[TYPO3-german] OT: Spam-Attacke, die ich nicht in den Griff bekomme
Jost Baron
Jost.Baron at gmx.de
Wed Jul 11 22:57:14 CEST 2012
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Eine Möglichkeit wäre es, sowas wie den Selenium Webdriver zu
nutzen... der steuert einen echten Browser vollautomatisiert an, man
kann einen zu nutzenden Proxy vorgeben, und auch den zu nutzenden
Browser einstellen.
Wäre mein Tool der Wahl, wenn ich eine (bestimmte) Webseite zumüllen
oder auf Sicherheitslücken scannen wollen würde: Die Webseite wird
*genauso* bedient wie von einem echten Nutzer, wenn man sich nicht
ganz doof anstellt und z.B. Wartezeiten einbaut.
Damit hätte man die Abwehrmaßnahmen von wt_spamshield schonmal ausser
Gefecht gesetzt (man geht ja den gesamten Zylus durch: Formular
aufrufen, ausfüllen, nen bisschen warten, auf Submit klicken), nur mit
Captchas kriegt man eventuell Probleme.
Wenn jemand damit einen Bot bauen will, der automatisiert viele
Webseiten scannt und zumüllt, wäre das wohl komplizierter. Aber
sicherlich auch machbar...
Gruß Jost
On 07/11/2012 10:33 PM, Peter Linzenkirchner wrote:
> Hallo Jost,
>
> auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren,
> was da passiert. Die verschmähen sogar meine Honeypot-Felder ...
>
> Und das hier liefern sie mit:
>
> IP-Nummer: 202.28.35.16 Referrer:
> http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
>
>
Session: 1342038634
> Cookies:
> a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";}
> Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
> rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
>
> das ist wirklich, als würde jemand davor sitzen: Session mit
> Zeiteintrag, Typo3-Frontend-Cookie, der passende Referer und sogar
> mit User agent. Aber stur in 2 minütigem Abstand mit
> unterschiedlichen IPs. Ich raffs nicht ... wie geht das?
>
> Gruß Peter
>
>
> Am 11.07.2012 um 21:51 schrieb Jost Baron:
>
> Hi Peter,
>
> hilft es vielleicht, einfach die URL für das Formular zu ändern?
> Mit RealURL geht das ja relativ einfach. Dann noch die alten Pfade
> aus den Tabellen raus, und für diese URLs per .htaccess einen
> 403-Status zurückliefern lassen.
>
> Diese Maßnahme kann man natürlich recht einfach umgehen, aber mit
> ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und das
> Skript ist nicht schlau genug...
>
> Gruß Jost
>
> On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
>>>> Hallo liebe Liste,
>>>>
>>>> bei einem meiner Kunden läuft gerade eine Spam-Attacke auf
>>>> eine Anmelde-Formular, die ich nicht in den Griff bekomme.
>>>> Die Attacke umgeht ziemlich gekonnt spamshield - offenbar
>>>> wird eine Session mit dem Formular mitgesendet, ein Cookie,
>>>> ein Refferer etc. Trotzdem sind es so viele (derzeit bereits
>>>> über 200, dass ich von einem Automatismus ausgehe. Die
>>>> Einträge sehen so aus:
>>>>
>>>> Teilnehmer:
>>>>
>>>> Mariusz Mariusz, FwymgSLX
>>>>
>>>> Firma:
>>>>
>>>> VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
>>>>
>>>> Kontaktdaten
>>>>
>>>> Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail:
>>>> gyhty1 at 126.com
>>>>
>>>> etc.
>>>>
>>>> Interessant sind die Einträge im Kommentarfeld:
>>>>
>>>> Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut
>>>> zur Geltung :-D Das hat einfach was und ja, die 80er waren
>>>> wunderbar ^_^ @Applejfcnger: Hhm also die Bilder von Aya
>>>> Takano finde ich jetzt wiederum nicht ganz so aufregend. Ich
>>>> glaube, ich bin halt bei Versailles einfach hauptse4chlich
>>>> von diesem Kontrast so beeindruckt, der da entstanden ist
>>>>
>>>> oder
>>>>
>>>> Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der
>>>> Grund, weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht
>>>> mit von der Partie ist. Vor dem hteatn wir Kinder richtig
>>>> Muffensausen'. Dann drc3bcck ich mal die Daumen, dass der
>>>> Bart dran bleibt in 2012 Obwohl (lacht)
>>>>
>>>> Das Zeug stammt aus Foren und Gästebüchern und ist in Google
>>>> zu finden.
>>>>
>>>> Die IP-Nummern der Absender wechseln, China, Russland,
>>>> Arabische Halbinsel etc.
>>>>
>>>> ---
>>>>
>>>> Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer
>>>> Spam kann das ja nicht sein, bei über 200.
>>>>
>>>> Danke Peter
>>>>
>>>>
>>>>
>>>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner
>>>> Web: http://www.typo3-lisardo.de Facebook:
>>>> http://tinyurl.com/lisardo-multimedia
>>>>
>>>> _______________________________________________ TYPO3-german
>>>> mailing list TYPO3-german at lists.typo3.org
>>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>>>
>
>> _______________________________________________ TYPO3-german
>> mailing list TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web:
> http://www.typo3-lisardo.de Facebook:
> http://tinyurl.com/lisardo-multimedia
>
> _______________________________________________ TYPO3-german
> mailing list TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=irsW
-----END PGP SIGNATURE-----
More information about the TYPO3-german
mailing list