[TYPO3-german] OT: Spam-Attacke, die ich nicht in den Griff bekomme

Peter Linzenkirchner liste at lisardo.de
Wed Jul 11 22:33:38 CEST 2012 

Hallo Jost, 

auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren, was da passiert. Die verschmähen sogar meine Honeypot-Felder ... 

Und das hier liefern sie mit: 

IP-Nummer: 202.28.35.16
Referrer: http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
Session: 1342038634
Cookies: a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";} 
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5 

das ist wirklich, als würde jemand davor sitzen: Session mit Zeiteintrag, Typo3-Frontend-Cookie, der passende Referer und sogar mit User agent. Aber stur in 2 minütigem Abstand mit unterschiedlichen IPs. Ich raffs nicht ... wie geht das? 

Gruß
Peter


Am 11.07.2012 um 21:51 schrieb Jost Baron:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Hi Peter,
> 
> hilft es vielleicht, einfach die URL für das Formular zu ändern? Mit
> RealURL geht das ja relativ einfach. Dann noch die alten Pfade aus den
> Tabellen raus, und für diese URLs per .htaccess einen 403-Status
> zurückliefern lassen.
> 
> Diese Maßnahme kann man natürlich recht einfach umgehen, aber
> mit ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und
> das Skript ist nicht schlau genug...
> 
> Gruß Jost
> 
> On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
>> Hallo liebe Liste,
>> 
>> bei einem meiner Kunden läuft gerade eine Spam-Attacke auf eine 
>> Anmelde-Formular, die ich nicht in den Griff bekomme. Die Attacke 
>> umgeht ziemlich gekonnt spamshield - offenbar wird eine Session
>> mit dem Formular mitgesendet, ein Cookie, ein Refferer etc.
>> Trotzdem sind es so viele (derzeit bereits über 200, dass ich von
>> einem Automatismus ausgehe. Die Einträge sehen so aus:
>> 
>> Teilnehmer:
>> 
>> Mariusz Mariusz, FwymgSLX
>> 
>> Firma:
>> 
>> VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
>> 
>> Kontaktdaten
>> 
>> Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail: 
>> gyhty1 at 126.com
>> 
>> etc.
>> 
>> Interessant sind die Einträge im Kommentarfeld:
>> 
>> Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut zur 
>> Geltung :-D Das hat einfach was und ja, die 80er waren wunderbar 
>> ^_^ @Applejfcnger: Hhm also die Bilder von Aya Takano finde ich 
>> jetzt wiederum nicht ganz so aufregend. Ich glaube, ich bin halt 
>> bei Versailles einfach hauptse4chlich von diesem Kontrast so 
>> beeindruckt, der da entstanden ist
>> 
>> oder
>> 
>> Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der Grund, 
>> weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht mit von der 
>> Partie ist. Vor dem hteatn wir Kinder richtig Muffensausen'. Dann 
>> drc3bcck ich mal die Daumen, dass der Bart dran bleibt in 2012 
>> Obwohl (lacht)
>> 
>> Das Zeug stammt aus Foren und Gästebüchern und ist in Google zu 
>> finden.
>> 
>> Die IP-Nummern der Absender wechseln, China, Russland, Arabische 
>> Halbinsel etc.
>> 
>> ---
>> 
>> Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer Spam 
>> kann das ja nicht sein, bei über 200.
>> 
>> Danke Peter
>> 
>> 
>> 
>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web: 
>> http://www.typo3-lisardo.de Facebook: 
>> http://tinyurl.com/lisardo-multimedia
>> 
>> _______________________________________________ TYPO3-german 
>> mailing list TYPO3-german at lists.typo3.org 
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>> 
> 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
> 
> iQIcBAEBAgAGBQJP/dkqAAoJEG6HPMAgWtVzQwMP/10UeJdguqxOF5XzV6GeFgaH
> Kqke0owAk/Vko5hlGNvymbeCd+zj2Hpjg+lo+uc2KxUUYvfnplEyLE6/PgKLSsao
> AdEMswlkLQ8yy6oqXYvRgBbcZSJUIgQ71znSA5XlHCyCnbbLT51OYTxYd91UUJZU
> 5MFOnvMeUX5DEsPQZav/Y1GhHO7gDJf99N0x14rPep2m/wBswfiXPUZ4yfwn/CLO
> QtuzFldZzcRtEULlewBAOBPKpWMULOBiTfHFhUzT+8sF3I77Z4UBjZAUpjmj88/J
> /5X8XM0TcVhDd/zauF6YEAnTnvBz8KLcvHdgHpNgTW5i7/SOAKhYLSIgqAgDkahj
> KhaUfsYY3uywZ/UgOdkPxEaxoLRgXUGUvT+DbXI41e2GdRlU5YRSQvm6Y4sUNOSu
> mUMAYIx99XBjUzQtXp+LpIPlWbpEJzZ+0vZmXnxD3iThc51FHu5YudizmXayyjvz
> MfwKOAZJ6lqc0yQ2G6DpPWP8j6KXTaJn8WN8oLjD6BcYUT1WhjsaolIjFGB6aRE1
> t9tthWjMAGtCxdVyvDT4Zz8lSZ4iSkLtC8VKXeADtOK05cf1cMap6oYRFiz54iCl
> udv35lRqSQXUdYhLVAsf4v3l2o80uTalUfkqF8OOYt1+HYvgT2zLJ79P+JinabWR
> L0Bzl71R25yYRohEhFbb
> =8jPa
> -----END PGP SIGNATURE-----
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia

More information about the TYPO3-german mailing list