Seit vorgestern machen in meine Augen neue SpamBots mein Forum unsicher.
Es gab einige Anmeldungen im Forum, welche alle im Jahr 1976 geboren sind (ich habe GebTag als Pflichtfeld) und weiblich als Geschlecht gewählt haben:
Anpo
Penelopy
Amdoer
Whatver
Jens
Dessh54
Abceedlebeee
Abanerjo
Dicktenster43
Erenceter
Abha8
[usw.]
Nun es gibt grundsätzlich keinen Grund einen zu löschen. Die Namen wären für mein Fantasy Forum nicht so mysteriös und sie haben im Profil keine Website eingetragen (sonst würde sie ein selbst-geschriebenes Skript löschen). Immerhin will ich nicht alle 31 jährigen im Forum verbieten.
Doch 2 dieser 76er (hier nicht erwähnt, da schon gelöscht) haben auf einmal angefangen das Forum zuzuspamen mit Beiträgen (30-40) mit ner Website als Inhalt.
Ich hatte zum Zeitpunkt des Angriffs 0.21 und seit gestern 0.22. Ich weiß zwar jetzt nicht ob das Problem damit gelöst ist und dieser Post ist auch nicht nur fragend sondern auch Warnend!
P.S.: Bild-Validierung und E-Mail Registrierung ist aktiviert
Neuer Spam-Bot?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Hi ...
mit der standardmäßigen "Bild-Validierung" schreckst du keinen Bot mehr ab ... das entlockt denen nichtmal ein müdes Lächeln
Der MOD hier dürfte Abhilfe schaffen
Anti Bot Question MOD
Markus
mit der standardmäßigen "Bild-Validierung" schreckst du keinen Bot mehr ab ... das entlockt denen nichtmal ein müdes Lächeln
Der MOD hier dürfte Abhilfe schaffen
Anti Bot Question MOD
Markus
.... Telefon-Support - Schnelle Hilfe bei Hackangriffen, Modeinbau, Templateanpassung, Grafikerst., uvm.
.... Es gibt keine Probleme .... Nur neue Chancen
.... Ihr wollt ein einmaliges Template? - Prof. Templateerstellung und phpBB-Anpassungen
.... Es gibt keine Probleme .... Nur neue Chancen
.... Ihr wollt ein einmaliges Template? - Prof. Templateerstellung und phpBB-Anpassungen
-
thomasrappers
Hi,
ich hoffe der Thread wird noch gelesen.
Also ich habe auch noch ein paar Fragen zum Thema "Bots und phpBB".
Markus67 meint, dass es kein Bot mehr durch die Bildvalidierung abgeshreckt werden kann. Mir ist geläufig, dass es einigen Bots gelingt gewisse Captcha zu entschlüßeln und sie so zum umgehen.
Wenn man allerdings thomasrappers Problem betrachtet, hat er ja nicht nur die Bildvaliderung, sondern auch die eMail-Aktivierung in seinem Forum gesetzt.
Jetzt ist es natürlich für nen Botprogrammierer lukrativ nen Bot zu prgrammieren der sich in offene Foren selber einträgt und dort Spam-Werbung hinterläßt.
Nur denke ich nicht, dass die Bots sich auf dem normalen humanen Weg(Captcha eintragen und Aktivierungs-Mail bestätigen) in die Foren eintragen. Sondern über eine, wie ich denke Sicherheitslücke.
Denn welcher Bot spamt sich mit eMail-Aktivierungen selber zu? Dass ist die Sache, die ich nicht verstehe.
Ich weiß net wie ihr darüber denkt.
Den hier besagten Mod werde ich mal ausprobieren und dabei mal gucken was er am System verändert.
Gruß,
Roy
p.s: ich meinte "darco" mit "thomasrappers", sorry.
ich hoffe der Thread wird noch gelesen.
Also ich habe auch noch ein paar Fragen zum Thema "Bots und phpBB".
Markus67 meint, dass es kein Bot mehr durch die Bildvalidierung abgeshreckt werden kann. Mir ist geläufig, dass es einigen Bots gelingt gewisse Captcha zu entschlüßeln und sie so zum umgehen.
Wenn man allerdings thomasrappers Problem betrachtet, hat er ja nicht nur die Bildvaliderung, sondern auch die eMail-Aktivierung in seinem Forum gesetzt.
Jetzt ist es natürlich für nen Botprogrammierer lukrativ nen Bot zu prgrammieren der sich in offene Foren selber einträgt und dort Spam-Werbung hinterläßt.
Nur denke ich nicht, dass die Bots sich auf dem normalen humanen Weg(Captcha eintragen und Aktivierungs-Mail bestätigen) in die Foren eintragen. Sondern über eine, wie ich denke Sicherheitslücke.
