gelöst Spamwelle mit PHPBB

Mitglied: Henere

Henere (Level 3) - Jetzt verbinden

27.07.2019 um 02:13 Uhr, 5301 Aufrufe, 3 Kommentare

Servus zusammen,

ich bräuchte mal einen guten Tipp.

Ich betreibe unter anderem ein Forum zur xt600 (Motorrad von Yamaha). https://www.xt-foren.de/xt-phpbb/
Nun habe ich seit gestern massive Neuanmeldungen von Spammern.
Ich habe schon das Captcha auf Q&A umgestellt, aber es kommen immer neue Nutzer und neuer Spam hinzu.
Und auch das Q&A geändert, aber die kommen ratzfatz neu durch.

Hier mal als Beispiel der neueste Eintrag:

Der Rotz kommt von .ru .pl und auch anderen TLDs die ich nicht alle zur Registrierung sperren kann.
Hat jemand einen guten Tipp für mich wie ich meine User davon befreie ?
Und wenn das stimmt, was die anbieten.. dann gute Nacht Foren.

Henere
Mitglied: NordicMike
LÖSUNG 27.07.2019, aktualisiert um 07:22 Uhr
Über Captcha lösen ist nur ein Weg herein zu kommen, es gibt aber oft auch andere Methoden, z.B. ganz ohne der Registrierungsseite. Hier musst Du zunächst analysieren und heraus finden, ob sie wirklich über Deine https://www.xt-foren.de/xt-phpbb/ucp.php?mode=register herein kommen oder einen anderen Weg gefunden haben. Das lässt sich über Logs herausfinden oder Du baust in die ucp.php noch weitere Analyseroutinen ein.

Je nach Angriffsmethode gibt es unterschiedliche Methoden zur Vermeidung.
z.B.:
1) Wenn sie das Captcha wirklich knacken, müssen sie auch Deine Frage nach den ccm richtig beantworten. Ich hoffe diese Frage wurde manuell eingebaut und keine Standardfrageroutine der Forensoftware? Baue in die ucp.php eine Logroutine ein, die falsche Registrierungsversuche mitloggt und wie die Fragen und das Captcha beantwortet wurden. Oft muss ein Angreifer diese Frage manuell lesen und die richtige Antwort in seinen Registrierungsbot einpflegen.
2) Update die Forensoftware, bekannte Lücken werden damit geschlossen. Auch Dein PHP auf die letzte für das Forum unterstützte Version.
3) Wenn sie über ucp.php herein kommen, benenne sie in ucpxy.php um und durchsuche alle anderen php Dateien nach ucp.php Links und passe die Links an. Die Datei ucpxy.php ist für Bots unbekannt.
4) durchsuche alle Administratoren Usernamen, ob der Administrator nicht hinein gehört.
5) Kontrolliere alle Ordner und Unterordner, ob neue php Dateien dazu gekommen sind (Änderungsdatum) und ob sie evtl codierten kryptischen Inhalt haben. Oft finden die Bots einen Unterordner mit Schreibrechten.
6) Kopiere alle Shop Dateien auf Deine Workstation und durchsuche sie mit einem guten (nicht kostenlosen) Virenscanner
7) codiere im ucp.php das mode=register in mode=registerxy um. Die Bots schicken gleich ein POST Befehl zum ucp.php ohne Deine Webseite zu öffnen.
8) stelle die Registrierung so um, dass der Administrator den Registrierungswunsch freigeben muss. Ich ein Bestätigungslink per E-Mail kann helfen.

Wie gesagt, es kommt auf die Angriffsmethode an, also nicht alle Tipps blind durchführen sondern per Analyse genau erkennen wie sie rein kommen.
Bitte warten ..
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
27.07.2019 um 07:56 Uhr
Hallo zusammen,

ausserdem könnten Sie vorerst um das Problem einzudämmen, nach dem Sie die Access-Logs durchgegangen sind und die IP Adressen des SPAM-Zugriffes gefunden hast, die entsprechende IP-Adressen mit htaccess sperren.

In der Regel sind es eins bis drei gehackte Server welche dazu missbraucht werden.

Die nachfolgende Erklärung können Sie dazu nutzen:

https://wiki.selfhtml.org/wiki/Webserver/htaccess/Zugriffskontrolle#IP-A ...

Viele Grüße

Ich
Bitte warten ..
Mitglied: Henere
27.07.2019, aktualisiert um 22:10 Uhr
Servus und Danke für die Vorschläge.
Ich hab die PHPBB Version aktualisiert seit dem scheint Ruhe zu sein.
Zumindest kommen keine neuen Registrierungen mehr (die Ruhe vor dem Sturm?)

Die Frage nach den ccm ist natürlich manuell eingefügt. Als Q&A auf dem PHPBB.
Aber das ändern alleine hat nicht gereicht. Erst seit dem Update ist richtig Ruhe.

Werde mich mal bei Gelegenheit mit dem UCP beschäftigen.

Danke euch erstmal !

Henere
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs28 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Microsoft
Gespeichertes Eventlog per Powershell durchsuchen
DerWoWussteFrageMicrosoft11 Kommentare

Werte Kollegen! Ich archiviere die Securitylogs des Domänencontrollers jeden Tag. Wenn ich nun etwas im Log von z.B. vorgestern ...

Ähnliche Inhalte
PHP
PHPBB - Problem mit Wortzensur
solved HenereQuestionPHP1 Comment

Servus zusammen, leider bekomme ich aus dem PHPBB-Supportforum nicht das gewünschte Ergebnis. Aber da hier genug fähige Leute versammelt ...

Apache Server

Unterschied Chrome - Firefox bei Apache oder evtl PHPBB

solved HenereQuestionApache Server5 Comments

Hallo, ich habe einen root server bei NetCup Ubuntu 18.04.3 LTS Apache/2.4.29 Darauf laufen einige Domains, die per virtualhost ...