Spam verhindern - blocken ...

  • Hallo zusammen,


    meine Systeme sind je eigentlich soweit sicher und nicht betroffen von Spam, doch nun scheint es irgendwie los zu gehen.


    Der Spam schaut z.B. so aus:


    So, das Problem nun nur: Alle Anfragen kamen von verschiedenen IPs - gänzlich verschieden. Alle Anfragen hatten komplett unterschiedliche Inhalte und keine davon eine URL oder dergleichen in der Nachricht (darauf prüfe ich auch schon). Auch kann das Formular nicht einfach so abgesendet werden, da braucht es schon einen vorherigen Zugriff auf eine andere Seite, die das dann in der Session registriert. Direkte POST-Request werden blockiert.


    Somit scheint das wohl einer zu sein, der die Formulare per Hand ausfüllt. Spricht auch dafür, dass zwischen den Anfragen mehrere Minuten liegen.


    Gibt es da irgend eine Möglichkeit das zu blocken? IP-Sperre nicht wirklich. Da müsste ich nun schon 27 Sperren, da über jede eine Spam-Anfrage kam....


    Jemand eine Idee?

  • hmm, es ist leider ein teil des internets der blöde spam. bot trap ist so eine sache die sich täglich neu aktualisiert oder skimet, was aber kostenpflichtig ist. gegen manuellen spam, naja ... da wird es schon ganz schwierig, weil wir wollen ja keine false positives. am bewährtesten sind immer noch abfragen, so wie bei der registrierung hier im forum. bisher ist keiner bei der frage durchgekommen. captchas lassen sich ja extrem gut aushebeln. hmm, vielleicht hat ja einer eine gute idee, htacess ist auch so eine sache wenn man ip´s sperrt. egal was man sperrt ich bin immer noch fürs freie netz, will auf keinen fall jmd aus versehen sperren. hab aber etwa 10 ip´s drinne in meiner htaccess. bot trap habe ich wieder runtergenommen damals auf edel-host, weil es beschwerden gab, das auch schulen und sowas gesperrt worden sind. den meisten blöden und unsinnigen spam habe ich auch über formulare. wo dan sowas drinne steht fdhafdasfhdsaofhoiaFUJA.com, wo nix hingeht. naja es gibt kein patentrezept, aber askimet soll ganz gut sein. wenns forum weiter wächst, wird das mit sicherheit auch mal ausprobiert werden.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Alex
    Also da muss ich dann mal nachsetzen...


    Bot-Trap ist drauf. Nur die einzelnen IPs ist nicht gesperrt. Würde auch keinen wirklichen Sinn machen, da warum gleich eine ganze IP eines Providers sperren, nur weil darüber einmal Spam gesendet wurde. Wie gesagt, das sind immer wieder komplett andere IPs. Keine kommt doppelt vor.


    Wegen der Email-Adresse. Diese ist gar kein Pflichtfeld und kann beliebig ausgefüllt werden oder eben auch nicht.


    Es geht hier wirklich um manuellen Spam. Hab mir nun auch schon die Logs angesehen und nunja... Die gehen normal auf die Seite, dann weiter über den Link zum Formular und senden das dann ab. Danach versuchen die dann immer wieder gleich einen Reload hinter her zu schicken, doch das verhindert dann das System. Auch versuchen die anschließend diverse andere Formulare zu öffnen (ändern die ID nach belieben), aber auch das wird verhindert.


    Askimet dann aber auch nur so weit, dass Emails geprüft werden. Diese sind aber freiwillig und müssen nicht angegeben werden. Wenn, dann Prüfe ich die Erreichbarkeit und das ist bisher immer der Fall gewesen. Das doofe ist ja dieser bescheuerte Spam, der keinen Sinn ergibt. Andere schreiben eine URL mit rein, die filtere ich dann still raus und sage "alles gut". Aber da sehe ich keine Möglichkeit, automatisch etwas zu filtern.


    Hm... währenddessen geht der Spam weiter. Langsam und mit Abständen, aber eben weiter.


