RE: Spam über die Registrierungsfunktion? - FL4PJ4CK - 13.08.2013
Zitat:Hast du Fehler als E-Mail versenden aktiv? Eventuell ist irgendwo ein Fehler im Script. Wenn Bots nun versuche sich zu registrieren wird jeweils eine Mail versendet. Das können dann ja schon etliche sein.
Gute Frage, wo finde ich denn diese Option? Fehlermeldungen per Mail sind bei mir jedenfalls nicht angekommen.
Und im Backend wird mir übrigens nur genau ein einziger nicht-aktivierter Benutzer angezeigt. Ansonsten sehen mir die neuesten Benutzer recht sauber aus.
Der Hoster-Support hat mir gesagt, dass es um über 250 Mails geht.
Ich habe jetzt allerdings merkwürdigerweise noch eine weitere Mail vom Hoster bekommen, die eine Drupal-Installation unter der gleichen Domain betrifft:
Zitat:soeben mussten wir die Aufrufen auf Ihrem Account abschalten, da dieses massiv zum Spamversand missbraucht wurde. Konkret handelt es sich um folgenden Aufrufen:
http://www.mountainboard-world.de/c/user/register
http://www.mountainboard-world.de/c/node/add
http://www.mountainboard-world.de/c/comment/reply/306
http://www.mountainboard-world.de/c/node/add/testbericht
Über dieses Script kann jeder Besucher Ihrer Seite einen beliebigen Text und einen beliebigen Empfänger eingeben. Da das Script nicht weiter gesichert ist konnte dieses jetzt leicht massenhaft missbraucht werden.
Bitte bauen Sie eines Captchas an um in Zukunft solche automatisierten Einträge zu vermeiden.
http://de.wikipedia.org/wiki/CAPTCHA
Da scheint also wohl generell jemand meine Seite ins Visier genommen zu haben. Aber nichtsdestotrotz müsste sich doch in dem MyBB-Skript dann ein Problem finden lassen, oder nicht? Die beiden Installation laufen ja unabhängig voneinander...
Bei der MyBB-Registrierung ist übrigens reCAPTCHA aktiviert.
RE: Spam über die Registrierungsfunktion? - StefanT - 14.08.2013
Das klingt so, als wäre dein Webspace gehackt und irgendwo ein Script zum Spamversand versteckt worden. Dieses zu finden kann allerdings mühsam sein...
RE: Spam über die Registrierungsfunktion? - frostschutz - 15.08.2013
Wieviele User haben sich denn registriert? Wenns 250 sind dann gehen halt 250 Mails raus. Zudem kann man sich ja z.B. die Aktivierungsmail erneut zuschicken lassen, wenn das dann jemand in tausendfacher Ausführung macht, wirds lustig... ich weiß nicht ob MyBB da eine Sperre hat die das verhindert.
Daß ein Forum eine Mail an eine beliebige Adresse schickt ist leider nicht zu verhindern (es sei denn man schaltet die Aktivierung per Mail ganz ab). Dazu muß sich nur jemand mit dieser Adresse im Forum anmelden, dann geht halt eine Mail raus. Das "Problem" gibts aber überall sonst auch (Mailinglisten usw.).
RE: Spam über die Registrierungsfunktion? - FL4PJ4CK - 06.09.2013
Sorry, ich war im Urlaub, deshalb länger keine Antwort.
Zitat:Wieviele User haben sich denn registriert? Wenns 250 sind dann gehen halt 250 Mails raus. Zudem kann man sich ja z.B. die Aktivierungsmail erneut zuschicken lassen, wenn das dann jemand in tausendfacher Ausführung macht, wirds lustig... ich weiß nicht ob MyBB da eine Sperre hat die das verhindert
Hmm nein, also 250 User haben sich da nicht registriert. Wie gesagt, das waren maximal ein oder zwei am Tag.
Ich habe jetzt mal "Freischaltung durch Administrator" eingestellt. Das müsste ja die Missbrauchsmöglichkeiten einigermaßen einschränken, oder?
Mal sehen, ob sich der Hoster-Support damit zufrieden gibt...
RE: Spam über die Registrierungsfunktion? - chrissio - 21.09.2013
Hallo Leute,
ich glaube, dass die Forensoftware ein kleines Spam-Problem hat, welches für das derartige Mailaufkommen verantwortlich ist.
Ich habe 2 Installationen von MyBB welche auf aktuellem Softwarestand sind, bei beiden ist folgendes Problem zu beobachten:
Spambots haben das Forum für sich entdeckt - sie registrieren sich, und schreiben dann einen bis 3 Spam-Beiträge. In meinen beiden Installationen kamen so im Zeitraum eines Monats, also vom ca. 15.08.2013 bis zum 19.09.2013 bei Forum I 68.000 Spambeiträge zusammen, bei Forum II sogar 73.600 Spambeiträge.
Auch konnte ich beobachten, dass die Spambots offenbar ihre Beiträge kontrollieren und, falls sie plötzlich gelöscht sind, versuchen, diese zu erneuern.
Das Löschen derselben über die Forensoftware ist absolut aufwändig, man klickt sich die Finger wund und die Maustaste kaputt...
Also löschen über die MySql-Datenbank - drei Befehle, um die User, die Beiträge, und die Threadanzeige zu berichtigen, und schon war der Server für 1,5 Stunden beschäftigt und weder per SSH, noch Http erreichbar. So etwas geht natürlich nicht.
Ich habe dann nach Abhilfe gesucht, aber nichts wirkliches gefunden, da bereits Captcha, und das css-versteckte Eingabefeld aktiviert war.
Direkt nach dem Löschen der Beiträge konnte ich feststellen, dass die Spambots alle wieder da waren und versuchten, sich neu zu registrieren und Spam zu posten - ca. 90 Spambots im Sekundentakt - ich habe dann die Foren ausgeschaltet und für 2 Tage die ForenUrl auf Google umgeleitet - daran sah ich dann, dass sich die Spambots direkt unter Umgehung der Index-Dateien im Forum registrieren wollen.
