Kontaktformular wird missbraucht

[rici2454]

Hallo zusammen,

 

seit gestern bekomme ich ständig "Undelivered mail" nachrichten. Der Kundenservice bei dem mein shop gehostet wird, glaubt, dass jemand das Kontaktformular missbraucht. Wir kann ich das verhindern?

 

Kann ich das Kontaktformular irgendwie ausschalten?

[Luca01]

Hallo rici2454,

schreib doch noch einige zusätzliche Details. Anregungen für mehr Inhalt findest Du in den Forumsregeln unter "Detaillierte Fragen und Beiträge". Zu den dort hinterlegten Rahmeninformationen wäre auch interessant wie Du in Prestashop den Mailversand konfiguriert hast.

Viele Grüße

[xMartin]

Auch wäre interessant zu wissen, was in diesen Mails genau drin steht. Mein Server ist Mal auf einer Blacklist gelandet und so konnten E-Mails an bestimmte Empfänger nicht zugestellt werden. Dafür hab ich dann auch jedes Mal eine "Undelivered mail" Nachricht erhalten...

[citochris]

Ich habe auch immer wieder dieses Problem. Es wird benutzt um spam an Yahoo User zu verschicken.

 

Ich habe "Slider" eingebaut, so da´man einen Schieber betätigen muß um die Mail abzuschicken - aber das hilft nicht, vielleicht macht er das manuell.

 

Meine Idee ist das die Mail nur an mich geht, aber nicht an den eigentlichen Versender, damit wäre kein spamming mehr möglich.

 

Aber wie kann ich das machen?

[rictools]

Bist du sicher, daß wirklich das Kontaktformular deines Shops benutzt wird (und nicht nur deine E-Mail-Adresse als Fake-Absender angegeben wird)? Bekommst du auch diese Mails oder nur deine Kunden?

 

Du kannst unter SEO & URLs mal einen anderen Namen für die Kontaktseite vergeben, vielleicht findet der Spammer sie dann nicht mehr. Ggf. kannst du auch "aufrüsten": https://www.prestashop.com/forums/topic/442633-add-recaptcha-to-prestashop-version-16014-for-free/

[Claudiocool]

Glaubt der Kundenservice deines Hosters das nur oder kann er dir diesbezüglich die Logs zeigen?

 

Im Shop müsste es sich verhindern lassen, wenn man entweder einen Timer einbaut, der das Absenden nur alle z.B. 30 Minuten erlaubt oder eben nur einmal pro Session. Oder man lässt eine IP nur mit der erstgenutzten E-Mail-Adresse arbeiten.

 

Möglichkeiten gäbe es also einige, aber es ist letztendlich immer auch das Problem, dass man dadurch unter Umständen normale Kunden auch handicapt.

 

Kriegst du bei Sendungen übers Kontaktformular keine Mails an dich und im Kundenbereich im Backend? Wenn da nichts kommt, kann es eher eine gefakte Absenderadresse sein, wie Rictools es erwähnt. Allerdings landen dann die wirklichen Absender auf den Blacklists, also deren IP´s.

 

Wie gesagt, erstmal Serverlogs checken, da steht alles drin, was da so durchgeschoben wird.

 

Viele Spammer versuchen, via Bruteforce den Mailserver zu kapern, da sollte der Hoster entsprechende Vorkehrungen treffen, bzw getroffen haben. Hier sehe ich in den Logs, dass das oft versucht wird, 2 fehlerhafte Logins befördern denjenigen für einen in einen Jail von Fail2Ban, der Dritte Versuch (nach 1 Tag) ergibt dann 1 Woche Pause für die IP.

