Angriffe auf Kontaktformular, jemand versucht spam über contact_us.php Einstellungen

[Ingo Malchow]

Unabhängig davon, ob im Spamangriff "Content_type" vorkommt oder nicht. Bombardierd werden, kann man trotzdem. Daher ja mein Trigger, der das Ausfüllen des Formulars erfordert und reine POST-Requests abfängt.

[Lule]

und was wäre wenn man einstellen würde das jede IP in einem Zeitabstand nur 1x Mailschicken darf, oder soetwas?

Der Beitrag wurde von Lule bearbeitet: 17.09.2005 16:31

[Henri Schmidhube...]

- aol proxy?
- die Spammer senden ja nur wenige mails, aber über tausende von Formularen und via verschiedener IPs...

Also sinnlos

[Lule]

was machen die eigentlich letzendlich?
Sie schicken ne SPammail übers Kontkatforumlar an den Shopbetreiber, oder wie?
Lucas

[Ingo Malchow]

Nicht nur oder auch garnicht. Mit dem manipulierten Header kann die Mail an beliebige Empfänger gesendet werden. Und DU bist der Spammer und landest auf der "schwarzen Liste".

[CaptainBob]

Hallo

ich wollte nur mal anfragen ob seit dem 8.9. auch bei anderen
10000de von Kunden angelegt wurden ?

kann man da was gegen machen ?
oder kann ich die Kunden selbst aktiviren ?

ist das das selbe problem mit den Spammern ?
weil s geht ja auch seit dem 8.9. so...

den Fix für das Spamproblem bin ich grad am einbauen ;-)

hoffe ihr könnt mir helfen

Robi

[Hans Meier]

Hallo

ich wollte nur mal anfragen ob seit dem 8.9. auch bei anderen
10000de von Kunden angelegt wurden ?

kann man da was gegen machen ?

Contrib Anti Robot Registration gibt einen "Bildcode" vor, der eingetippt werden muss. Wenn das jeder macht, gibt es aber bald eine zuverlässige OCR Software die die Buchstaben erkennt und ebenfalls eingibt.

Hans

[chameleon]

Contrib Anti Robot Registration gibt einen "Bildcode" vor, der eingetippt werden muss. Wenn das jeder macht, gibt es aber bald eine zuverlässige OCR Software die die Buchstaben erkennt und ebenfalls eingibt.

Hans

Das Problem an der "Anti Robot Registration" ist, das es keine "echte" Captcha ist. Da es nichtmal eine OCR-Software zum auslesen braucht, sondern einfach nur der dateiname des jeweiligen .gif ausgelesen werden muß.

Wäre aber schön wenn es jemanden mit knowhow gäbe der eine echte Captcha programieren könnte.

[Hans Meier]

Das Problem an der "Anti Robot Registration" ist, das es keine "echte" Captcha ist. Da es nichtmal eine OCR-Software zum auslesen braucht, sondern einfach nur der dateiname des jeweiligen .gif ausgelesen werden muß.

Wäre aber schön wenn es jemanden mit knowhow gäbe der eine echte Captcha programieren könnte.

Hi,

ich weiß.
die Contrib hat auch noch andere "Kinderkrankheiten", über die ich am Anfang gestolpert bin. Das mit den Bildern lässt sich aber relativ einfach lösen, indem man an den Dateinamen nicht den Buchstaben selber anhängt, sondern einen Zahl die aus einer (für alle abzufragenden Buchstaben) Zufallszahl + dem ASCII Wert des Buchstabens besteht.

Hans

[Henri Schmidhube...]

-> phpbb hat soweit ich weiß eine integriert, bzw gabs die früher extra, sollte sich als Vorlage nehmen lassen, da auch GPL.

[Alex2911]

Ich hatte mal gelesen, auch "Captcha" lässt sich ablesen.

Kürzlich bin ich über etwas gestolpert: Du gibst Deine Handynummer ein und bekommst einen Anruf mit dem Registrierungscode. Erst dann gehts beim Formular weiter. Das wäre doch lustig

[chameleon]

Ich hatte mal gelesen, auch "Captcha" lässt sich ablesen.

Kürzlich bin ich über etwas gestolpert: Du gibst Deine Handynummer ein und bekommst einen Anruf mit dem Registrierungscode. Erst dann gehts beim Formular weiter. Das wäre doch lustig

Vor allem für einen Handy-Shop wo gerne Leute kaufen die gerne ein Handy kaufen wollen, da Sie noch keines haben ;-)

Jemanden zu nötigen ein Handy zu besitzen ist schlecht.
Genauso wie Kreditkarte, weil die eben die Deutsch nicht haben/benutzen.

[o24shop]

Hallo Leute,

hatte dieses Problem vor geraumer Zeit auch, habe es vorläufig so ähnlich gelöst wie Ihr.
Auf meiner Suche nach Hilfe bin ich auf folgendes sehr umfangreiches Script gestoßen, es ist eine security_class mit umfangreicher Dokumentation, bin aus Zeitmangel leider noch nicht zum austesten gekommen, da ich momentan keine Probleme mehr habe.

http://www.rrze.uni-erlangen.de/dienste/we...e.shtml#content

Postet doch mal was Ihr davon haltet.