Logfile schrieb:Spambot identifiziert sich als:
Firefox
176.8.251.105 - - [19/Sep/2013:21:12:31 +0200] "GET /forum/index.php HTTP/1.0" 200 18513 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:31 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7971 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:31 +0200] "POST /forum/member.php HTTP/1.0" 200 7431 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:32 +0200] "GET /forum/forumdisplay.php?fid=1 HTTP/1.0" 200 15858 "http://www.xxx.de/forumdisplay.php?fid=1" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:32 +0200] "GET /forum/forumdisplay.php?fid=2 HTTP/1.0" 200 25778 "http://www.xxx.de/forumdisplay.php?fid=2" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:32 +0200] "GET /forum/newthread.php?fid=2 HTTP/1.0" 200 8677 "http://www.xxx.de/newthread.php?fid=2" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:33 +0200] "GET /forum/showthread.php?tid=60445 HTTP/1.0" 200 21670 "http://www.xxx.de/showthread.php?tid=60445" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:33 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:33 +0200] "GET /forum/showthread.php?tid=60445&pid=77039 HTTP/1.0" 200 21719 "http://www.xxx.de/showthread.php?tid=60445&pid=77039" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:34 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:34 +0200] "GET /forum/showthread.php?tid=60445&action=nextoldest HTTP/1.0" 302 - "http://www.xxx.de/showthread.php?tid=60445&action=nextoldest" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:34 +0200] "GET /forum/newreply.php?tid=60445 HTTP/1.0" 200 8683 "http://www.xxx.de/newreply.php?tid=60445" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:12:34 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1"
176.8.251.105 - - [19/Sep/2013:21:13:46 +0200] "GET /forum/index.php HTTP/1.0" 200 18614 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:47 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7971 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:47 +0200] "POST /forum/member.php HTTP/1.0" 200 7428 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:47 +0200] "GET /forum/forumdisplay.php?fid=1 HTTP/1.0" 200 15858 "http://www.xxx.de/forumdisplay.php?fid=1" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:48 +0200] "GET /forum/forumdisplay.php?fid=2 HTTP/1.0" 200 25778 "http://www.xxx.de/forumdisplay.php?fid=2" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:48 +0200] "GET /forum/newthread.php?fid=2 HTTP/1.0" 200 8677 "http://www.xxx.de/newthread.php?fid=2" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:48 +0200] "GET /forum/showthread.php?tid=60445&action=lastpost HTTP/1.0" 302 - "http://www.xxx.de/showthread.php?tid=60445&action=lastpost" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:48 +0200] "GET /forum/showthread.php?tid=60445 HTTP/1.0" 200 21670 "http://www.xxx.de/showthread.php?tid=60445" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:49 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:49 +0200] "GET /forum/showthread.php?tid=60445&action=nextnewest HTTP/1.0" 200 7323 "http://www.xxx.de/showthread.php?tid=60445&action=nextnewest" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:49 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:49 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:50 +0200] "GET /forum/showthread.php?tid=60445&action=nextoldest HTTP/1.0" 302 - "http://www.xxx.de/showthread.php?tid=60445&action=nextoldest" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:50 +0200] "GET /forum/newreply.php?tid=60445 HTTP/1.0" 200 8683 "http://www.xxx.de/newreply.php?tid=60445" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:50 +0200] "GET /forum/showthread.php?tid=60433&action=lastpost HTTP/1.0" 302 - "http://www.xxx.de/showthread.php?tid=60433&action=lastpost" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:50 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:50 +0200] "GET /forum/showthread.php?tid=60445&action=nextoldest HTTP/1.0" 302 - "http://www.xxx.de/showthread.php?tid=60445&action=nextoldest" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:51 +0200] "GET /forum/newreply.php?tid=60445 HTTP/1.0" 200 8683 "http://www.xxx.de/newreply.php?tid=60445" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:51 +0200] "GET /forum/newreply.php?tid=60445 HTTP/1.0" 200 8683 "http://www.xxx.de/newreply.php?tid=60445" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:51 +0200] "GET /forum/showthread.php?mode=linear&tid=60445&pid=77039 HTTP/1.0" 200 21770 "http://www.xxx.de/showthread.php?mode=linear&tid=60445&pid=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:51 +0200] "GET /forum/newreply.php?tid=60445 HTTP/1.0" 200 8683 "http://www.xxx.de/newreply.php?tid=60445" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:52 +0200] "GET /forum/showthread.php?tid=1 HTTP/1.0" 200 16925 "http://www.xxx.de/showthread.php?tid=1" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
176.8.251.105 - - [19/Sep/2013:21:13:52 +0200] "GET /forum/newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8754 "http://www.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
Opera
176.8.251.105 - - [19/Sep/2013:21:18:36 +0200] "GET /forum/index.php HTTP/1.0" 200 7000 "http://www.xxx.de/forum/index.php" "Opera/9.80 (Windows NT 6.1; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
176.8.251.105 - - [19/Sep/2013:21:18:37 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.1; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
176.8.251.105 - - [19/Sep/2013:21:18:37 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.1; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
176.8.251.105 - - [19/Sep/2013:21:18:37 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.1; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
176.8.251.105 - - [19/Sep/2013:21:18:37 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.1; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
Applewebkit
176.8.251.105 - - [19/Sep/2013:21:18:43 +0200] "GET /forum/index.php HTTP/1.0" 200 7000 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5"
176.8.251.105 - - [19/Sep/2013:21:18:43 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5"
176.8.251.105 - - [19/Sep/2013:21:18:44 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5"
176.8.251.105 - - [19/Sep/2013:21:18:44 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5"
176.8.251.105 - - [19/Sep/2013:21:18:44 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser/1.1.1084.5409 Chrome/19.1.1084.5409 Safari/536.5"
Firefox
176.8.251.105 - - [19/Sep/2013:21:21:45 +0200] "GET /forum/index.php HTTP/1.0" 200 7000 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
