[TYPO3-german] OT: Spam-Attacke, die ich nicht in den Griff bekomme
Peter Linzenkirchner
liste at lisardo.de
Wed Jul 11 23:07:41 CEST 2012
Hallo Jost,
So was in der Art wird es sein müssen. Also werde ich wahrscheinlich doch wieder ein Captcha einbauen (das habe ich erst vor ein paar Monaten raus, wegen Usabilty. Oder ich sperre alle IPs ausserhalb Deutschland ...
Aufwand wäre natürlich:
- deutsche IP: normal
- andere IP: Captcha.
Aber das ist für die Popelseite zuviel Stress.
Gruß
Peter
Am 11.07.2012 um 22:57 schrieb Jost Baron:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Eine Möglichkeit wäre es, sowas wie den Selenium Webdriver zu
> nutzen... der steuert einen echten Browser vollautomatisiert an, man
> kann einen zu nutzenden Proxy vorgeben, und auch den zu nutzenden
> Browser einstellen.
>
> Wäre mein Tool der Wahl, wenn ich eine (bestimmte) Webseite zumüllen
> oder auf Sicherheitslücken scannen wollen würde: Die Webseite wird
> *genauso* bedient wie von einem echten Nutzer, wenn man sich nicht
> ganz doof anstellt und z.B. Wartezeiten einbaut.
>
> Damit hätte man die Abwehrmaßnahmen von wt_spamshield schonmal ausser
> Gefecht gesetzt (man geht ja den gesamten Zylus durch: Formular
> aufrufen, ausfüllen, nen bisschen warten, auf Submit klicken), nur mit
> Captchas kriegt man eventuell Probleme.
>
> Wenn jemand damit einen Bot bauen will, der automatisiert viele
> Webseiten scannt und zumüllt, wäre das wohl komplizierter. Aber
> sicherlich auch machbar...
>
> Gruß Jost
>
> On 07/11/2012 10:33 PM, Peter Linzenkirchner wrote:
>> Hallo Jost,
>>
>> auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren,
>> was da passiert. Die verschmähen sogar meine Honeypot-Felder ...
>>
>> Und das hier liefern sie mit:
>>
>> IP-Nummer: 202.28.35.16 Referrer:
>> http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
>>
>>
> Session: 1342038634
>> Cookies:
>> a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";}
>> Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;
>> rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
>>
>> das ist wirklich, als würde jemand davor sitzen: Session mit
>> Zeiteintrag, Typo3-Frontend-Cookie, der passende Referer und sogar
>> mit User agent. Aber stur in 2 minütigem Abstand mit
>> unterschiedlichen IPs. Ich raffs nicht ... wie geht das?
>>
>> Gruß Peter
>>
>>
>> Am 11.07.2012 um 21:51 schrieb Jost Baron:
>>
>> Hi Peter,
>>
>> hilft es vielleicht, einfach die URL für das Formular zu ändern?
>> Mit RealURL geht das ja relativ einfach. Dann noch die alten Pfade
>> aus den Tabellen raus, und für diese URLs per .htaccess einen
>> 403-Status zurückliefern lassen.
>>
>> Diese Maßnahme kann man natürlich recht einfach umgehen, aber mit
>> ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und das
>> Skript ist nicht schlau genug...
>>
>> Gruß Jost
>>
>> On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
>>>>> Hallo liebe Liste,
>>>>>
>>>>> bei einem meiner Kunden läuft gerade eine Spam-Attacke auf
>>>>> eine Anmelde-Formular, die ich nicht in den Griff bekomme.
>>>>> Die Attacke umgeht ziemlich gekonnt spamshield - offenbar
>>>>> wird eine Session mit dem Formular mitgesendet, ein Cookie,
>>>>> ein Refferer etc. Trotzdem sind es so viele (derzeit bereits
>>>>> über 200, dass ich von einem Automatismus ausgehe. Die
>>>>> Einträge sehen so aus:
>>>>>
>>>>> Teilnehmer:
>>>>>
>>>>> Mariusz Mariusz, FwymgSLX
>>>>>
>>>>> Firma:
>>>>>
>>>>> VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
>>>>>
>>>>> Kontaktdaten
>>>>>
>>>>> Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail:
>>>>> gyhty1 at 126.com
>>>>>
>>>>> etc.
