Chinesen im Forum!

[Hinnerk]

Moin!

Jetzt haben sie es tatsächlich geschafft, wenn auch z.Z. erst einer!
Jeden Tag habe ich zwischen 40 und 60 Loginversuche aus dem Raum China, Russland, USA (whois-Abfrage). Aufgrund der warsch. automatisch generierten Namen gehe ich davon aus, dass es sich um Spam-Bots handelt. Die konnte ich bisher aber stets abwehren, indem ich neben dem Captcha drei einfache Fragen über Benutzerdefinierte Profilfelder in das Registrierungsformular einbaute. Zudem habe ich daroPL_AntiSpam installiert. phpBB-Version ist 3.0.8.
Ja, und jetzt hat´s der erste geschafft sich zu registrieren und einen russischsprachigen Beitrag zu posten. Benutzernamen ist Thriotstwly, iP 59.58.67.122 (whois-Abfrage: China). Das merkwürdige dabei: Die Felder für die im Registrierungsformular zu beantwortenden Fragen sind falsch ausgefüllt, einfach mit einem Bustabenkauderwelsch. Eine weitere Besonderheit ist die Tatsache, dass dieser User nur im Adminbereich in der Benutzerverwaltung zu sehen ist. In der Mitgliederliste des Forums taucht der nicht auf. Ich werde den Account jetzt nach zuvor erfolgten Sperrung löschen und hoffe, dass das auch tatsächlich so ist, und da nicht irgendeine Zeitbombe tickt. Irgendwie ist das unheimlich...

Aber eines ist auch mir jetzt klar geworden: Nichts ist im Netz 100%-ig sicher. Auch phpBB nicht.

[Crizzo]

Dann hat der Bot es nur geschafft den Account anzumelden, aber nicht ihn zu aktivieren. Den solltest du ganz einfach wieder löschen können. Wieso der jetzt durchgekommen ist, verstehe ich allerdings auch nicht.

[DeepSurfer]

hast du zugang zu den Serverlogfile ?, wenn ja, lade sie dir auf Platte und lass die Logs nach dieser IP suchen.
Das ergebnis daraus kann man eventuell schauen was dieser gemacht hat.

[modernist]

Dann hat der Bot es nur geschafft den Account anzumelden, aber nicht ihn zu aktivieren.

Wie paßt das zu

Ja, und jetzt hat´s der erste geschafft sich zu registrieren und einen russischsprachigen Beitrag zu posten.

Wenn der Beitrag schon im Forum auftauchte, dann wurde der Account auch aktiviert.

[Crizzo]

Wenn der Beitrag schon im Forum auftauchte, dann wurde der Account auch aktiviert.

Gut Frage, aber dann dürfte er nicht nur im ACP sondern auch in der Mitgliederliste auftauchen, oder?

[Hinnerk]

hast du zugang zu den Serverlogfile ?, wenn ja, lade sie dir auf Platte und lass die Logs nach dieser IP suchen.
Das ergebnis daraus kann man eventuell schauen was dieser gemacht hat.

Hmm... ich habe da im Root ein Verzeichnis "logs". Da wird jeden Tag eine Datei "access_log_Datum.gz" geschrieben. Die ist immer nur 42 bytes klein. Da geht nichts draus hervor. Dann gibts in dem Verzeichnis noch eine "used_space.txt", die scheinbar jeden Tag ergänzt wird und jeweils die ältesten Einträge wieder rausfliegen. Aus der werde ich aber nicht schlau. Den Account des Chinesen oder Russen habe ich jetzt im Adminbereich gelöscht.

[seb81]

Das der Bot den Account nicht aktiviert hat, passt wirklich nicht zu der Tatsache das er anschließend geschrieben hat.
Finde das auch sehr seltsam alles. Werd den Thread hier sicher im Auge behalten. Bis jetzt hab ich Glück gehabt, obwohl ich heute auch was seltsames gesehen hab. Laut IP wars auch ein Bot aus RU. Der stand plötzlich in der Who is online" bei registriert sich ... Dann stand da "befindet sich im persönlichen Bereich. Aber weder im ACP noch in der Userlist taucht ein neuer User auf. Allerdings macht mir das weniger Sorgen jetzt. Das was dem Thread Starter da passiert ist, macht mir hingegen auch etwas Angst .

[Hinnerk]

Ich habe mal ein wenig gegoogelt. Und was finde ich bei den beiden Suchbegriffen Φτηνές und Thriotstwly? Einträge in allen möglichen Foren. Die Beiträge sind fast immer gleichlautend und dürften von einem Übersetzungsprogramm eingedeutscht worden sein: "Bestätigung bezüglich meiner Entscheidung bekommen was die nächste Saison angeht. " Es folgen dann ein paar Links zu Schuhshops im Ausland. Also ganz klar ein Spambot. Und immer ist Thriotstwly der angemeldete User und Φτηνές der Betreff. Ist griechisch und heißt auf Deutsch sinnigerweise "Angebote". Wenn auch die Google-Fundstellen auch nicht mehr alle zu finden sind, weil die meisten Forenadmins die Einträge wieder gelöscht haben ist an den Google-Einträgen aber erkennbar, dass dieser Spambot ganze Arbeit geleistet hat.

[DeepSurfer]

Hmm... ich habe da im Root ein Verzeichnis "logs". Da wird jeden Tag eine Datei "access_log_Datum.gz" geschrieben. Die ist immer nur 42 bytes klein. Da geht nichts draus hervor. Dann gibts in dem Verzeichnis noch eine "used_space.txt", die scheinbar jeden Tag ergänzt wird und jeweils die ältesten Einträge wieder rausfliegen. Aus der werde ich aber nicht schlau. Den Account des Chinesen oder Russen habe ich jetzt im Adminbereich gelöscht.

Schade, denn aus der access.log kann man nach verfolgen was alles die IP aufgerufen hat und daraus kann man ein Bewegungsprofil erstellen, darin ist auch zu lesen was die IP aufruft was eventuell ins leere gegangen wäre.

[Hinnerk]

Ich kann den Inhalt der access.log hier leider nicht einstellen. Er wird nicht angezeigt. Ins Pastebin kann ich die Datei wegen der Endung .gz nicht hochladen. Ich hab sie mal so abgetippt, wie sie mit Notepad angezeigt wird:

US x8B BS BS x9E xDA nM NUL ETX access_log2011-03-02 NUL ETX NUL NUL NUL NUL NUL NUL NUL NUL NUL

Das ist die Datei vom 02.03,, dem Tag, wo sich der Spammer registrierte. Aber daraus läßt sich doch nichts erkennen, oder?