176.8.251.105 - - [19/Sep/2013:21:21:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
176.8.251.105 - - [19/Sep/2013:21:21:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
115.210.65.53 - - [19/Sep/2013:21:21:46 +0200] "GET /newreply.php?tid=60445&replyto=77039 HTTP/1.0" 200 8566 "http://forum.xxx.de/newreply.php?tid=60445&replyto=77039" "Mozilla/5.0 (Windows NT 6.2; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
176.8.251.105 - - [19/Sep/2013:21:21:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
176.8.251.105 - - [19/Sep/2013:21:21:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
Opera
176.8.251.105 - - [19/Sep/2013:21:23:51 +0200] "GET /forum/index.php HTTP/1.0" 200 7000 "http://www.xxx.de/forum/index.php" "Opera/9.80 (Windows NT 6.0; U; ru) Presto/2.10.289 Version/12.02"
176.8.251.105 - - [19/Sep/2013:21:23:51 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.0; U; ru) Presto/2.10.289 Version/12.02"
176.8.251.105 - - [19/Sep/2013:21:23:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.0; U; ru) Presto/2.10.289 Version/12.02"
176.8.251.105 - - [19/Sep/2013:21:23:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.0; U; ru) Presto/2.10.289 Version/12.02"
176.8.251.105 - - [19/Sep/2013:21:23:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7053 "http://www.xxx.de/forum/member.php?action=login" "Opera/9.80 (Windows NT 6.0; U; ru) Presto/2.10.289 Version/12.02" Anhand des Logfiles sieht man sehr schön, wie sich der Spambot zuerst als Firefox identifiziert, um dann später als "Opera", "AppleWebKit/536.5 (KHTML, like Gecko) YaBrowser" und anderes wiederzukommen. Der Spambot wechselt also schon mal die Browsereidentifizierung im Sekundentakt.
Sperrt man nun die IP-Adresse aus, wird es lustig, auch das merkt der Spambot und wechselt dann die IP:
Zitat:178.137.160.157 - - [19/Sep/2013:21:24:14 +0200] "GET / HTTP/1.0" 200 18288 "http://forum.xxx.de/" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:14 +0200] "GET /member.php?action=register HTTP/1.0" 200 8788 "http://forum.xxx.de/member.php?action=register" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:14 +0200] "POST /member.php HTTP/1.0" 200 18142 "http://forum.xxx.de/member.php?action=register" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:14 +0200] "GET /captcha.php?action=regimage&imagehash=cb7a631f0e673a632f8059dcee09c545 HTTP/1.0" 200 16255 "http://forum.xxx.de/member.php?action=register" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:17 +0200] "POST /member.php HTTP/1.0" 200 8191 "http://forum.xxx.de/member.php?action=register" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:17 +0200] "GET /member.php?action=login HTTP/1.0" 200 7789 "http://forum.xxx.de/member.php?action=login" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:17 +0200] "POST /member.php HTTP/1.0" 200 7249 "http://forum.xxx.de/member.php?action=login" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:24:17 +0200] "GET / HTTP/1.0" 200 18288 "http://forum.xxx.de/" "Opera/9.80 (Windows NT 6.1; Win64; x64) Presto/2.12.388 Version/12.11"
178.137.160.157 - - [19/Sep/2013:21:57:02 +0200] "GET / HTTP/1.0" 302 300 "http://forum.xxx.de/" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.10"
Das gleiche nochmal mit anderem Spambot:
Zitat:46.119.123.98 - - [19/Sep/2013:22:30:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.0; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:30:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.0; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:30:53 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.0; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:30:53 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.0; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:31:39 +0200] "GET /forum/index.php HTTP/1.0" 200 7102 "http://www.xxx.de/forum/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
46.119.123.98 - - [19/Sep/2013:22:31:51 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
46.119.123.98 - - [19/Sep/2013:22:31:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
46.119.123.98 - - [19/Sep/2013:22:31:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
46.119.123.98 - - [19/Sep/2013:22:31:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)"
46.119.123.98 - - [19/Sep/2013:22:33:00 +0200] "GET /forum/index.php HTTP/1.0" 200 7102 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1"
46.119.123.98 - - [19/Sep/2013:22:33:01 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1"
46.119.123.98 - - [19/Sep/2013:22:33:01 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1"
46.119.123.98 - - [19/Sep/2013:22:33:01 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1"
46.119.123.98 - - [19/Sep/2013:22:33:01 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0.1"
46.119.123.98 - - [19/Sep/2013:22:38:05 +0200] "GET /forum/index.php HTTP/1.0" 200 7102 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:38:22 +0200] "GET /forum/index.php HTTP/1.0" 200 7102 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
46.119.123.98 - - [19/Sep/2013:22:38:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
46.119.123.98 - - [19/Sep/2013:22:38:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
46.119.123.98 - - [19/Sep/2013:22:38:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
46.119.123.98 - - [19/Sep/2013:22:38:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (iPad; CPU OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
46.119.123.98 - - [19/Sep/2013:22:38:46 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:38:47 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:38:47 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:38:47 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
46.119.123.98 - - [19/Sep/2013:22:39:38 +0200] "GET /forum/index.php HTTP/1.0" 200 7102 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.119.123.98 - - [19/Sep/2013:22:39:54 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.119.123.98 - - [19/Sep/2013:22:39:54 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.119.123.98 - - [19/Sep/2013:22:39:55 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
46.119.123.98 - - [19/Sep/2013:22:39:55 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 7155 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.95 Safari/537.11"
Stoppen konnte das Ganze nur die Einstellung "Neu registrierte User per Admin freischalten" - doch dadurch bleibt es dabei, dass sich die Spambots als User registrieren können - sie können sich halt nur nicht selbst bestätigen und nicht mehr schreiben. Trotzdem werden vom Forum mit jeder Registrierung Bestätigungsmails verschickt - bei ca. 7.000 Registrierungen im Zeitraum ist das eine ganze Menge.