>>>>>
>>>>> Interessant sind die Einträge im Kommentarfeld:
>>>>>
>>>>> Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut
>>>>> zur Geltung :-D Das hat einfach was und ja, die 80er waren
>>>>> wunderbar ^_^ @Applejfcnger: Hhm also die Bilder von Aya
>>>>> Takano finde ich jetzt wiederum nicht ganz so aufregend. Ich
>>>>> glaube, ich bin halt bei Versailles einfach hauptse4chlich
>>>>> von diesem Kontrast so beeindruckt, der da entstanden ist
>>>>>
>>>>> oder
>>>>>
>>>>> Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der
>>>>> Grund, weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht
>>>>> mit von der Partie ist. Vor dem hteatn wir Kinder richtig
>>>>> Muffensausen'. Dann drc3bcck ich mal die Daumen, dass der
>>>>> Bart dran bleibt in 2012 Obwohl (lacht)
>>>>>
>>>>> Das Zeug stammt aus Foren und Gästebüchern und ist in Google
>>>>> zu finden.
>>>>>
>>>>> Die IP-Nummern der Absender wechseln, China, Russland,
>>>>> Arabische Halbinsel etc.
>>>>>
>>>>> ---
>>>>>
>>>>> Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer
>>>>> Spam kann das ja nicht sein, bei über 200.
>>>>>
>>>>> Danke Peter
>>>>>
>>>>>
>>>>>
>>>>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner
>>>>> Web: http://www.typo3-lisardo.de Facebook:
>>>>> http://tinyurl.com/lisardo-multimedia
>>>>>
>>>>> _______________________________________________ TYPO3-german
>>>>> mailing list TYPO3-german at lists.typo3.org
>>>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>>>>
>>
>>> _______________________________________________ TYPO3-german
>>> mailing list TYPO3-german at lists.typo3.org
>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>
>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web:
>> http://www.typo3-lisardo.de Facebook:
>> http://tinyurl.com/lisardo-multimedia
>>
>> _______________________________________________ TYPO3-german
>> mailing list TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iQIcBAEBAgAGBQJP/eikAAoJEG6HPMAgWtVzDXEQAI4DCGruwkBr2J3JaXr1/oiE
> /+EJ8nlgPeq3ucSNNDn8ua0WgT8K7UF/s1pdNg0IFpgCccGXq2NlWjOipXCWliMT
> wPJ0CTTLZbO6wKRkzWDv4/+ycQeV8VRY4eFTdO74YIt6SDCo//xCI/hlVgVNASUq
> rQlZCNWsEJzEE7Q0z+npIMVTRYwFjQpUV0zYrfVyeo+TCJttXVgiaJargA9tOv2V
> WspRzzfAX9gM4hn2vSBnAQOi1cO/2h3iPHci+bEP8Uyht8ksMtfNssSoAH2NLvGZ
> VeARiedGPLPWLsaeaGgm7FCwVpntbMnrD24nlz7mOj1K6GVbBtsljxn8FCVSIBCi
> WKahRe+nz+hgapDLgF0VR0TYNIbMj19vcw9FWIvUd1hfnrp4qb39w7VmHlsCvKAz
> QfQW645cITXKecZqkuoiFW0CZW2ciLTwRWh/Kjm/62WwbJxouJw3grc8HbziMi89
> SZUs0LXvrZUD3ZpucbPPCYOrgODlZksx4yL8OFoBleWBsFC4Hr5COBku02hYdro5
> DL+vrjrNR4ZC76YDb9V2StqgwbDHTSmcvSp623jEzdrCPmmKLJUMEaURZJhQDlrV
> 2JTPdszNGZBjZbm7kvygAM8CEVXkUvHW9CcO0vRMQuqwch7eJLWT1ABUy715RK2T
> ZPECc6o/2clSkj6U6Zlq
> =irsW
> -----END PGP SIGNATURE-----
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia
More information about the TYPO3-german
mailing list