russische Anmeldungen von Spammern (General)

by uli ⌂ @, Bayern, Friday, September 22, 2017, 09:40 (28 days ago)

Seit drei Tagen bekomme ich (lt. Auskunft meines Mailer-daemons) im 10 Minutentakt Anmeldeversuche von russischen Spammern.

Über die Nachrichten des Daemons, dass Registrierungsbestätigungsmails nicht zugestellt werden konnten, hab ich das mitbekommen.

Obwohl ich seit Mittwoch Nacht die "automatische Registrierung" abgeschaltet hab und yandex.ru und mail.ru in die "Domainsperrliste" eingetragen hab, geht das leider nur etwas vermindert weiter.

Bei aktuellem Aufruf der Registrierungsseite ./index.php?mode=register erscheint der richtige Hinweis: "Neue Benutzer können nur vom Administrator registriert werden."

Versuch über den google_cache zeigt zwar die bekannte Registrierungsseite, aber Anmeldung ist damit (dankenswerterweise) nicht möglich.

Das verhindert vermutlich der alte csrf_token

<input type="hidden" name="csrf_token" value="5977be6bcb9967.14557627" />
<input type="hidden" name="PHPSESSID" value="b60bc2260718dd926e49385ad5dd6b8a" />

Was könnte ich noch tun?
Wie kann ich jetzt noch diese Spamanmeldungsversuche verhindern?

BESTE NACHRICHT :
In zwei Jahren seit Betrieb des Forums haben "nur drei" Spammer es bisher geschafft sich anzumleden.
Aus der aktuellen Runde hat es keineer geschafft.
Das freut mich !

Avatar

russische Anmeldungen von Spammern

by Milo ⌂, Saturday, September 23, 2017, 08:15 (27 days ago) @ uli

Hallo Uli,

Obwohl ich seit Mittwoch Nacht die "automatische Registrierung" abgeschaltet hab und yandex.ru und mail.ru in die "Domainsperrliste" eingetragen hab, geht das leider nur etwas vermindert weiter.

Beim Anmelden wird nach wie vor eine Mail an die hinterlegte Adresse gesendet. Wenn diese jedoch fiktiv ist, erhältst Du diese als unzustellbar zurück. Das wäre auch der normale Vorgang, wenn Du Dich bei der Adresse vertippen würdest.

Versuch über den google_cache zeigt zwar die bekannte Registrierungsseite, aber Anmeldung ist damit (dankenswerterweise) nicht möglich.

Das verhindert vermutlich der alte csrf_token[code]<input type="hidden" name="csrf_token" value="5977be6bcb9967.14557627" />

Das verhindert, dass man das Formular einfach nachbaut (der Cache bei google ist im Prinzip ja etwas ähnliches) und von außen aufruft. Die Option "automatische Registrierung" wird selbstverständlich hier den Großteil der Arbeit machen, denn diese wird natürlich explizit geprüft.

Was könnte ich noch tun?

Dich freuen, dass - technisch gesehen - das Forum diese Angriffe erfreulich robust händelt und Du kein SPAM im Forum hast. Dass Du diese unzustellbaren Mail bekommst, ist in diesem Kontext doch sicher das kleinere Übel und lässt sich mit einem Filter im Mailprogramm schnell lösen.

Wie kann ich jetzt noch diese Spamanmeldungsversuche verhindern?

Wie verhinderst Du Geisterfahrer auf Autobahnen? Autobahn meiden wäre wohl die 100 % sicher Variante, aber sind Landstraßen sicherer? Übertragen auf Dein Forum: Stell es offline oder schütze es zusätzlich durch eine HTTP-Authentifizierung. Bedenke aber, dass Deine Nutzer wohl die Leittragenden sein werden; den Bots wird es weniger tangieren.

Das freut mich !

Uns und Deine Nutzer sicher auch.

Schönes Wochenende
Micha

--
Surveyor-Software: Geodetic Network Adjustment & Deformation-Analysis and Transformation

offene Fragen: Anmeldungen von Spammern

by uli ⌂ @, bayern, im Sonnenschein, Saturday, September 23, 2017, 10:40 (26 days ago) @ Milo

Hallo Micha

Obwohl ich seit Mittwoch Nacht die "automatische Registrierung" abgeschaltet hab und yandex.ru und mail.ru in die "Domainsperrliste" eingetragen hab, geht das leider nur etwas vermindert weiter.