Da ich selbst mein eigener Hoster bin, dreht mir niemand den Account ab - aber so kann es passieren, dass meine Server durch diesen Mangel der Forensoftware in Antispamlisten landen, und keine Mails dieser Server mehr von anderen Mailservern angenommen werden, was der Grund dafür ist, dass andere Provider die beschriebenen bösen Mails an ihre Kunden schreiben oder den Account abschalten.
Was ist nun der Grund dafür, dass es den ca. 90! meine installationen besuchenden verschiedenen Spambots gelingt, sich mit immer wieder verschiedenen Mailadressen zu registrieren?
Grund sind die Registrierungsscripte des MyBB, genauer die schlampige Captcha-Funktion. Diese erzeugt nämlich bei der Registrierung einen Hash für das Captcha-Bild. Siehe auch im Quelltext der Foren-Html-Ausgabe:
Code: <script type="text/javascript" src="jscripts/captcha.js?ver=1400"></script>
<legend><strong>Bestätigung</strong></legend>
<table cellspacing="0" cellpadding="">
<tr>
<td><span class="smalltext">Bitte den Code im Bild in das Feld eingeben. Dies ist nötig, um automatisierte Anmeldungen zu vermeiden.</span></td>
<td rowspan="2" align="center">
<!--Beginn Image-Hash -->
<img src="captcha.php?action=regimage&imagehash=20493e2aecbc4e7f6b7f77507b661483"alt="Bestätigung" title="Bestätigung" id="captcha_img" />
<!--Ende Image-Hash -->
<br /><span style="color: red;" class="smalltext">(Keine Beachtung von Groß- und Kleinschreibung)</span>
<script type="text/javascript">
<!--
if(use_xmlhttprequest == "1")
{
document.write('<br \/><br \/><input type="button" class="button" tabindex="10000" name="refresh" value="Aktualisieren" onclick="return captcha.refresh();" \/>');
}
// -->
</script>
Diese Hashs sind nur begrenzt verfügbar, die Spambots haben diese in Datenbanken nebst einer gültigen Auflösung!
Sie "überfahren" einfach die eingesetzten Scripte, können den Hash lesen, suchen danach in ihrer Datenbank, finden den dazu passenden Code aus dem Captcha-Bild und können sich so registrieren und posten.
Dass die Spambots bereits eine Grafikerkennung haben und darüber die Captchas knacken halte ich für abwegig, da das zuviel Aufwand für die Spambots bedeutet.
Hier ein Logfileeintrag eines Spambots, der gerade den Hash holt und sendet um sich zu registrieren; Schaut Euch mal die Zeiten an, so schnell ist kein normaler User:
Zitat:176.8.88.127 - - [19/Sep/2013:22:40:48 +0200] "POST /forum/member.php HTTP/1.0" 200 19558 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:48 +0200] "GET /forum/captcha.php?action=regimage&imagehash=44dad39bf9c26a80b84e50e121a0e2a3 HTTP/1.0" 200 16913 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
Hier das Login:
176.8.88.127 - - [19/Sep/2013:22:40:52 +0200] "POST /forum/member.php HTTP/1.0" 200 8423 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:52 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 8719 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:52 +0200] "POST /forum/member.php HTTP/1.0" 200 2462 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:52 +0200] "GET /forum/index.php HTTP/1.0" 200 19793 "http://www.xxx.de/index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:52 +0200] "GET /forum/usercp.php HTTP/1.0" 200 12735 "http://www.xxx.de/forum/usercp.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:53 +0200] "GET /forum/usercp.php?action=profile HTTP/1.0" 200 19411 "http://www.xxx.de/usercp.php?action=profile" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
Hier wird nun das Profil ausgefüllt:
176.8.88.127 - - [19/Sep/2013:22:40:53 +0200] "POST /forum/usercp.php HTTP/1.0" 200 2568 "http://www.xxx.de/forum/usercp.php?action=profile" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
Hier kontrolliert ob alles da ist:
176.8.88.127 - - [19/Sep/2013:22:40:53 +0200] "GET /forum/usercp.php HTTP/1.0" 200 12735 "http://www.xxx.de/usercp.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
176.8.88.127 - - [19/Sep/2013:22:40:53 +0200] "GET /forum/member.php?action=profile&uid=2204 HTTP/1.0" 200 11408 "http://www.xxx.de/forum/member.php?action=profile&uid=2204" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.1634 Safari/535.19 YI"
Hier das ganze nochmal einen Tag später - man sieht die GET- und POST-Befehle...