Denn welcher Bot spamt sich mit eMail-Aktivierungen selber zu? Dass ist die Sache, die ich nicht verstehe.
Ich weiß net wie ihr darüber denkt.
Den hier besagten Mod werde ich mal ausprobieren und dabei mal gucken was er am System verändert.
Gruß,
Roy
p.s: ich meinte "darco" mit "thomasrappers", sorry.
Bin grad dabei...
ich habe eh ständige neu-anmeldungen
http://www.thedragonworld.com/forum/memberlist.php
ich habe eh ständige neu-anmeldungen
http://www.thedragonworld.com/forum/memberlist.php
-
gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Wenn das über eine Sicherheitslücke laufen würde, dann könntest du dir sicher sein, dass durch diese Sicherheitslücke auch noch ganz andere Sachen mit deinem Server gemacht würden (vor allem wenn der in der Lage ist, Mails zu verschicken). Wo ist denn das Problem eine Email zu analysieren? Gerade phpbb Mails sind doch sogar standardisiert, so dass es nicht weiter schwierig ist, diese automatisch nach Links zu durchsuchen und diese dann zu verwenden.G.Roysch hat geschrieben:Hi,
ich hoffe der Thread wird noch gelesen.
Also ich habe auch noch ein paar Fragen zum Thema "Bots und phpBB".
Markus67 meint, dass es kein Bot mehr durch die Bildvalidierung abgeshreckt werden kann. Mir ist geläufig, dass es einigen Bots gelingt gewisse Captcha zu entschlüßeln und sie so zum umgehen.
Wenn man allerdings thomasrappers Problem betrachtet, hat er ja nicht nur die Bildvaliderung, sondern auch die eMail-Aktivierung in seinem Forum gesetzt.
Jetzt ist es natürlich für nen Botprogrammierer lukrativ nen Bot zu prgrammieren der sich in offene Foren selber einträgt und dort Spam-Werbung hinterläßt.
Nur denke ich nicht, dass die Bots sich auf dem normalen humanen Weg(Captcha eintragen und Aktivierungs-Mail bestätigen) in die Foren eintragen. Sondern über eine, wie ich denke Sicherheitslücke.
Denn welcher Bot spamt sich mit eMail-Aktivierungen selber zu? Dass ist die Sache, die ich nicht verstehe.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Also ich hab den Mod mal auf den Testserver installiert ... schaut ganz gut aus, morgen wenn ich fitter bin übernehm ich es auf den Produktivbetrieb.
Ich habe es auf nur individuelle Fragen beschränkt und habe (vor) einige (noch) einzubauen, wobei ich die voreingestellten alle gelöscht habe.
Die Zukunft wird zeigen ob es etwas gebracht hat.
Seit dem letzten Update gibt es immerhin keine Spamangriffe mehr von den Bots
ZUSATZ:
Habs nun doch schon installiert, mal schaun was es bringt ^^
Ich habe es auf nur individuelle Fragen beschränkt und habe (vor) einige (noch) einzubauen, wobei ich die voreingestellten alle gelöscht habe.
Die Zukunft wird zeigen ob es etwas gebracht hat.
Seit dem letzten Update gibt es immerhin keine Spamangriffe mehr von den Bots
ZUSATZ:
Habs nun doch schon installiert, mal schaun was es bringt ^^
@gn#36:
Ja, das ist mir och klar, eMails auswerten ist doch einfach.
Aber stell dir vor, dass jemand solch ein bot programmiert, der das Internet nach Foren(sagen wir mal nur phpBB-Foren) durchsucht und sich da anmeldet um Werbung zu posten.
Dann würde der Bot sicherloich sehr viele Foren finden und sich dort anmelden und von jeder Anmeldung wieder ne Mail zurück bekommen.
Aber welcher Bot spamt sich den selber zu? Das macht für mich keinen Sinn.
Gruß
Ja, das ist mir och klar, eMails auswerten ist doch einfach.
Aber stell dir vor, dass jemand solch ein bot programmiert, der das Internet nach Foren(sagen wir mal nur phpBB-Foren) durchsucht und sich da anmeldet um Werbung zu posten.
Dann würde der Bot sicherloich sehr viele Foren finden und sich dort anmelden und von jeder Anmeldung wieder ne Mail zurück bekommen.
Aber welcher Bot spamt sich den selber zu? Das macht für mich keinen Sinn.
Gruß
-
gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Naja ohne einen gewissen Aufwand gibt es auch keinen Erfolg. Außerdem kriegt das ja nur der PC/Server des Spammers mit, der Spammer selbst hat da doch nix mit am Hut...
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