Beim Anmelden wird nach wie vor eine Mail an die hinterlegte Adresse gesendet. Wenn diese jedoch fiktiv ist, erhältst Du diese als unzustellbar zurück. Das wäre auch der normale Vorgang, wenn Du Dich bei der Adresse vertippen würdest.

Das ist klar und ist auch gut so.

Aber die Frage bleibt:
Warum geht das Ganze TROTZ abgeschalteter automatischer Registrierung?
Es ist kein Hinweis auf eine Registrierung zu sehen

Ich hab im Forum angepinnt auf die (derzeitige) Registrierung NUR durch Email an den admin hingewiesen. Eine andere Möglichkeit gibt es derzeit nicht.
Trotzdem kommen heute wieder in kurzen Abständen die Versuche.

Das verhindert, dass man das Formular einfach nachbaut (der Cache bei google ist im Prinzip ja etwas ähnliches) und von außen aufruft.

Irgendwie schaffen die das aber trotzdem (s.o.)

ausgeschaltet: Die Option "automatische Registrierung" wird selbstverständlich hier den Großteil der Arbeit machen, denn diese wird natürlich explizit geprüft.


lässt sich mit einem Filter im Mailprogramm schnell lösen.

Klar, den Filter gibts natürlich schon.

Stell es offline

No, das sicher nicht.

gutes Wochenende auch dir und Dank für die zügige Rückmeldung

uli

Avatar

offene Fragen: Anmeldungen von Spammern

by Milo ⌂, Saturday, September 23, 2017, 11:15 (26 days ago) @ uli

Hi,

Aber die Frage bleibt:
Warum geht das Ganze TROTZ abgeschalteter automatischer Registrierung?
Es ist kein Hinweis auf eine Registrierung zu sehen

Ich bin mir nicht sicher, was Du genau mit "das Ganze" meinst. Ich habe gerade in den Quelltext geschaut und dort wird bei Registrierungen (angeblich) die Liste der nicht-akzeptierten Wörter mit den Eingaben abgeglichen, vgl. Line 91ff. An dieser Hürde müsste es mMn. immer scheitern auch wenn das Formular von außen nachgebaut wurde.

Trotzdem kommen heute wieder in kurzen Abständen die Versuche.

Was steht in den Mails?

Viele Grüße
Micha

--
Surveyor-Software: Geodetic Network Adjustment & Deformation-Analysis and Transformation

offene Fragen: Anmeldungen von Spammern

by uli ⌂ @, bayern, im Sonnenschein, Saturday, September 23, 2017, 11:45 (26 days ago) @ Milo
edited by Auge, Monday, September 25, 2017, 06:31

Hi,

Aber die Frage bleibt:
Warum geht das Ganze TROTZ abgeschalteter automatischer Registrierung?
Es ist kein Hinweis auf eine Registrierung zu sehen


Ich bin mir nicht sicher, was Du genau mit "das Ganze" meinst.

Das "Ganze" sind im ca. 10 Minutentakt erfolgende Anmeldungsversuche, obwohl es gar keine öffentliche Anmeldungsmöglichkeit mehr gibt (abgeschaltet) !!!!!

Ich habe gerade in den Quelltext geschaut und dort wird bei Registrierungen (angeblich) die Liste der nicht-akzeptierten Wörter mit den Eingaben abgeglichen, vgl. Line 91ff. An dieser Hürde müsste es mMn. immer scheitern auch wenn das Formular von außen nachgebaut wurde.

Trotzdem kommen heute wieder in kurzen Abständen die Versuche.

Was steht in den Mails?


Es wurden die Nachrichten auch als 550 spam message rejected oder als 550 Message was not accepted -- invalid mailbox.  Local mailbox dusan.stojanovic@mail.ru is unavailable: user is terminated, auch als 552 5.2.2 Mailbox size limit exceeded

Mailinhalt: (Beispiel von grad eben)


Hi. This is the qmail-send program at countrou.ispgateway.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<andrei2222222222@rambler.ru>:
81.19.78.64 does not like recipient.
Remote host said: 540 5.7.1 <andrei2222222222@rambler.ru>: recipient address rejected: Blocked Giving up on 81.19.78.64.

--- Below this line is a copy of the message.