Grüße Rene

[Polaski]

mal eine Frage zwischendurch:

Ist es möglich direkt auf der Seite contact_us.php Angaben in den Feldern zu machen die dann den Header derart verändern oder muß da von außerhalb ein eigenes Script ran damit die contact_us.php manipuliert wird?

MfG
Polaski

[Henri Schmidhube...]

kommt auf die servereinstellungen an.
Ich hab geschaft indem ich die Eingabefelzu Textareas umstellen und dann konnte ich manipulieren.
Aber das interessiert ein Script nicht.

[Muecke]

Habe mir gerade mal das Thema hier durchgelesen!
Ich bekomme zwar im Moment noch keine solchen Mails oder Probleme!
Dennoch würde mich mal interessieren, was ich nun genau ändern sollte/muß?? Es ist alles bissel verwirrend hier!

Danke im voraus!
Muecke

[AnHe]

Habe mir gerade mal das Thema hier durchgelesen!
Ich bekomme zwar im Moment noch keine solchen Mails oder Probleme!
Dennoch würde mich mal interessieren, was ich nun genau ändern sollte/muß?? Es ist alles bissel verwirrend hier!

Danke im voraus!
Muecke

Baue den Fix von Henry ein. Damit verhinderst Du, daß 1. der Angreifer zusätzliche Header in die Kontaktmail einfügen kann, und 2. die Mail abgeschickt wird, wenn verschiedene Manipulationen in den Adressfeldern bzw. Namensfeldern vorgenommen wurden.

Es gibt da noch ein paar Zeilen, die ich in die Contact_us.php eingebaut habe und die Triggerlösung von Ingo. Eine dieser beiden Lösungen kann man zusätzlich einbauen.
Ingos Lösung geht davon aus, daß ein richtiger Benutzer das Formular ausfüllen muß, deshalb wird beim Anzeigen des Formulars ein Wert in der Session registriert und der Wert vor dem Versenden geprüft. Ein Bot füllt nicht das Formular aus und deshalb ist der Wert (Trigger) nicht vorhanden und es wird keine Mail verschickt.
Meine Lösung geht davon aus, daß ein Besucher den Shop normal besucht. Dabei werden Seiten in die Session History aufgenommen. Wenn ein Besucher auf die Contact_us.php kommt, dann sind mehr Seiten in der Session History registriert als wenn ein Bot die Seite direkt aufruft.
Die Lösungen von mir und von Ingo sind nur optional und alleine nur teilweise sicher. Der Fix von Henry bietet die Sicherheit, weil Felder vor dem Versand der Mail geprüft werden. Also den Fix auf jeden Fall einbauen. In jeden Shop, auch wenn man das Problem (noch) nicht hat.

Grüße, Andreas

[Polaski]

Also ich habe um der Sache etwas Einhalt zu gebieten folgende Dinge veranstaltet.

in die dementsprechende Funktion in der general.php habe ich folgende Sachen eingebunden :

$to_name = preg_replace('/[\n|\r].*/', '', $to_name);
$email_subject = preg_replace('/[\n|\r].*/', '', $email_subject);
$from_email_name = preg_replace('/[\n|\r].*/', '', $from_email_name);
if(eregi('Content-Type:', $to_name)) return false;
if(eregi('Content-Type:', $to_email_address)) return false;
if(eregi('Content-Type:', $email_subject)) return false;
if(eregi('Content-Type:', $email_text)) return false;
if(eregi('Content-Type:', $from_email_name)) return false;
if(eregi('Content-Type:', $from_email_address)) return false;

weiterhin habe ich die Funktion des contrib http://www.oscommerce.com/community/contributions,3509 in die general.php aufgenommen und die Abfrage in die contact_us.php eingebettet.
Weiterhin nutze ich noch zwei Variablen die mir der Server zur Verfügung stellt um externe Sachen abfangen zu können. Inwieweit diese beiden Variablen nicht manipulierbar sind entzieht sich meiner Kenntnis aber mal schauen.

Die Längen für die Abfragen aus dem Contrib werd ich damit sie besser einzustellen und zu kontrollieren sind und man wg.diesen Längen nicht jedesmal in die Datei muß noch über ADMIN-KONFIGURATIONEN-MAXVALUES einstellbar machen.

Der Beitrag wurde von Polaski bearbeitet: 02.10.2005 14:59

[Polaski]

Das als kleine Info gedacht und vielleicht zum mal kucken.

So sieht das jetzt in meinem DemoShop im Bereich contact_us.php aus. Diesen DemoShop habe ich ja zum Testen von Veränderungen und Verbesserungen um die Sachen in den Shops einbauen zu können ohne das irgendwelche haufenweise Fehler drin sein könnten oder zumindest diese eben dadurch auf einem sehr kleinen Level gehalten werden können.

http://www.polaskisoft.com/developments/sh...mmerce/catalog/

Im Admin läuft das jetzt so daß man die Einstellungen der Feldlängen über ADMIN - KONFIGURATIONEN - MAXVALUES regelt.




MfG
Polaski

[Sir.K.O.]

Öhm, habe durch die ganze Sache einen kleinen Haken hier:
Ich bekomme von den Bestellungen keine Mails mehr zugesendet!? Eine ne Idee?? Wäre nett, da ich in gewisser Weise diese Mails brauche....

DANKE!