176.8.88.127 - - [20/Sep/2013:17:16:23 +0200] "GET /forum/index.php HTTP/1.0" 200 21014 "http://www.xxx.de/forum/index.php" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:23 +0200] "GET /forum/member.php?action=register HTTP/1.0" 200 8970 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:23 +0200] "POST /forum/member.php HTTP/1.0" 200 18007 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:24 +0200] "GET /forum/captcha.php?action=regimage&imagehash=167607665e33ed12a57ec4b256059461 HTTP/1.0" 200 16187 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:24 +0200] "POST /forum/member.php HTTP/1.0" 200 19535 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:24 +0200] "GET /forum/captcha.php?action=regimage&imagehash=9661c0f7610c7d6cf78da4c869c8319c HTTP/1.0" 200 21065 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:24 +0200] "POST /forum/member.php HTTP/1.0" 200 19535 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:24 +0200] "GET /forum/captcha.php?action=regimage&imagehash=89b923c02a991bfa40b7943c7ab18f90 HTTP/1.0" 200 15825 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:25 +0200] "POST /forum/member.php HTTP/1.0" 200 19536 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:25 +0200] "GET /forum/captcha.php?action=regimage&imagehash=bdff06ce67e4e30ca7c4c222c127695a HTTP/1.0" 200 17162 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:25 +0200] "POST /forum/member.php HTTP/1.0" 200 19534 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:25 +0200] "GET /forum/captcha.php?action=regimage&imagehash=383965bd8711789a885be01dfba081f6 HTTP/1.0" 200 16584 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "POST /forum/member.php HTTP/1.0" 200 8413 "http://www.xxx.de/forum/member.php?action=register" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "GET /forum/member.php?action=login HTTP/1.0" 200 8721 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "POST /forum/member.php HTTP/1.0" 200 2462 "http://www.xxx.de/forum/member.php?action=login" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "GET /forum/index.php HTTP/1.0" 200 21702 "http://www.xxx.de/index.php" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "GET /forum/usercp.php HTTP/1.0" 200 12731 "http://www.xxx.de/forum/usercp.php" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "GET /forum/usercp.php?action=profile HTTP/1.0" 200 19413 "http://www.xxx.de/usercp.php?action=profile" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:26 +0200] "POST /forum/usercp.php HTTP/1.0" 200 2568 "http://www.xxx.de/forum/usercp.php?action=profile" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:27 +0200] "GET /forum/usercp.php HTTP/1.0" 200 12731 "http://www.xxx.de/usercp.php" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
176.8.88.127 - - [20/Sep/2013:17:16:27 +0200] "GET /forum/member.php?action=profile&uid=2274 HTTP/1.0" 200 11410 "http://www.xxx.de/forum/member.php?action=profile&uid=2274" "Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
Sehr schön zu sehen, dass das MyBB- Forum zwar schön ausschaut und einfach zu administrieren ist, aber in Sachen Spamschutz ist es genau so offen wie ein Scheunentor!
Vielleicht sollten die Entwickler sich mal dieses Problems widmen und die Captcha-Funktion überarbeiten?
Der Ansatz mit den versteckten css-Feldern, deren Ausfüllung dann das Script komplett abbricht, ist da schon mal ein guter Ansatz, nur leider braucht man dazu dann mehr als ein Feld, dass die Spambots ausfüllen, und das sollte dann nicht gerade mit "hier nichts eintragen" bezeichnet werden, die Spambots können mittlerweile lesen!...
Die Logfiles bei mir zeigten jedenfalls, dass es den Spambots gelang, MyBB zu kompromittieren. Das ist nicht schön, und nicht jeder MyBB-Anwender hat einen eigenen Server und kommt an die Mail- und http-Logfiles heran, um dann festzustellen, dass die im Forum eingebaute Captcha-Erzeugung mittels Hashwert von den Spambotbetreibern "geknackt" wurde, und der Forenseitige Spamschutz somit wirkungslos ist.
Viel Spass beim suchen und korrigieren des Spamschutzkonzeptes.
Christian
RE: Spam über die Registrierungsfunktion? - MrBrechreiz - 21.09.2013
Danke für deine Meldung, sehr interessant. Was für ein Forum betreibst Du, das sich die Bots so sehr für dich interessieren ?
RE: Spam über die Registrierungsfunktion? - chrissio - 21.09.2013
(21.09.2013, 08:59)MrBrechreiz schrieb: Was für ein Forum betreibst Du, das sich die Bots so sehr für dich interessieren ?
Ich habe zwei Foren, die sich eigentlich sehr begrenzt mit sehr spezialisierten Themen befassen:
In einem Forum geht es um einen absoluten HONK, der für den Bundestag kandidiert und gerne morgen gewählt werden möchte (Gottseidank wird er an den 5%-Hürden scheitern und kein Abgeordneter werden ;-) )
Im anderen Forum geht es um eine in Insolvenz gegangene Spezialfirma die ~50 Mitarbeiter hatte - es ist ein Mitarbeiterforum, dessen Beiträge nur die Leute verstehen und nachvollziehen können, die dort gearbeitet hatten.
Beide Foren sind recht kleine Foren mit wenigen Einträgen, aber unter den entsprechenden Fachbegriffen gut in google gelistet ist - daher wundert mich dieses Interesse der Spambots ungemein. Die Größe der Foren ermöglicht aber auch gut, die Spambots und deren Vorgehen nachzuvollziehen - da sich die Postings der echten User sehr leicht identifizieren lassen.
Hätte ich nun 10.000 echte User im Forum, wäre es unmöglich, Spambots über Logfiles so einfach zu identifizieren.
Man muss bedenken, dass aus ca. 15 MB normalem Traffic durch die Spambots ein Traffic von ca. 40 GB! verursacht wurde - zusätzlich zur HTTP- und Mail-Serverlast, und das ist dann schon heftig. Zum Glück habe ich praktisch unbegrenzte Traffickontignente zur Verfügung und muss dafür nicht zusätzlich bezahlen.
Aber der Spam nervt tierisch, und man sollte da endlich eine Lösung finden, die funktioniert, denn es sind ja nicht nur Foren, sondern auch Gästebücher und andere Projekte betroffen, die eine Registrierungsfunktion oder z.B. ein Blog anbieten...
RE: Spam über die Registrierungsfunktion? - StefanT - 21.09.2013
(21.09.2013, 07:13)chrissio schrieb: ich glaube, dass die Forensoftware ein kleines Spam-Problem hat, welches für das derartige Mailaufkommen verantwortlich ist. Nicht das MyBB hat ein Spam-Problem, sondern das gesamte Internet. Das betrifft jegliche weiter verbreitete Software und die Spam-Bots sind mittlerweile leider sehr ausgereift und lassen sich nur noch schwer austricksen.
(21.09.2013, 07:13)chrissio schrieb: Ich habe 2 Installationen von MyBB welche auf aktuellem Softwarestand sind, bei beiden ist folgendes Problem zu beobachten:
Spambots haben das Forum für sich entdeckt - sie registrieren sich, und schreiben dann einen bis 3 Spam-Beiträge. In meinen beiden Installationen kamen so im Zeitraum eines Monats, also vom ca. 15.08.2013 bis zum 19.09.2013 bei Forum I 68.000 Spambeiträge zusammen, bei Forum II sogar 73.600 Spambeiträge.