Return-Path: <[korrekt, entfernt]>
Received: (qmail 32172 invoked from network); 23 Sep 2017 11:09:39 -0000
Received: from unknown (HELO countrou.ispgateway.de) (127.0.0.1)
  by localhost with SMTP; 23 Sep 2017 11:09:39 -0000
Received: (from u283766@localhost)
 by countrou.ispgateway.de (8.14.9/8.13.6/Submit) id v8NB9TdE032107;
 Sat, 23 Sep 2017 13:09:29 +0200
To: andrei2222222222@rambler.ru
Subject: =?utf-8?Q?Kontoinformationen_f=C3=BCr_=F0=9F=8C=93_=D0=92=D0=B0=D1=88_?=  =?utf-8?Q?=D0=B7=D0=B0=D0=BA=D0=B0=D0=B7_(Order_ID:_35439651)_-_http://ti?=  =?utf-8?Q?ny.cc/zqovny=3F6iw=3D0_bei_MS-ufoS?=
X-DFOptimize: [editiert wg. Wortlängenbeschränkung, Leerzeichen entfernen:)]
BUFfRE5PRAUYEhkd HBx1EhgYGBkFXU9IWU9 DXk9EBUBFRUdGSxk FRkNIWEtYQ09ZBVx PRE5FWAVaQlpHS0N GT1gFWkJaR0 tDRk9YBUlGS1lZB FpCWkdLQ0ZPWARaQlo=
Date: Sat, 23 Sep 2017 13:09:29 +0200
From: MS UFOS <[korrekt, entfernt]>
Message-ID: <06455fa67819314e89e4083760856125@ms-ufos.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hallo 🌓 Ваш ЕакаЕ (Order ID: 35439651) - http://tiny.cc/zqovny?6iw=0,

Vielen Dank für die Registrierung bei MS-ufoS. Das Benutzerkonto wurde angelegt und muss zur Verwendung noch aktiviert werden.
Um dieses zu tun, genügt ein Klick auf den folgenden Link oder der Link kann auch aus dieser Nachricht kopiert und in den Webbrowser eingefügt werden:
[editiert by Milo URL entfernt]

Nach der Aktivierung ist eine Anmeldung bei http://ms-ufos.org/ mit dem folgenden Benutzernamen und Passwort möglich:

Benutzername: platexwansupp
Passwort: wuyXZv5WNj

Ich mache mir (als Benutzer) Gedanken, warum die Registrierung möglich ist, obwohl es nach aussen keine gibt.

PS: Nachrichtlich:
In Russland scheints grad langweilig zu sein.
Auch in meinem (gepflegten und aktuellen) Joomla hab ich grad mehr als 100 Anmeldungen rausgelöscht, die sich dort (schadfrei ! ) angesammelt hatten.

Gruß Uli

Avatar

offene Fragen: Anmeldungen von Spammern

by Milo ⌂, Saturday, September 23, 2017, 12:41 (26 days ago) @ uli

Hi,

Das "Ganze" sind im ca. 10 Minutentakt erfolgende Anmeldungsversuche, obwohl es gar keine öffentliche Anmeldungsmöglichkeit mehr gibt (abgeschaltet) !!!!!

Kein Grund mich anzubrüllen! Wenn die Option "automatische Registrierung" abgeschaltet ist, dann heißt dies nicht, dass man sich nicht anmelden darf. Ich gehen davon aus, dass Du die Funktion "selbst, aber neue Benutzerkonten müssen von einem Admin oder Moderator freigeschaltet werden" gewählt hast. Den Wortlaut "automatische Registrierung" finde ich zumindest bei mir nicht.

Benutzername: platexwansupp
Passwort: wuyXZv5WNj

Gibt es diesen Benutzer?

Viele Grüße
Micha

--
Surveyor-Software: Geodetic Network Adjustment & Deformation-Analysis and Transformation

offene Fragen: Anmeldungen von Spammern

by uli ⌂ @, bayern, Saturday, September 23, 2017, 12:57 (26 days ago) @ Milo

Hi,

Das "Ganze" sind im ca. 10 Minutentakt erfolgende Anmeldungsversuche, obwohl es gar keine öffentliche Anmeldungsmöglichkeit mehr gibt (abgeschaltet) !!!!!


Kein Grund mich anzubrüllen!

Sorry, die Ausrufezeichen sollten nur betonen, auf keinen Fall brüllen (das kenn ich nur von GROSSCHREIBUNG, lerne aber gern dazu)

Wenn die Option "automatische Registrierung" abgeschaltet ist, dann heißt dies nicht, dass man sich nicht anmelden darf. Ich gehen davon aus, dass Du die Funktion "selbst, aber neue Benutzerkonten müssen von einem Admin oder Moderator freigeschaltet werden" gewählt hast. Den Wortlaut "automatische Registrierung" finde ich zumindest bei mir nicht.

