[TYPO3-german] OT: Spam-Attacke, die ich nicht in den Griff bekomme
Peter Linzenkirchner
liste at lisardo.de
Thu Jul 12 09:03:48 CEST 2012
Nachtrag
ich habe jetzt ein weiteres Cookie eingeführt (per JavaScript), im Moment ist Ruhe - also scheint es doch eine Art Bot zu sein, und keine Software, die direkt mit der Seite arbeitet. Ist natürlich die Frage, wann sie den Bot anpassen.
Gruß
Pete
Am 11.07.2012 um 23:34 schrieb Peter Linzenkirchner:
> Hallo Thomas,
>
> Man kann die Exitnodes von Tor-Netzen abfragen:
> http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=
> aber da sind "meine" nicht dabei. Könnte natürlich auch eines der anderen anonymen Netze sein, gibt ja mehr.
>
> Gruß
> Peter
>
> Am 11.07.2012 um 22:52 schrieb Thomas P.:
>
>> Könnte der ständige IP Wechsel ev. aus einem TOR Netzwerk stammen?
>>
>> Am 11.07.2012 22:33, schrieb Peter Linzenkirchner:
>>> Hallo Jost,
>>>
>>> auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren, was da passiert. Die verschmähen sogar meine Honeypot-Felder ...
>>>
>>> Und das hier liefern sie mit:
>>>
>>> IP-Nummer: 202.28.35.16
>>> Referrer: http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
>>> Session: 1342038634
>>> Cookies: a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";}
>>> Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
>>>
>>> das ist wirklich, als würde jemand davor sitzen: Session mit Zeiteintrag, Typo3-Frontend-Cookie, der passende Referer und sogar mit User agent. Aber stur in 2 minütigem Abstand mit unterschiedlichen IPs. Ich raffs nicht ... wie geht das?
>>>
>>> Gruß
>>> Peter
>>>
>>>
>>> Am 11.07.2012 um 21:51 schrieb Jost Baron:
>>>
>>>> -----BEGIN PGP SIGNED MESSAGE-----
>>>> Hash: SHA1
>>>>
>>>> Hi Peter,
>>>>
>>>> hilft es vielleicht, einfach die URL für das Formular zu ändern? Mit
>>>> RealURL geht das ja relativ einfach. Dann noch die alten Pfade aus den
>>>> Tabellen raus, und für diese URLs per .htaccess einen 403-Status
>>>> zurückliefern lassen.
>>>>
>>>> Diese Maßnahme kann man natürlich recht einfach umgehen, aber
>>>> mit ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und
>>>> das Skript ist nicht schlau genug...
>>>>
>>>> Gruß Jost
>>>>
>>>> On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
>>>>> Hallo liebe Liste,
>>>>>
>>>>> bei einem meiner Kunden läuft gerade eine Spam-Attacke auf eine
>>>>> Anmelde-Formular, die ich nicht in den Griff bekomme. Die Attacke
>>>>> umgeht ziemlich gekonnt spamshield - offenbar wird eine Session
>>>>> mit dem Formular mitgesendet, ein Cookie, ein Refferer etc.
>>>>> Trotzdem sind es so viele (derzeit bereits über 200, dass ich von
>>>>> einem Automatismus ausgehe. Die Einträge sehen so aus:
>>>>>
>>>>> Teilnehmer:
>>>>>
>>>>> Mariusz Mariusz, FwymgSLX
>>>>>
>>>>> Firma:
>>>>>
>>>>> VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
>>>>>
>>>>> Kontaktdaten
>>>>>
>>>>> Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail:
>>>>> gyhty1 at 126.com
>>>>>
>>>>> etc.