Auch konnte ich beobachten, dass die Spambots offenbar ihre Beiträge kontrollieren und, falls sie plötzlich gelöscht sind, versuchen, diese zu erneuern.
Das Löschen derselben über die Forensoftware ist absolut aufwändig, man klickt sich die Finger wund und die Maustaste kaputt... Abhilfe schaffen hier diverse Plugins. Mehrere haben wir im Blog vorgestellt und dazu gibt es hier im Forum schon einige Themen mit sinnvollen Tipps.
(21.09.2013, 07:13)chrissio schrieb: Was ist nun der Grund dafür, dass es den ca. 90! meine installationen besuchenden verschiedenen Spambots gelingt, sich mit immer wieder verschiedenen Mailadressen zu registrieren? Ich vermute, dass du weder die Spammer sperrst (z.B. über IPs) oder Spam-Datenbanken wie StopForumSpam oder Aksimet verwendest. Denn natürlich kommen die Spammer wieder, wenn man sie nicht stoppt.
(21.09.2013, 07:13)chrissio schrieb: Grund sind die Registrierungsscripte des MyBB, genauer die schlampige Captcha-Funktion. Diese erzeugt nämlich bei der Registrierung einen Hash für das Captcha-Bild. Siehe auch im Quelltext der Foren-Html-Ausgabe:
[...]
Diese Hashs sind nur begrenzt verfügbar, die Spambots haben diese in Datenbanken nebst einer gültigen Auflösung!
Sie "überfahren" einfach die eingesetzten Scripte, können den Hash lesen, suchen danach in ihrer Datenbank, finden den dazu passenden Code aus dem Captcha-Bild und können sich so registrieren und posten. Schade, dass du dir nicht einmal den Code angeschaut hast, bevor du behauptest, dass die Funktion fehlerhaft sie.
Klar sind Hashs nur begrenzt verfügbar, aber da ein Captcha sowieso nur aus 5 Buchstaben und Zahlen besteht, spielt das absolut kein Rolle (16^32 ist viel größer als 35^5). Nur sind die Hashs völlig zufällig und nicht von der Lösung abhängig. Zudem wird das Captcha nach der Registrierung aus der Datenbank gelöscht, der Hash ist dann nutzlos (weil kein Ergebnis mehr verknüpft ist). Insofern ist es völlig sinnlos eine Hash-Datenbank aufzubauen und das machen die Spammer auch gar nicht (diese sind sowieso meist nicht untereinander vernetzt).
(21.09.2013, 07:13)chrissio schrieb: Dass die Spambots bereits eine Grafikerkennung haben und darüber die Captchas knacken halte ich für abwegig, da das zuviel Aufwand für die Spambots bedeutet. Doch, genau das machen sie und zwar mittlerweile sehr gut. Und zwar so ziemlich jede verbreitete Captcha-Lösung. Leider kann man die Captchas auch nicht mehr komplizierter machen, denn dann können sie Menschen auch kaum mehr lösen.
Datenbanken kommen auch zum Einsatz, aber zum Lösen von Sicherheitsfragen.
Hier man ein Auszug aus der Produktbeschreibung eines verbreiteten (und nicht gerade billigen) Spam-Bots:
Zitat:- The program have built-in a proxy checker script. This ensures your anonymity and eliminates the posibilities to get banned by IP on forums. It's possible to use HTTP- same as SOCKS-proxy.
- The program is trained to a huge number of known engines: phpBB and PHP-Nuke any mods, yaBB, VBulletin, Invision Power Board, IconBoard, UltimateBB, exBB, phorum.org, wiki, livejournal.com, AkoBook, same as various kinds of bulletin boards, as well as custom engines.
- The program uses unique technology — to bypass and avoid any types of captcha and can even defeat most website protection mechanisms that attempt to stop robots or automation software! Software bypasses easily such protections like:
- Gratical or textual capctha like "Enter the number you see".
- Protection by activation of link by e-mail.
- Protection with some Java-Script used.
- also recognize and bypass protection with arithmetic and logical questions
- Also is buil-in "Question-answer" system
Die E-Mail-Adressen werden im übrigen auch völlig automatisch angelegt. Vermutlich ebenso durch Lösen von Captchas.
RE: Spam über die Registrierungsfunktion? - chrissio - 21.09.2013
(21.09.2013, 10:07)StefanT schrieb: Nicht das MyBB hat ein Spam-Problem, sondern das gesamte Internet. Das betrifft jegliche weiter verbreitete Software und die Spam-Bots sind mittlerweile leider sehr ausgereift und lassen sich nur noch schwer austricksen. Hiermit gehe ich konform.
(21.09.2013, 10:07)StefanT schrieb: Abhilfe schaffen hier diverse Plugins. Mehrere haben wir im Blog vorgestellt und dazu gibt es hier im Forum schon einige Themen mit sinnvollen Tipps. Auch das stimmt, allerdings nicht Deine Vermutung:
(21.09.2013, 10:07)StefanT schrieb: Ich vermute, dass du weder die Spammer sperrst (z.B. über IPs) Doch, das schon, ich sagte ja, die Viecher(Spambots) wechseln nach der Sperrung die IPs.
(21.09.2013, 10:07)StefanT schrieb: oder Spam-Datenbanken wie StopForumSpam oder Aksimet verwendest. Auch Askimet war aktiviert, bringt genau nichts.
(21.09.2013, 10:07)StefanT schrieb: Schade, dass du dir nicht einmal den Code angeschaut hast, bevor du behauptest, dass die Funktion fehlerhaft sie.
Klar sind Hashs nur begrenzt verfügbar, aber da ein Captcha sowieso nur aus 5 Buchstaben und Zahlen besteht, spielt das absolut kein Rolle (16^32 ist viel größer als 35^5). Nur sind die Hashs völlig zufällig und nicht von der Lösung abhängig. Zudem wird das Captcha nach der Registrierung aus der Datenbank gelöscht, der Hash ist dann nutzlos (weil kein Ergebnis mehr verknüpft ist).
