1.6.1.10 Spam Attacke über Kontaktformular

[orpheus77]

Hallo,

ich werde seit Tagen über ein Kontaktformular zugespammt. Das "allgemeine" Formular ist es anscheinend nicht, das habe ich unbrauchbar gemacht und trotzdem weiter SPAM erhalten.
Erst wenn ich den Shop in den Wartungsmodus versetze hört es auf.

Es dürfte das andere Kontaktformular im Rahmen des Bestellprozesses sein.

Kann mir bitte jemand helfen.
 

[rictools]

Erst einmal müßtest du schon feststellen, um welches Kontaktformular es sich überhaupt handelt, normalerweise gibt es nur eines oder eben die Bestellungen, die sich aber klar unterscheiden, wird dann eher ein Modul z. B. für Anfragen auf der Produktseite sein.

[orpheus77]

Hi,
Es ist das Bemerkungsfeld im Bestellprozess. Ich habe jetzt in der validate.php die Sender adresse geblocked, das wird aber nur so lange funktionieren, bis der Bot die Adresse wechselt.

[Wuschel]

Ja, das sehe ich auch so. Solche Adressen wechseln. Hast du es denn mal mit eicaptcha probiert?

https://github.com/nenes25/eicaptcha/releases

[rictools]

Eine Bestellung mit einem Captcha zu erschweren dürfte kaum sinnvoll sein ...

[Whiley]

Am 18.12.2019 um 9:06 AM schrieb orpheus77:

Es ist das Bemerkungsfeld im Bestellprozess.

???

Wie soll das denn funktionieren, Sinn solcher Attacken ist doch immer das Versenden von Spammail an externe Empfänger von deinem Shop aus.

Melden sich "Spam-Kunden" an?

Wird eine Bestellung ausgelöst?

Werden Warenkörbe angelegt?

Kannst du den Vorgang selbst reproduzieren?

Grüsse
Whiley

[orpheus77]

Hallo Whiley,

es werden keine Bestellungen, etc angelegt. Es kamen ca. 200 Spammail pro Tag mit chinesischen Zeichen im Text, der Absende Adresse des Bestellprozesses mit dem Zusatz "answer to: *.qqq.com"

Das Standard Kontakt Formular habe ich mit einem Captcha versehen und dann umbenannt - ohne Wirkung.

LG Stefan

[Whiley]

Hallo Stefan,

hast du Zugriff auf die Log-Dateien des Servers (access.log) und kannst du den Bereich in dem die Spam Nachricht versendet wird (über  Zeitvergleich)  hier mal posten.

Grüsse
Whiley

[orpheus77]

Hallo Whiley,

der Shop meines Freundes liegt bei einem Hoster, muss ich schauen ob ich da das log bekomme.

Hier der Header der Spammail:

> Von: PAAN Bahn Webshop <[email protected]> > Datum: 14. Dezember 2019 um 14:10:08 MEZ > An: Bestellvorgang <[email protected]> > Betreff: [PAAN Bahn Webshop] Message from contact form [no_sync] > Antwort an: [email protected] >=20 > =EF=BB=BF > =09 > =20 > MESSAGE FROM A PAAN BAHN WEBSHOP CUSTOMER > =20 > Customer e-mail address: [email protected] >=20 > Customer message: =E8=91=A1=E4=BA=AC=E6=A3=8B=E7=89=8C=E5=8D=81=E4=BA=94=E5= =91=A8=E5=B9=B4=E6=B4=BB=E5=8A=A8,=E7=BD=91=E5=9D=80:7781333.com,=E6=B3=A8=E5= =86=8C=E5=AD=9850=E9=80=8150,=E9=9B=BB=E5=AD=90=E6=B8=B8=E8=89=BA=E6=B8=B8=E6= =88=8F=E5=85=A8 >=20 > Order ID: - > Attached file: - =20 > =20 > PAAN Bahn Webshop powered by PrestaShop=E2=84=A2 > =20

LG Stefan

[Claudiocool]

Das läuft übers Kontaktformular, die müssen dazu aber nicht ins Frontend kommen. Das macht man bequem über ein Script, da genügt es zu wissen, dass du einen Prestashop 1.6 hast, und solange der die unveränderte Datenstruktur hat, genügt zur Ausführung deine Domain, den Rest erledigt das Script.

