Bot Anmeldungen trotz diverser Mods

[DB-Jester]

In meinem Board habe ich seit mehreren Wochen große Probleme mit Bots. Eventuell hat hier ja noch jemand eine Idee.

Nach intensiver Nachforschung sind inzwischen folgende Sicherheitsmechanismen aktiv:
- Anti-Bot-Frage mit eigener, deutschen Frage
- Blockierung von Zeitzone -12
- Custom Profile Field basierend auf Zahlen
- verschiedenste Captcha-Einstellungen, teils extrem schwer zu erkennen

Leider hilft das alles nichts und ich bekommen stellenweise bis zu 10 Bot-Anmeldungen pro Tag rein. Das seltsame bei der Sache ist, dass im Profil der Bots die falsche Antwort auf das Custom Profile Field und die Zeitzone -12 zu finden sind. Eine manuelle Registrierung mit falschen Werten in den Feldern ist nicht möglich. Somit sieht alles so aus als ob die Bots das Registrierungsformular komplett umgehen. Ist dies denn möglich?

Ich dachte auch an eine mögliche SQL Injection. Allerdings konnte ich keine verdächtigen Felder finden, viele gibt es bei Gast-Nutzern sowieso nicht. Das Forum hat auch keine eigenen Eingabefelder bis auf die oben beschriebenen. Als Gast kann man auch keinen Post erstellen, sondern nur lesen. Die Mitgliederliste ist auch nicht sichtbar. Selbst als alle Foren komplett vor den Gästen versteckt waren hatte ich Anmeldungen von Bots.

Die meisten Bots scheinen sich mit der Mail-Domain gmail.com anzumelden. Die möchte ich aber ungern blocken da auch normale Nutzer dort angemeldet sein könnten.

Von meiner Seite ist das Problem auch, dass ich von PHP recht wenig Ahnung habe, aber dafür vom Coden ansich. Von daher ist es für mich sehr schwer entsprechende Sicherheitslücken zu finden.

[DeepSurfer]

Wenn Du jetzt Gmail auf die Sperrliste setzt hat das keine Auswirkungen auf die vorhandenen Registrierten User, nur bei einer neu Anmeldung wird die Sperrung der mail als Meldung ausgegeben.
Müsstest aber zusätzlich auch @googlemail.com sperren, ist eine Alias Kennung von Googlemail.

[DB-Jester]

So könnten sich aber keine richtigen User mehr neu anmelden, also auch nicht ideal. Was ich mich nur frage ist, warum die Email-Sperre scheinbar funktioniert aber die Erweiterung des Registrierungs-Formulars nicht greifen. Ist das eine ganz andere Stelle im Registrierungsprozess? Könnte man da evtl mehr Sperren rein bauen?

[redbull254]

Hallo erstmal,

ich habe das simple CAPTCHA „GD-Grafik“ , 3 Pflichtfelder und die Prime Birthdate Require Mod installiert und noch nie eine einzige Spam-Bot-Anmeldung gehabt.

Das mein Forum von den bösen Programmen nicht gefunden wird bezweifle ich.

Durch den Einbau der Mod muss man sein Alter einstellen um überhaupt bei der Registrierung weiter zu kommen.

Andere Maßnahmen habe ich nicht unternommen. Scheinbar reicht es auch so.

[Charlie_M]

Ich kann redbulls Aussage nur unterstreichen: wir haben ebenfalls prime birthday installiert und ebenfalls nicht eine einzige Bot-Anmeldung - auch wenn schlagartig unzählige Versuche nachvollziehbar sind.

Gruß

[DB-Jester]

Danke für die Antworten. Da bei dem Mod scheinbar deutlich mehr als die Registrierung angepasst werden, schaue ich mir das mal an. Ein Test wird zeigen, ob die Bots auch daran vorbei kommen.

Was ich allerdings nicht verstehen ist, wie die Bots die Registrierungsseite aushebeln können. Jemand eine Ahnung was das Board an Angriffsmöglichkeiten bietet? SQL Injection habe ich ja schon vermutet, aber daran glaube ich nicht. Denkbar wäre vlt noch ein Angriff über die URL bei der eigene Skripte ausgeführt oder Skripte vom Board übersprungen werden. Hat jemand schonmal von etwas dergleichen gehört?

[redbull254]

Habe ich das jetzt überlesen und hast Du noch nicht erwähnt, welche phpBB-Version Du benutzt?

Wenn ich Deine Frage richtig interpretiere suchst Du nach einer Sicherheitslücke die es m.E. nach in phpBB 3.0.8 nicht gibt.

Ein mögliches Szenario wäre aber auch eine fehlerhaft programmierte Mod als mögliches Einfalltor.

[DB-Jester]

Oh sorry, total vergessen. Das Board läuft auf phpBB 3.0.8. Ich werde aber nochmal prüfen ob alle Dateien der Standardinstallation entsprechen.

An MODs ist eigentlich nur AntiBotQuestion 1-2-0 drauf. Müsste ein problematischer MOD nicht auch in den Bereichen aktiv sein, welche Gäste einsehen können?