    Nachtrag: Die kommen auch aus der ganzen Welt..... Asien, Mexiko, Niederlande, Deutschland, Österreich, Russland, Polen, USA, China, Spanien

  • evtl ein neues bot netz?
    ich bin ja absolut gegen toolbars, weil ich die ehrlich gesagt kriminalisiere. sammeln daten und könnten noch andere sachen anstellen. hmm wennste bot trap drauf hast, die idee ist ja nicht schlecht.. aber..
    es wurden bei mir echte besucher ausgesperrt, hat siich das mittlerweile verbesert bei bot trap?
    andere ideen waren damals bei mir, felder die nicht ausgefüllt werden dürfen, wenn doch = spam. hatte mal ein mini script programmiert was das kann.
    sonst monitoren, erkennen und irgendwie handeln beim spam. bei dir ist das etwas kompliziert, wie sieht es denn mit den user agenten aus?
    unterschiedlich und nachvollziehbar?
    ist schon net einfach, aber mir fällt da bei manuellen netzwerken, was dsa wohl ist kein heilmittel ein.. ah mir kommt grade ne idee
    häckchen machen mit datenschutzbestimmungen und agb als pflichtfeld. hihi und dann dahinter schreiben, das das abo kostenpflichtig ist.. hmm auch blöd


    erstmal muss wirklich ewrkannt werden ob es wirklich manuell ist oder von einem zombi kommt, was ich stark vermute ( geht ganz einfach zu proggen über toolbar ), oder andere infektionen herrschen. evtl das ganze bei dem provider melden und um aufklärung bitten


    hat sonst keiner ne idee gegen den spam?

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Zitat

    hmm wennste bot trap drauf hast, die idee ist ja nicht schlecht.. aber..
    es wurden bei mir echte besucher ausgesperrt, hat siich das mittlerweile verbesert bei bot trap?


    Also ich hab das seit Beginn an drauf. War wohl auch einer der ersten. Hab seit dem keine Probleme, weder damals noch heute. Besucher haben sich bisher nur 5 beschwert, in den ganzen Jahren. Damit kann ich leben. Hin und wieder werden Dienste gesperrt, die ich aber nutzen möchte (z.B. Facebook, W3C etc), aber auch damit kann ich leben.


    Zitat

    andere ideen waren damals bei mir, felder die nicht ausgefüllt werden dürfen, wenn doch = spam. hatte mal ein mini script programmiert was das kann.


    Das habe ich leider auch schon. Zwei Felder. Eines wirklich als Hidden, ein anderes als display:none. Beide werden nicht ausgefüllt.


    User-Agent: Ist alles mögliche, aber alles normale Browserkennungen. Unterschiedliche Landessprachen, mal IE, mal Opera, dann mal FF oder Safari und alles in den verschiedensten - aber möglichen - Versionen. Der älteste war ein IE 6.0.


    Das einzige was mir nun noch einfällt, denn die Nachricht selbst ist zwar Spam, aber nicht zu erkennen - nicht für meine Systeme.... Eine Abfrage, wie lange es dauerte zwischen "Formular aufrufen" und "Formular senden"... Wobei, wenn ich mir das so überlege... Das sind im Schnitt 20 Sekunden. Das könnte man auch so normal schaffen.


    Was ich noch habe: Die schlagen immer direkt im Formular auf, füllen es aus und senden es dann ab, dann verschwinden sie. Aber... Die Formulare sind nicht im Index. Normalerweise müsste man von der Detailseite aus auf das Formular gehen. So eine Prüfung könnte ich auch einbauen, ob der denn von der Detailseite kommt oder nicht, aber das gibt es anderes Problem. Einige der Kunden verlinken das Formular selbst auf Ihrer HP und dann wäre so eine Prüfung alles andere als gut.


    Ich hasse Spammer... Können die nicht mein Gästebuch vollspammen... Das wäre mir egal. Aber warum ausgerechnet die Kundenformulare, bei denen nichts online sichtbar ist und auch keine Spam-URLs gesendet werden.

  • Also ich hab hier grade so ne Spamwelle über die Magentos:


    Da prasseln eMails rein ala:

    Zitat


    <!--@vars {"var data.name":"Sender Name", "var data.email":"Sender Email", "var data.telephone":"Sender Telephone", "var data.comment":"Comment"} @--> Name: Ivan Ballard E-Mail: &amp;amp;amp;amp;quot;ivanballardbi@gmail.com&amp;amp;amp;amp;quot;[/email] Telefon: Kommentar: The web is getting more crowded all the time. If you’d rather not get lost in the crowd, we can help you be a whole lot more visible. The system is easy: Search Engine Optimization is the key. Help us help you get more business.