Ich gehe davon aus, dass du mit unbrauchbar machen, das Formular selbst geändert hast, das hält zwar den Besucher ab, aber ein Script braucht diese Eingabemaske nicht

[orpheus77]

Ich habe es insofern versucht unbrauchbar zu machen, indem ich  das File contact-form.tpl umbenannt habe.

Was würdest du als Lösungsansatz vorschlagen?

LG Stefan

[Claudiocool]

Die PHP-Datei ist dennoch noch da, das bringt dich da nicht so sehr weiter.

Besser ist es, die Spams anzusehen und dann im Contactcontroller.php in einem Override die entsprechenden Filter einzubauen. Wenn ein Spammer alles an [email protected] adressiert, dann filtere ich das und die Dinger laufen ins Leere...

Es gibt viele Möglichkeiten, die einen wollen Captchas, aber die kann man mit entsprechenden Scripten auch aushebeln, vor allem, wenn ich am Template vorbei direkt reingehe...

[orpheus77]

Ich habe einen Filter ins validate.php eingetragen, seitdem ist Ruhe. Aber eben nur bis die Abende Adresse geändert wird.

Ist das besser/schlechter als ein Filter im Contactcontroller.php?

[Claudiocool]

Validate.php ist auch eine Möglichkeit, aber wenn man z.B. in Override/controllers/front/ eine Datei "ContactController.php" anlegt, und diese dann z.B. mit folgendem Inhalt füllt:

<?php
class ContactController extends ContactControllerCore
{
    public function postProcess()
    {
        if(Tools::isSubmit('submitMessage')) {
 
            $message = Tools::getValue('message');
            $from = Tools::getValue('from');
 
            $banned_in_email = ['.ru', 'qq.com', 'QQ.com', '.vn', 'sina.', 'citiz.net', '163.com', 'yeah.net', 'aut.ac.nz', '139.com', 'gmil.com', '21cn.com'];
            $banned_content = ['email marketing', 'viagra', 'bitcoin'];
 
            foreach ($banned_in_email as $string) {
                if(strstr($from, $string))
                    $this->errors[] = Tools::displayError('This email address is not allowed');
            }
 
            foreach ($banned_content as $string) {
                if(strstr($message, $string))
                    $this->errors[] = Tools::displayError('Invalid Content');
            }
        }
        parent::postProcess();
    }
}
?>

Dann kann man in Banned in E-Mail die Adressen setzen, die da so benutzt werden.
und in banned Content auch Inhalte rausfiltern, die man in den Spammails immer so findet.

irgendwann ziehen die dann weiter, wenn sie merken, dass sie ihre Adresssaten nicht erreichen. Dabei dann der Kosmetik halber noch die beiden Ausgaben im Display-Error bei den Übersetzungen apassen und schon sollte es gehen. Ich habe da im urlaub die Spammer innerhalb von 1-2 Tagen vertrieben, die sind dann zu anderen Shops weitergezogen

 

[Claudiocool]

Sodele, jetzt habe ich mal wieder einen versteckten Eintrag provoziert, sprich, irgendein Automatikfilter hat nun die letzten 10 Minuten meiner Zeit eingefroren... Schade... hätte gerne geholfen, vielleicht wird es ja freigegeben...

[selectshop.at]

 

1 hour ago, Claudiocool said:

Sodele, jetzt habe ich mal wieder einen versteckten Eintrag provoziert, sprich, irgendein Automatikfilter hat nun die letzten 10 Minuten meiner Zeit eingefroren... Schade... hätte gerne geholfen, vielleicht wird es ja freigegeben...

In deinem Post sind von der Firewall gebannte Wörter enthalten, aus diesem Grund wurde er in die Moderationsschleife gestellt.

[Claudiocool]

Nun, ich muss es ja nicht lesen, bei mir ist die Lösung ja drin...

Der Filter nervt, hatte nur vergessen, dass es den gibt, sonst hätte ich gar nicht erst gepostet.

[orpheus77]

Ich bin dir aber sehr dankbar, dass du es geposted hast 🙂

Ich werde deine Lösung einbauen.

LG Stefan

[Claudiocool]

Jetzt baue es mal so ein, tausche bei Bedarf noch die E-mail-Adressen aus und auch die Contents, dann sollte es gehen, zumindest geht kein Spam mehr raus, du kriegst allerdings die Dinger trotzdem noch im Backend zu sehen, dann geht kein Kunde verloren, der versehentlich ins Raster gepasst hat.

Die Spammer hören erfahrungsgemäß kurze Zeit später auf, weil sie keine Erfolge mehr haben.