>>>>>
>>>>> Interessant sind die Einträge im Kommentarfeld:
>>>>>
>>>>> Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut zur
>>>>> Geltung :-D Das hat einfach was und ja, die 80er waren wunderbar
>>>>> ^_^ @Applejfcnger: Hhm also die Bilder von Aya Takano finde ich
>>>>> jetzt wiederum nicht ganz so aufregend. Ich glaube, ich bin halt
>>>>> bei Versailles einfach hauptse4chlich von diesem Kontrast so
>>>>> beeindruckt, der da entstanden ist
>>>>>
>>>>> oder
>>>>>
>>>>> Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der Grund,
>>>>> weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht mit von der
>>>>> Partie ist. Vor dem hteatn wir Kinder richtig Muffensausen'. Dann
>>>>> drc3bcck ich mal die Daumen, dass der Bart dran bleibt in 2012
>>>>> Obwohl (lacht)
>>>>>
>>>>> Das Zeug stammt aus Foren und Gästebüchern und ist in Google zu
>>>>> finden.
>>>>>
>>>>> Die IP-Nummern der Absender wechseln, China, Russland, Arabische
>>>>> Halbinsel etc.
>>>>>
>>>>> ---
>>>>>
>>>>> Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer Spam
>>>>> kann das ja nicht sein, bei über 200.
>>>>>
>>>>> Danke Peter
>>>>>
>>>>>
>>>>>
>>>>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web:
>>>>> http://www.typo3-lisardo.de Facebook:
>>>>> http://tinyurl.com/lisardo-multimedia
>>>>>
>>>>> _______________________________________________ TYPO3-german
>>>>> mailing list TYPO3-german at lists.typo3.org
>>>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>>>>
>>>> -----BEGIN PGP SIGNATURE-----
>>>> Version: GnuPG v1.4.11 (GNU/Linux)
>>>> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>>>>
>>>> iQIcBAEBAgAGBQJP/dkqAAoJEG6HPMAgWtVzQwMP/10UeJdguqxOF5XzV6GeFgaH
>>>> Kqke0owAk/Vko5hlGNvymbeCd+zj2Hpjg+lo+uc2KxUUYvfnplEyLE6/PgKLSsao
>>>> AdEMswlkLQ8yy6oqXYvRgBbcZSJUIgQ71znSA5XlHCyCnbbLT51OYTxYd91UUJZU
>>>> 5MFOnvMeUX5DEsPQZav/Y1GhHO7gDJf99N0x14rPep2m/wBswfiXPUZ4yfwn/CLO
>>>> QtuzFldZzcRtEULlewBAOBPKpWMULOBiTfHFhUzT+8sF3I77Z4UBjZAUpjmj88/J
>>>> /5X8XM0TcVhDd/zauF6YEAnTnvBz8KLcvHdgHpNgTW5i7/SOAKhYLSIgqAgDkahj
>>>> KhaUfsYY3uywZ/UgOdkPxEaxoLRgXUGUvT+DbXI41e2GdRlU5YRSQvm6Y4sUNOSu
>>>> mUMAYIx99XBjUzQtXp+LpIPlWbpEJzZ+0vZmXnxD3iThc51FHu5YudizmXayyjvz
>>>> MfwKOAZJ6lqc0yQ2G6DpPWP8j6KXTaJn8WN8oLjD6BcYUT1WhjsaolIjFGB6aRE1
>>>> t9tthWjMAGtCxdVyvDT4Zz8lSZ4iSkLtC8VKXeADtOK05cf1cMap6oYRFiz54iCl
>>>> udv35lRqSQXUdYhLVAsf4v3l2o80uTalUfkqF8OOYt1+HYvgT2zLJ79P+JinabWR
>>>> L0Bzl71R25yYRohEhFbb
>>>> =8jPa
>>>> -----END PGP SIGNATURE-----
>>>> _______________________________________________
>>>> TYPO3-german mailing list
>>>> TYPO3-german at lists.typo3.org
>>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>> --
>>> Xing: http://www.xing.com/profile/Peter_Linzenkirchner
>>> Web: http://www.typo3-lisardo.de
>>> Facebook: http://tinyurl.com/lisardo-multimedia
>>>
>>> _______________________________________________
>>> TYPO3-german mailing list
>>> TYPO3-german at lists.typo3.org
>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>
>>
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
> --
> Xing: http://www.xing.com/profile/Peter_Linzenkirchner
> Web: http://www.typo3-lisardo.de
> Facebook: http://tinyurl.com/lisardo-multimedia
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia
More information about the TYPO3-german
mailing list