 

Viele Server haben Webmail installiert, z.B. Roundcube oder Horde, die sich via "webmail.domainname.tld" aufrufen lassen, Wenn dann der Login mit E-Mail und Passwort passiert, ist [email protected] zu 50% ein existierendes Konto, danach kann es mit einer Bruteforce-Attacke relativ schnell geknackt werden, wenn man hier nicht vorgesorgt hat. besser sind Benutzernamen für den Login, die natürlich nicht Willy oder Helmut nennen, sondern etwas kryptischer gestalten, das Passwort sollte auch nicht Willy oder Helmut lauten...

 

Wer dem Webmailzugang nicht braucht, sollte den in dem Fall abschalten lassen und lieber einen lokal installierten Mailclient mit IMAP oder Pop3 nutzen.

 

Gegen gefakte Mails eines anderen Servers hat man wenig Möglichkeiten, der wird zwar schnell auf diversen Blacklists landen, aber im Prinzip kann da keiner so richtig was machen, weil die i.d.R. irgendwo stehen, wo kein Gesetz die Nutzung unterbindet.

[rictools]

Glaubt der Kundenservice deines Hosters das nur ...

Das hatte ein anderer User vor 3 Jahren gepostet (das ist das Problem dieses leidigen Sichaneineuraltethreadleicheanhängens ...).

[citochris]

das geht definitiv über das Kontakformular. Ich bekomme auch die Bounces, die Yahoo Adressen sind alle ungültig. Meist ist es Rolexspam.

 

Seit der Slider drin ist ist es weniger geworden aber immer noch alle 14 Tage so 10 Stück, daher nehme ich an das er es manuell macht - da würde ein captcha auch nicht helfen.

 

Darum möchte ich gerne das die Mail nur an mich geht, damit ist das spamming sinnlos. Die paar Mails die ich kriege sind mir egal, aber ich will nicht in Blacklists landen.

 

Nur wie kann ich das machen?

 

Ich habe v 1.6.1.5. Ich habe mir das TPL mal angesehen, da ist wohl eine Schleife drin die an alle betroffenen Emailadressen schickt aber ich weiß nicht wie ich das ändern kann.

[Whiley]

Ja, eine dumme Sache, wir hatten das Problem auch schon!

 

Ich meine mich zu erinnern, daß die Änderungen in der ContactController.php gemacht werden mußten.

 

Grüsse

Whiley

[citochris]

ContactController.php sieht richtig aus, aber ich bin nicht fit genug da rauszufiltern wie ich den Versand an den Kunden da rausnehmen kann.

Edited May 1, 2017 by citochris (see edit history)

[citochris]

Nachdem monatelang alle Woche der Yahoo Spammer ca. 10 Mails an ungültige Adressen rausgeblasen hat hat jetzt ein Russe das entdeckt und hat richtig Mengen an meist mail.ru Adressen über das Formular geschickt. Da bin ich jetzt erstmal blacjgelistet

Ich habe daraufhin erstmal die TPL renamed, das hat aber nicht geholfen. jetzt habe ich die ContactController.php  renamed und damit ist erstmal Schluß.

Also läßt sich die ContactController.php  anscheinend direkt ansprechen.

Irgendwie kann es das ja nicht sein. Jeder PrestaShop ist doch damit angreifbar und das Kontaktformular hätte ich schon ganz gerne.

Wie kann ich das verhindern? Da müssen doch auch andere das Problem haben.

Hat noch niemand das gelöst?

Chris

[Shad86]

Schonmal folgendes Probiert?

https://www.prestashop.com/forums/topic/610149-chinese-spam-problem/

[Shad86]

Ich muss eines der RU Spammer-Themen noch einml aufgreifen, hat nach soeinem Angriff mal jemand in das Modul Newsletter geschaut?

Also ich habe im neuen Shop noch niemanden der sich seperat für den Newsletter angemeldet hat, trotzdem habe ich in dem Modul über 3800 Einträge. Kann mir nur erklären das das die Opfer des Angriffs sind.

Meine Frage, wie lösche ich die Einträge in dem Modul jetzt? Kann ich dafür nur in die Datenbank?