    Dieses <!--@vars--> Zeugs steht nur in einer phtml-Datei, die den Formulartext Serverseitig mittels einiger php-Dateien zusammenbaut und per php-mailer versendet.
    Nett auch der Text :fluch:


    Lösung:
    Grade getestet und von mich für ausreichend befunden:
    Man schreibt beim Template einfach noch ein Feld rein. Z.B. "var data.reason":"Sender Reason" (Betreff halt) und lässt das einfach ins Leere laufen. Ist aber nix eingetragen, geht alles nach dev/nul

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Wobei das aber mehr nach Kommentarspam aussieht, oder? Der hat selbiges nämlich auch:
    *** Link veraltet *** und der *** Link veraltet ***
    Wobei. Bei mir waren die so unterschiedlich, dass ich mir das bei Google gar nicht angesehen habe, aber alleine schon diese eine Nachricht aus dem Post oben gibt es schon mehrfach wo anders:
    *** Link veraltet ***


    So, nochmal. Das Forum hat meinen Text irgendwie gelöscht. Scheint ja dann wohl doch was automatisches zu sein, wobei da dann nur nur URL, sondern auch Feldnamen gespeichert wurden. Neuer Ansatz: Feldnamen umbenennen und das nicht nur einmal, sondern dynamisch jeden Tag. Könnte funktionieren, oder?

  • Ich hab mit dem WP-Plugin hier gute Erfahrungen gemacht: *** Link veraltet ***
    Kannste in freier Wildbahn auch bei *** Link veraltet *** sehen.
    Das erzeugt einfach einen sinnlosen Zeichenstring, den man ins Feld darunter kopieren muß.


    Kannte ja mal runterladen, analysieren und anpassen. Das funktioniert und bisher gabs noch keinen einzigen Spameintrag.


    Alternativ - falls Du auf Kundenanfragen angewiesen bist und Du Deine Kunden magst - kannste ja mal den Weg gehen: *** Link veraltet *** Du machst die vielen einzelnen Kontaktformulare auf Deinen Sites weg und ersetzt sie einfach mit einem Link zu Deinem "Kundensuperservicecenter", wo dann ein *** Link veraltet *** auf die Spamer lauert.

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Äm jaein... Also Captcha oder dergleichen nur sehr sehr ungern. Die hatte ich mal 2005 - 2007 drinnen und der Erfolg war mehr als schlecht. Gut, Spammer kamen keine durch, aber geschätzt 20% der eigentlich Anfragenden auch nicht. Entweder wollten die das nicht lesen oder konnten es nicht.


    Und das andere. So ein Kundencenter ist ganz nett, doch geht bei mir am Ziel vorbei. Die Anfragen sind ja nicht von mir an Kunde oder umgekehrt, sondern von Besucher an Kunde. Ich habe mit den Anfragen nichts am Hut, speichere und sende die nur. Das sind Anfrageformulare für Unterkünfte. Also der Empfänger ist bei jedem Formular ein anderer, daher auch überall ein einzelnes davon.


    Wenn das nur ein einzelnes Formular wäre, dann könnte man da auch noch eine Prüfung einbauen, wie viele Anfragen da versendet werden. Aber es sind ja lauter verschiedene und jedes wurde einmal benutzt. Also hat jeder betroffene Vermieter so eine (oder ähnliche) Mail bekommen.

  • Wenn es automatisiert ist bau simple Fragen ein. Frage bei mir im Forum seit Jahren nach der Hauptstadt von D. Simple Rechenaufgaben funktionieren auch! Umbenennung der Formularfelder kann, muss aber nicht funktionieren - tappen schließlich auch nicht in die Falle der versteckten Felder.

  • Ok, das mit den Rechenaufgaben wollte ich ja nicht. Da sind viele wirklich zu doof dafür. Mein "Capcha" war damals einfach eine graue Hintergrundgrafik mit 5 Ziffern drauf. Nicht schräg gestellt, verstellt oder sonst etwas. Normale Schrift, normale Schriftart und Darstellung. Und viele waren nicht in der Lage diese 5 Ziffern richtig abzuschreiben.


    Neuer Ansatz daher: Erneutes Captcha oder Frage oder was auch immer. Aber nicht für alle, sondern nur für die, die direkt auf dem Formular aufschlagen und nicht von einer anderen Seite über einen Link dorthin kommen. Dann sollten normale Besucher das Captcha gar nicht sehen. Die Spammer, die direkt aufschlagen jedoch schon. Dann allerdings auch die, die das Formular auf der eigenen HP verlinken, aber das ist nicht so schlimm.


