[TYPO3-german] OT: Spam-Attacke, die ich nicht in den Griff bekomme
Peter Linzenkirchner
liste at lisardo.de
Wed Jul 11 23:34:18 CEST 2012
Hallo Thomas,
Man kann die Exitnodes von Tor-Netzen abfragen:
http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=
aber da sind "meine" nicht dabei. Könnte natürlich auch eines der anderen anonymen Netze sein, gibt ja mehr.
Gruß
Peter
Am 11.07.2012 um 22:52 schrieb Thomas P.:
> Könnte der ständige IP Wechsel ev. aus einem TOR Netzwerk stammen?
>
> Am 11.07.2012 22:33, schrieb Peter Linzenkirchner:
>> Hallo Jost,
>>
>> auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren, was da passiert. Die verschmähen sogar meine Honeypot-Felder ...
>>
>> Und das hier liefern sie mit:
>>
>> IP-Nummer: 202.28.35.16
>> Referrer: http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
>> Session: 1342038634
>> Cookies: a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";}
>> Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
>>
>> das ist wirklich, als würde jemand davor sitzen: Session mit Zeiteintrag, Typo3-Frontend-Cookie, der passende Referer und sogar mit User agent. Aber stur in 2 minütigem Abstand mit unterschiedlichen IPs. Ich raffs nicht ... wie geht das?
>>
>> Gruß
>> Peter
>>
>>
>> Am 11.07.2012 um 21:51 schrieb Jost Baron:
>>
>>> -----BEGIN PGP SIGNED MESSAGE-----
>>> Hash: SHA1
>>>
>>> Hi Peter,
>>>
>>> hilft es vielleicht, einfach die URL für das Formular zu ändern? Mit
>>> RealURL geht das ja relativ einfach. Dann noch die alten Pfade aus den
>>> Tabellen raus, und für diese URLs per .htaccess einen 403-Status
>>> zurückliefern lassen.
>>>
>>> Diese Maßnahme kann man natürlich recht einfach umgehen, aber
>>> mit ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und
>>> das Skript ist nicht schlau genug...
>>>
>>> Gruß Jost
>>>
>>> On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
>>>> Hallo liebe Liste,
>>>>
>>>> bei einem meiner Kunden läuft gerade eine Spam-Attacke auf eine
>>>> Anmelde-Formular, die ich nicht in den Griff bekomme. Die Attacke
>>>> umgeht ziemlich gekonnt spamshield - offenbar wird eine Session
>>>> mit dem Formular mitgesendet, ein Cookie, ein Refferer etc.
>>>> Trotzdem sind es so viele (derzeit bereits über 200, dass ich von
>>>> einem Automatismus ausgehe. Die Einträge sehen so aus:
>>>>
>>>> Teilnehmer:
>>>>
>>>> Mariusz Mariusz, FwymgSLX
>>>>
>>>> Firma:
>>>>
>>>> VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
>>>>
>>>> Kontaktdaten
>>>>
>>>> Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail:
>>>> gyhty1 at 126.com
>>>>
>>>> etc.
>>>>
>>>> Interessant sind die Einträge im Kommentarfeld:
>>>>
>>>> Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut zur
>>>> Geltung :-D Das hat einfach was und ja, die 80er waren wunderbar
>>>> ^_^ @Applejfcnger: Hhm also die Bilder von Aya Takano finde ich
>>>> jetzt wiederum nicht ganz so aufregend. Ich glaube, ich bin halt
>>>> bei Versailles einfach hauptse4chlich von diesem Kontrast so
>>>> beeindruckt, der da entstanden ist
>>>>
>>>> oder
>>>>
>>>> Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der Grund,
>>>> weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht mit von der
>>>> Partie ist. Vor dem hteatn wir Kinder richtig Muffensausen'. Dann
>>>> drc3bcck ich mal die Daumen, dass der Bart dran bleibt in 2012
>>>> Obwohl (lacht)
>>>>
>>>> Das Zeug stammt aus Foren und Gästebüchern und ist in Google zu
>>>> finden.
>>>>
>>>> Die IP-Nummern der Absender wechseln, China, Russland, Arabische
>>>> Halbinsel etc.
>>>>
>>>> ---
>>>>
>>>> Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer Spam
>>>> kann das ja nicht sein, bei über 200.
>>>>
>>>> Danke Peter
>>>>
>>>>
>>>>
>>>> -- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web:
>>>> http://www.typo3-lisardo.de Facebook:
>>>> http://tinyurl.com/lisardo-multimedia
>>>>
>>>> _______________________________________________ TYPO3-german
>>>> mailing list TYPO3-german at lists.typo3.org
>>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>>>
>>> -----BEGIN PGP SIGNATURE-----
>>> Version: GnuPG v1.4.11 (GNU/Linux)
>>> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>>>
>>> iQIcBAEBAgAGBQJP/dkqAAoJEG6HPMAgWtVzQwMP/10UeJdguqxOF5XzV6GeFgaH
>>> Kqke0owAk/Vko5hlGNvymbeCd+zj2Hpjg+lo+uc2KxUUYvfnplEyLE6/PgKLSsao
>>> AdEMswlkLQ8yy6oqXYvRgBbcZSJUIgQ71znSA5XlHCyCnbbLT51OYTxYd91UUJZU
>>> 5MFOnvMeUX5DEsPQZav/Y1GhHO7gDJf99N0x14rPep2m/wBswfiXPUZ4yfwn/CLO
>>> QtuzFldZzcRtEULlewBAOBPKpWMULOBiTfHFhUzT+8sF3I77Z4UBjZAUpjmj88/J
>>> /5X8XM0TcVhDd/zauF6YEAnTnvBz8KLcvHdgHpNgTW5i7/SOAKhYLSIgqAgDkahj
>>> KhaUfsYY3uywZ/UgOdkPxEaxoLRgXUGUvT+DbXI41e2GdRlU5YRSQvm6Y4sUNOSu
>>> mUMAYIx99XBjUzQtXp+LpIPlWbpEJzZ+0vZmXnxD3iThc51FHu5YudizmXayyjvz
>>> MfwKOAZJ6lqc0yQ2G6DpPWP8j6KXTaJn8WN8oLjD6BcYUT1WhjsaolIjFGB6aRE1
>>> t9tthWjMAGtCxdVyvDT4Zz8lSZ4iSkLtC8VKXeADtOK05cf1cMap6oYRFiz54iCl
>>> udv35lRqSQXUdYhLVAsf4v3l2o80uTalUfkqF8OOYt1+HYvgT2zLJ79P+JinabWR
>>> L0Bzl71R25yYRohEhFbb
>>> =8jPa
>>> -----END PGP SIGNATURE-----
>>> _______________________________________________
>>> TYPO3-german mailing list
>>> TYPO3-german at lists.typo3.org
>>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>> --
>> Xing: http://www.xing.com/profile/Peter_Linzenkirchner
>> Web: http://www.typo3-lisardo.de
>> Facebook: http://tinyurl.com/lisardo-multimedia
>>
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia
More information about the TYPO3-german
mailing list