Woher glaubst Du, dass ich mir nicht den Code angesehen habe?
Bei jeder Registrierung erzeugt MyBB ein Captcha-Bild; dieses heisst dann
"...captcha.php?action=regimage&imagehash=14bff69792d2feab3520f7926e25be3b"
Der imagehash=14bff69792d2feab3520f7926e25be3b ist z.B. der Hash des Inhaltes des Captca-Bildes, in diesem Falle "yvtjj".
Der Spambot sucht nun in einer Datenbank nach dem Hash "14bff69792d2feab3520f7926e25be3b" und findet als Auflösung "yvtjj" - welches er als Captcha-Lösung übermittelt.
Schon ist Euer Captcha erledigt - und das sogar, wenn Ihr ein Captcha mit schwarzer Schrift auf schwarzem Grund erzeugt.
Denn Euer Captcha-Script liefert mit dem Bildnamen bereits den benötigten Hash im Klartext mit - einfach auslesbar für jeden der den Quellcode der html-Ausgabe ansehen kann - und das machen die Spambots.
Das ist genau dasselbe, als würde man die PIN seiner Kreditkarte nicht auf die Oberseite, sondern auf die Unterseite in roter Schrift schreiben...
Weshalb heisst das Captcha bei Euch eigentlich "...captcha.php?action=regimage&imagehash=14bff69792d2feab3520f7926e25be3b" ?
Würde es einfach "...captcha.php?action=regimage&imagehash=captchabildchen.gif" heissen, würdet Ihr wenigstens den Hash nicht im Klartext mitliefern... Das ist ein kleiner, aber für die Spammer sehr vorteilhafter Fehler im MyBB-Script, denke ich.
(21.09.2013, 10:07)StefanT schrieb: Doch, genau das machen sie und zwar mittlerweile sehr gut. Und zwar so ziemlich jede verbreitete Captcha-Lösung. Leider kann man die Captchas auch nicht mehr komplizierter machen, denn dann können sie Menschen auch kaum mehr lösen.
Datenbanken kommen auch zum Einsatz, aber zum Lösen von Sicherheitsfragen.
Eine gute Bidverarbeitungslösung, die zum Erkennen der Zeichenketten im Capcha-Bild notwendig ist, benötigt Rechenzeit. Sie wird verwendet, um die erste Lösung der Hashwerte zu ermitteln. Anschließend wird die Lösung nebst zugehörigem Hash in die Datenbank geschrieben - und nur noch gegen die Datenbank abgeglichen, was Rechenzeit einspart. Fehlt ein passender Hash in der Datenbank, kommt wieder die Bildverarbeitung zum Zuge.
Glaubst Du nicht? Ist aber so. Ich arbeitete in einem Unternehmen, welches sich mit genau dem Thema Bildverarbeitung befasst hat; einer der Mitarbeiter ist Dr. Dipl. Inf., der zum Thema Schrifterkennung aus Bildern promovierte, ein anderer ist nur Dipl. Inf. und befasst sich ebenfalls mit Bilderkennung und Verarbeitung der erkannten Zeichen in Datenbanken...
Es wäre schön, wenn das alles so wäre wie Du schreibst - ist es aber leider nicht.
(21.09.2013, 10:07)StefanT schrieb: Hier man ein Auszug aus der Produktbeschreibung eines verbreiteten (und nicht gerade billigen) Spam-Bots:
Zitat:- The program have built-in a proxy checker script. This ensures your anonymity and eliminates the posibilities to get banned by IP on forums. It's possible to use HTTP- same as SOCKS-proxy.
- The program is trained to a huge number of known engines: phpBB and PHP-Nuke any mods, yaBB, VBulletin, Invision Power Board, IconBoard, UltimateBB, exBB, phorum.org, wiki, livejournal.com, AkoBook, same as various kinds of bulletin boards, as well as custom engines.
- The program uses unique technology — to bypass and avoid any types of captcha and can even defeat most website protection mechanisms that attempt to stop robots or automation software! Software bypasses easily such protections like:
- Gratical or textual capctha like "Enter the number you see".
- Protection by activation of link by e-mail.
- Protection with some Java-Script used.
- also recognize and bypass protection with arithmetic and logical questions
- Also is buil-in "Question-answer" system
Jo, das ist die Beschreibung von XRumer...
Und Du glaubst doch wohl nicht ernsthaft, dass in der Produktbeschreibung wirklich alle internen Vorgehensweisen des Spambot-Scriptes veröffentlicht sind?
Wenn Ja, glaubst Du sicher auch, das MS Windows ein völlig sicheres, unknackbares und vor allem vor Geheimdiensten geschütztes Betriebssystem ist, dem Computerviren nichts anhaben können?
(21.09.2013, 10:07)StefanT schrieb: Die E-Mail-Adressen werden im übrigen auch völlig automatisch angelegt. Vermutlich ebenso durch Lösen von Captchas. Ob und wie die Mailadressen der Spambots angelegt werden, ist leider irrelevant, da ich nicht glaube, dass ein Spambot ein Mailkonto besitzt und dieses dann auch abfragt.
Eher glaube ich, dass der vom MyBB zugesandte Freischaltungshash irgendwie mit dem Captcha-Hash verknüpft ist - und da das Problem der Freischaltung der Spambotregistrierung als Forenuser liegt.
Ich kann mich da allerdigs auch irren - und die Spammer kennen eine Möglichkeit, die Freischaltung des gerade angelegten Spam-Accounts "so" zu erreichen.
Darauf deuten jedenfalls die Logfiles hin - Registrierung eines kompletten Accounts, Freischaltung desselben, Login und Ausfüllen des Benutzerprofils mit Spamlinks innerhalb von 1-2 Sekunden ist einfach zu schnell, um daran zu glauben, zumal wenn durch Benutzung der Funktion "Benutzer müssen durch Admin freigeschaltet werden" gar keine Mail mit einem Bestätigungslink/Hash verschickt wird.