    Ok, werde ich dann mal testen.

  • Zitat von Synonym;9971

    Und viele waren nicht in der Lage diese 5 Ziffern richtig abzuschreiben.


    Das wird dir bei Fragen auch passieren. Selbst bei Fragen wie: Ich hab zwei rote Autos - "wieviele Autos habe ich?", oder "welche Farbe hat mein Auto?" werden welche scheitern - ich hab aufgehört mir darüber Gedanken zu machen ;)

  • Zitat

    ich hab aufgehört mir darüber Gedanken zu machen ;)


    Das habe ich auch, bei meinen eigenen Formularen oder Gästebuch. Bei den Kundenformularen ist das halt etwas anderes. Da gehen mehrere Hundert Anfragen am Tag raus. Wenn die dann nicht fähig sind zu Lesen und richtig zu Schreiben, dann gehen diese Anfragen verloren und somit auch potentielle Mieter für meine Kunden. Das ist das erste Problem. Das andere - kam recht häufig vor - da riefen die "nicht-lesen-könner" bei den Vermietern direkt an und beschwerten sich beiläufig, dass das Formular nicht funktionieren würde. Darauf riefen dann die Vermieter verärgert bei mir an, weil die das glaubten. Denen kann ich dann aber schlecht sagen: "Eh, die sind einfach zu doof zum Lesen", da auch einige Vermieter die 5 Ziffern nicht abtippen konnten ;)


    Das sind genau solche Besucher, die bei einer echten Anfrage bei "Telefon" und auch bei "Email" "keine" reinschreiben. Und dann beschweren die sich, weil keiner auf deren Anfrage reagiert.

  • Äm, das Formular nenne ich hier nicht. Ist aber ein stinkt normaler Formular mit 8 Feldern (siehe Spam-Beispiel oben) und einem Button.
    Direktes Posten ist verhindert, Reload auch, diverse Spamerkennungen in den Dateneingaben auch usw... Nur eben haben diese jetzigen Spams keinen Gemeinsamkeiten.


    Verarbeitet wird das durch mein eigenes System.


    Allerdings habe ich nun auch mal eine Prüfung für das Datum eingebaut und nun ist erst mal Ruhe. Die hatte ich bisher extra nicht, weil viele das Datum frei eintragen und das in den unterschiedlichsten Formen. Nun wird dd.mm.yyyy erwartet, alles andere gibt eine Fehlermeldung.


    Die Spammer sind noch da, sie füllen auch aus, aber eben mit einem falschen Datumsformat. Nur wenn die das erkennen, dann ist es wieder vorbei mit Lustig.

  • Also ich würde jetzt so denken:
    Dann gib doch jedem Kunden nen Account in dem Kundencenter.
    Ich kann Dir gerne mal nen Gastacc in osTicket geben bei mir, damit Du siehst, was da möglich ist.


    Zitat von Synonym;9964

    So ein Kundencenter ist ganz nett, doch geht bei mir am Ziel vorbei. Die Anfragen sind ja nicht von mir an Kunde oder umgekehrt, sondern von Besucher an Kunde. Ich habe mit den Anfragen nichts am Hut, speichere und sende die nur. Das sind Anfrageformulare für Unterkünfte. Also der Empfänger ist bei jedem Formular ein anderer, daher auch überall ein einzelnes davon.

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Hallo Synonym,


    das Problem kenn ich auch, das sind custom Formulare, die dann trotzdem versuchsweise vollgespamt und abgesendet werden.
    Ich habe aber festgestellt das die meist nach der ersten Welle wieder weg sind.
    Ich glaube das sind fehlgeleitete Xrumer Läufe mit neuen Templates.
    Wenn kein Backlink erscheint wird das Ziel wieder gelöscht.


    gruss
    gunnar

  • Synonym:
    Das Problem hab ich ja auch. Das hat wohl jeder, der echte Kunden hat... die sind teilweise einfach... naja... *** Link veraltet ***
    Kannste nix machen.
    Ich versuche das immer zu lösen, indem ich eine Telefonnummer angebe. Denn: Die können noch so doof sein - telefonieren können se alle^^ Siehste ja bei Pro7 und den ganzen TV-Shows.

    Wer zuerst "Datenschutz" sagt, hat verloren.