[3.1.10] Erhalten Spam Beiträge ohne Anmeldung - wie möglich
Verfasst: 21.10.2016 09:06
Hallo,
wir haben seit wenigen Wochen ein Forum im Einsatz (3.1.9 -> gestern Update auf 3.1.10, brachte keine Besserung).
Mit der Foren Suche habe ich nur Einträge gefunden, das man Anmeldung aktivieren sollte, mit Captcha usw, aber das Problem ist ja dass die Spamer dies nicht brauchen!???
Zum Posten muss man 1. Registriert sein, 2. Muss der erste Beitrag freigeschaltet werden.
ABER wir erhalten dutzende Beiträge von Namen wie Kristabelle, Sandy, Woods, Velvet, Marnie... . Die meisten Beiträge erhalten Links, der Titel der Links zB "geldautomat kreditkarte ausland".
Die Titel der Beiträge sind oft kryptisch wie "eMxZHgxadTTRcDBAjlp".
Die User die posten sind auch keine "Mitglieder", man kann nicht wie sonst auf den Namen klicken um zum Profil zu kommen.
Was kann ich machen?
Ein Update hat nichts gebracht
// Edit:
Aufgefallen ist, dass es direkt in der Datenbank den User "Anonymous" gab, der im Admin Bereich nicht angezeigt wurde.
Eigenartig, dass pro Beitrag dann ein anderer Name angezeigt wurde... . Kann es sein, dass es in 3.1.9 eine Sicherheitslücke vorhanden war, die nun behoben ist und ich hätte nur vorher den User löschen müssen, weil darüber konnten weiter Einträge (mit unterschiedlichem Namen und ohne User Profil klick) gepostet werden?
wir haben seit wenigen Wochen ein Forum im Einsatz (3.1.9 -> gestern Update auf 3.1.10, brachte keine Besserung).
Mit der Foren Suche habe ich nur Einträge gefunden, das man Anmeldung aktivieren sollte, mit Captcha usw, aber das Problem ist ja dass die Spamer dies nicht brauchen!???
Zum Posten muss man 1. Registriert sein, 2. Muss der erste Beitrag freigeschaltet werden.
ABER wir erhalten dutzende Beiträge von Namen wie Kristabelle, Sandy, Woods, Velvet, Marnie... . Die meisten Beiträge erhalten Links, der Titel der Links zB "geldautomat kreditkarte ausland".
Die Titel der Beiträge sind oft kryptisch wie "eMxZHgxadTTRcDBAjlp".
Die User die posten sind auch keine "Mitglieder", man kann nicht wie sonst auf den Namen klicken um zum Profil zu kommen.
Was kann ich machen?
Ein Update hat nichts gebracht
// Edit:
Aufgefallen ist, dass es direkt in der Datenbank den User "Anonymous" gab, der im Admin Bereich nicht angezeigt wurde.
Eigenartig, dass pro Beitrag dann ein anderer Name angezeigt wurde... . Kann es sein, dass es in 3.1.9 eine Sicherheitslücke vorhanden war, die nun behoben ist und ich hätte nur vorher den User löschen müssen, weil darüber konnten weiter Einträge (mit unterschiedlichem Namen und ohne User Profil klick) gepostet werden?
Ich werde dann noch mal global auf nur lesen stellen (wobei dies eigentlich auch schon so war, ich konnte in keinem Forum als Gast posten), mal schaun.