(automatische Registrierung meint: "selbst" (das geht ja dann 'automatisch')
Ich hab aktuell "Registrieren nur durch Administrator" geschaltet, dann sollte ja (nach meinem Verständnis von Technik und der Forensoftware) nix anderes gehn.

Benutzername: platexwansupp
Passwort: wuyXZv5WNj


Gibt es diesen Benutzer?

Nein, diesen Benutzer gibt es nicht.
Keine Ungewollter hat es bisher geschafft sich anzumelden und das ist gut so

Gruß und Dank

uli

Avatar

offene Fragen: Anmeldungen von Spammern

by Milo ⌂, Saturday, September 23, 2017, 14:28 (26 days ago) @ uli
edited by Milo, Saturday, September 23, 2017, 18:37

Hallo,

(automatische Registrierung meint: "selbst" (das geht ja dann 'automatisch')

Fürs Reproduzieren wäre es hilfreich, wenn die tatsächlich getroffenen Einstellungen benannt werden und nicht neue Namen für bestehende Optionen erfunden werden. Es ist eine technische Angelegenheit, da kommt es auf Prosa nicht an. ;-)

Ich hab aktuell "Registrieren nur durch Administrator" geschaltet, dann sollte ja (nach meinem Verständnis von Technik und der Forensoftware) nix anderes gehn.

Tut es doch wohl offensichtlich auch nicht. Wenn die Nutzer nicht angelegt werden, existieren Sie auch nicht und sie können sich weder selbst noch durch einen Admin/Mod freischalten (lassen).

Hast Du eigentlich den Text für die Registrierungsmail verändert? Bei mir lautet dieser schlicht:

Hallo User01,
willkommen im Forum!

Zur Aktivierung bitte diesen Link aufrufen:
http://forum.example.com/index.php?mode=register&id=4711&key=auF00BARBAZqLEBsD6nESySe

Wenn ich mir Deinen gezeigten Link anschaue, passt der so gar nicht zu meinen.

Viele Grüße
Micha

--
Surveyor-Software: Geodetic Network Adjustment & Deformation-Analysis and Transformation

Avatar

offene Fragen: Anmeldungen von Spammern

by Milo ⌂, Saturday, September 23, 2017, 14:39 (26 days ago) @ Milo
edited by Milo, Saturday, September 23, 2017, 22:25

... noch als ergänzende Frage: Kann es sein, dass Du zwei Foren hast oder was verbirgt sich hinter dem Link http://ms-ufos.org/index.php/component/users/ ?

Ich habe den Link aus Deiner letzten Mail ausgeführt und bin auf dieser Anmeldeseite gelandet. Dies ist nicht die Anmeldeseite von Deiner MLF-Installation.

Hinweis: Dein CMS hat gemeldet, dass der Nutzer angelegt wurde nachdem ich den Link aus Deiner Mail aufgerufen habe. Prüfe das bitte - nicht nur in MLF sondern auch in Deinem CMS! Sorry, für diese Mühe, ich werde den Link aus Deinem Posting entfernen.

--
Surveyor-Software: Geodetic Network Adjustment & Deformation-Analysis and Transformation

gelöst: offene Fragen: Anmeldungen von Spammern

by uli ⌂ @, Saturday, September 23, 2017, 21:54 (26 days ago) @ Milo

Auwehzwick . . .

... noch als ergänzende Frage: Kann es sein, dass Du zwei Foren hast oder was verbirgt sich hinter dem Link . . .


Hallo Micha,

deine Frage und dein Nachverfolgen meines Links haben mir die Augen geöffnet:
Ich hab nicht 'noch ein Forum' sondern MLF als Forum in einer Portalseite (CMS/joomla) eingebunden.

Und, verflixt nochmal, die ganzen Anmeldeersuchen gingen an das CMS, deswegen hatte ich da auch die vielen Russen (nicht aktiviert) drin. Auf deine Nachfrage/Anregung hin hab ich da mal in die Einstellungen reingeschaut.

Da war doch tatsächlich bei
"Benutzer"
"Optionen"
die Möglichkeit "Benutzerregistrierung" noch aktiviert.
(das hat jetzt aber 2 Jahre lang keinen interessiert und keiner genutzt)

Fazit:

  • MLF ist sicher
  • ich bin ne Schlafmütze

dir gebührt grosser Dank für fundierten Support, sogar eines Fremdprodukts ;-)

hast was gut bei mir,
hast nen Wunsch frei !

Gruss und Dank

uli

RSS Feed of thread
powered by my little forum