Sicher, ich wäre sehr froh, wenn Deine Angaben/Vermutungen zutreffen würden, denn dann hätte man weniger Stellen, an denen man etwas verändern müsste, um diesem Spamaufkommen Herr zu werden.
Leider sind die Spammer jedoch nicht dumm, und den meisten OpenSource- oder frei herunterladbaren Scripten wie MyBB oder auch PhpBB weit voraus.
In diesem Sinne - versteht meine Kritik nicht als Angriff auf irgendwen - das ist nicht damit gemeint, sondern eher als konstruktiven Beitrag und Anregung zur Lösung des Problems Forenspam.
Edit: Tippfehler und unklare Formulierungen beseitigt.
RE: Spam über die Registrierungsfunktion? - StefanT - 21.09.2013
(21.09.2013, 11:18)chrissio schrieb: Woher glaubst Du, dass ich mir nicht den Code angesehen habe?
Bei jeder Registrierung erzeugt MyBB ein Captcha-Bild; dieses heisst dann
"...captcha.php?action=regimage&imagehash=14bff69792d2feab3520f7926e25be3b"
Der imagehash=14bff69792d2feab3520f7926e25be3b ist z.B. der Hash des Inhaltes des Captca-Bildes, in diesem Falle "yvtjj".
Der Spambot sucht nun in einer Datenbank nach dem Hash "14bff69792d2feab3520f7926e25be3b" und findet als Auflösung "yvtjj" - welches er als Captcha-Lösung übermittelt.
Schon ist Euer Captcha erledigt - und das sogar, wenn Ihr ein Captcha mit schwarzer Schrift auf schwarzem Grund erzeugt. Warum ich glaube, dass du dir nicht den Code angeschaut hast? Na, weil deine Aussage falsch ist. Der Hash hängt nicht von der Lösung des Captchas ab. Beide Werte werden unabhängig voneinander generiert und in der Datenbank gespeichert. Und eben nach dem Lösen wieder gelöscht.
(21.09.2013, 11:18)chrissio schrieb: Eine gute Bidverarbeitungslösung, die zum Erkennen der Zeichenketten im Capcha-Bild notwendig ist, benötigt Rechenzeit. Sie wird verwendet, um die erste Lösung der Hashwerte zu ermitteln. Anschließend wird die Lösung nebst zugehörigem Hash in die Datenbank geschrieben - und nur noch gegen die Datenbank abgeglichen, was Rechenzeit einspart. Fehlt ein passender Hash in der Datenbank, kommt wieder die Bildverarbeitung zum Zuge.
Glaubst Du nicht? Ist aber so. Ich arbeitete in einem Unternehmen, welches sich mit genau dem Thema Bildverarbeitung befasst hat; einer der Mitarbeiter ist Dr. Dipl. Inf., der zum Thema Schrifterkennung aus Bildern promovierte, ein anderer ist nur Dipl. Inf. und befasst sich ebenfalls mit Bilderkennung und Verarbeitung der erkannten Zeichen in Datenbanken...
Es wäre schön, wenn das alles so wäre wie Du schreibst - ist es aber leider nicht. Klar "dauert" Bilderkennung. Allerdings sind Captchas klein und nach gewissen Regeln computergeneriert, was die Erkennung extrem beschleunigt. Man konnte in den letzten Jahren gut zuschauen, wie die Erkennung sich ständig verbessert hat.
(21.09.2013, 11:18)chrissio schrieb: Und Du glaubst doch wohl nicht ernsthaft, dass in der Produktbeschreibung wirklich alle internen Vorgehensweisen des Spambot-Scriptes veröffentlicht sind? Was ist denn davon intern? Es sagt aus, was der Bot können soll. Und dass er damit Erfolg hat, sieht man ja...
Oder glaubst du, dass jedes Captcha-System einen Fehler hat? Selbst reCaptcha von Google wird schließlich gelöst und die sollten wissen, wie man programmiert...
Zudem kann man ja zuschauen, wie die Captchas runtergeladen werden.
(21.09.2013, 11:18)chrissio schrieb: Ob und wie die Mailadressen der Spambots angelegt werden, ist leider irrelevant, da ich nicht glaube, dass ein Spambot ein Mailkonto besitzt und dieses dann auch abfragt.
Eher glaube ich, dass der vom MyBB zugesandte Freischaltungshash irgendwie mit dem Captcha-Hash verknüpft ist - und da das Problem der Freischaltung der Spambotregistrierung als Forenuser liegt. Auch hier liegst du falsch, die Aktivierungsmails werden wirklich verarbeitet. Ich hatte mal das Glück ein solches Postfach anschauen zu können (Wegwerf-E-Mail-Adresse). Da konnte man zuschauen, wie die Mails eintrudelten und wenige Sekunden später die Accounts aktiviert waren.
(21.09.2013, 11:18)chrissio schrieb: Darauf deuten jedenfalls die Logfiles hin - Registrierung eines kompletten Accounts, Freischaltung desselben, Login und Ausfüllen des Benutzerprofils mit Spamlinks innerhalb von 1-2 Sekunden ist einfach zu schnell, um daran zu glauben, zumal wenn durch Benutzung der Funktion "Benutzer müssen durch Admin freigeschaltet werden" gar keine Mail mit einem Bestätigungslink/Hash verschickt wird. Da kommt die "Dummheit" der Bots in Spiel. Sie probieren es einfach, ohne zu wissen, ob sie wirklich eingeloggt sind. Du willst gar nicht wissen, wie viele Gäste hier versuchen Spam abzuladen (was gar nicht geht). Ebenso haben wir viele Zugriffe auf register.php oder wp-login.php, obwohl es diese Dateien beim MyBB gar nicht gibt. Probiert wird es trotzdem...
|