[rictools]

Bei mir werden in dem Modul nur abonnierte Newsletter angezeigt, überwiegend von Kunden und von ein paar Nichtkunden, erkennbar an der ID N1 etc., letztere müßten ja das Double-Login durchlaufen haben.

Ist das bei dir anders? Ich kann mir kaum vorstellen, daß 3.800 Spammer den Newsletter per Double-Login bestellt haben.

Wenn ich in der Liste den grünen Haken eines Abonnenten anklicke, wird er aus der Liste entfernt (wäre bei 3.800 allerdings viel Arbeit, wäre dann direkt in der Datenbank (Tabelle vorher sichern!) sinnvoller).

[Shad86]

Guten Morgen,

ja ich habe da tatsächlich N1 - N3857 drin.

Ich habe mir gedacht das das vielleicht als nebeneffekt aufgetreten ist beim dem Angriff der Russen.

Oder das ist nochmal was ganz anderes aber dann müsste man gucken woher das kommen könnte. Bestellungen und Anfragen aus dem Shop sind Produktbedingt relativ überschaubar. Da haben sich niemals mehrere hundert pro Tag für den Newsletter (der sonst auch nirgends beworben wird) registriert.

[citochris]

Ich denke eher das sind Bots die alles ausfüllen was nach einer Anmeldung aussieht.

[rictools]

Was sind das denn für E-Mail-Adressen? Da müßte man doch auch erkennen, ob die echt sind (und zumindest können ja echte Newsletter-Abo-Kunden dazwischen sein). Hast du mal getestet, ob die Anmeldung vielleicht auch ohne Double-Opt-In möglich ist (dürfte ja nicht sein, aber bei 1.7 weiß man nie ...) oder der Eintrag bereits vor der Bestätigung erfolgt (was datenschutzrechtlich problematisch wäre)?

Vielleicht hat ja irgendeine populäre Internetseite oder ein Influencer in einem sozialen Netzwerk den Newsletter empfohlen ...

[rictools]

Was mir gerade noch auffällt, das originale Modul kann meines Wissens doch gar nicht für den Versand von Newslettern verwendet werden, hast du vielleicht ein anderes?

[Shad86]

Also wie es aussieht sind vom März an, jeden Tag rund 25 Adressen eingetragen worden. Alles irgendwelche gmail, yahoo und ähnliches Adressen. Sehen schon realistisch aus aber passt nicht zu unserem Kundenstamm. Und wir versenden unseren Newsletter extern. wenn sich da jemand einträgt, exportiere ich die Adressen, lade die beim Dienstleister hoch und dort wird versendet. Und das der Newsletter empfohlen wurde kann ich mir auch nicht vorstellen. Der wird ganz sporadisch 4 oder 5 mal im Jahr versendet und immer Themenbezogen. warum sollte die Leute auf den Newsletter so abgehen, im Shop dann aber kaum was von sich sehen lassen?

Gerade mal getestet, bei 1.7 kann man tatsächlich seine Mailadresse eingeben und dann ist die drin, WENN man die Bestätigungsmails nicht aktiviert... also im Grund mein eigener Fehler. Werde die Mailadressen also alle raus werfen und das ganze dann nochmal beobachten.

[rictools]

3 hours ago, Shad86 said:

Gerade mal getestet, bei 1.7 kann man tatsächlich seine Mailadresse eingeben und dann ist die drin, WENN man die Bestätigungsmails nicht aktiviert...

Na da haben wir doch die Ursache, dann hat es ja gereicht, daß ein Bot irgendwelche E-Mail-Adressen in das Feld eingetragen hat und den Absende-Button betätigt hat. Auch wenn mir noch nicht so recht klar ist, was das einem Spammer bringen soll ...

[Shad86]

Ja genau das frage ich mich halt auch und dachte das es nur ein Nebeneffekt der RU Geschichte war.

NAja habe ich mal nicht aufgepasst. Sollte damit ja jetzt erstmal erledigt sein.