обработчике, проверяйте не только на существование, а ещё и на непустые переменные из пост запроса, проверяйте соответствие телефона, адреса и айпи.

Добавьте определение данных о юзер-агенте и о айпи непосредственно в обработчик, записывайте их в лог-файл, проанализируйте его и возможно у вас появится больше ответов, с помощью которых их можно будет, например банить с помощью хтаццесса.

Возможно будет достаточно использование $_SERVER["HTTP_HOST"] или $_SERVER["HTTP_REFERER"]