Spam über Formular

**intradesign** · 07.06.2018, 15:25

Hallo zusammen,

bei einigen meiner Kunden-Websites wird im Moment Spam über das Kontaktformular gesendet. Mich wundert, dass es bei mehreren Websites gleichzeitig passiert. Die eine Website ist erst vor ein paar Tagen online gegangen.

Soll nicht eigentlich das Formular schon einen Mechanismus enthalten, um Spamming zu verhindern?

Hat jemand ein ähnliches Problem?

Danke und viele Grüße,
Timo

**tab** · 07.06.2018, 16:02

Ja, sollte es tatsächlich. Allerdings sind die Spammer auch nicht dumm und die entsprechende Software wird auch immer intelligenter und kann das mittlerweile vielleicht schon aushebeln.

***lucina*** · 07.06.2018, 17:11

Zitat von intradesign

Soll nicht eigentlich das Formular schon einen Mechanismus enthalten, um Spamming zu verhindern?

Es klingt ein wenig danach als hättest Du die Sicherheitsfrage nicht eingebunden ... ohne ist das Formular vermutlich ungeschützt.

**intradesign** · 08.06.2018, 13:06

Zitat von lucina

Es klingt ein wenig danach als hättest Du die Sicherheitsfrage nicht eingebunden ... ohne ist das Formular vermutlich ungeschützt.

Ich dachte, das Formular ist immer automatisch geschützt und die Sicherheitsfrage wird nicht mehr benötigt...

Gesendet von iPhone mit Tapatalk

***xchs*** · 08.06.2018, 14:06

Nein, die Sicherheitsfrage musst Du auf jeden Fall zusätzlich einfügen. Erst dann funktioniert auch das HoneyPot (unsichtbar) im Hintergrund.

**tschero** · 08.06.2018, 15:26

Hi,

ich stelle das auch bei einem Formular fest.
Diese Nachricht wurde scheinbar von dieser Mailadresse/diesem Formular versendet:

Code:

Am 05.06.18, 17:07, info@webdesign24.biz schrieb:
Ihr Name:: Elmerrar
Ihre E-Mail:: leonovaangelina21@mail.ru
Ihre Nachricht:: ? http: bit.ly 2IUuXRt ??? ???????? ????? ????????? ???????? ????????? ??????. 
????? ?? ????? ?????? ????????: 
- ?? ????????? ???????? ? ??????? ?????????? 
- ?? ????????? ????? 
- ?? ?????????? ??????? ??????? 
- ?? ???????? ??????????? 
????? ?? ???????? ????? ??????????? ?????????: 
- ?? ??????? ????? ??????????? ????????? ?? ???????? ???????? ? 10 ??????? 
- ?? ??????? ????? ?????? ????????? ?? ???????? ????? ? ??????? ?????? 
- ?? ??????? ????? ??????????? ????????? ?? ??????? ??????????? ? 10 ??????? 
- ?? ?????????? ?????????? ??????? ?????? ??????? ?????????? ? ??????? ??????
Die Fragezeichen sind in der original E-Mail kyrillische Zeichen

Hosting Support ist ebenfalls informiert
Contao 3.5.35

Gruß
tschero

**tab** · 08.06.2018, 15:33

Gleich eine Weiterleitung setzen zu Wladimir

.

**tab** · 08.06.2018, 15:42

Die Russen sind eh grade recht aktiv... Hier mal ein Auszug aus der Logdatei einer 3.5.35 Installation:

Code:

IP-Adresse: 	78.46.174.0
Browser: 	Mozilla/5.0 (compatible; MegaIndex.ru/2.0; +http://megaindex.com/crawler)

[06.06.2018 07:53] No active page for page ID "", host "www.xxx.de" and languages "" (https://www.xxx.de&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3B)

[06.06.2018 07:53] No active page for page ID "", host "www.xxx.de" and languages "" (https://www.xxx.de&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3B)

So geht das dann noch eine Seite weiter...

***lucina*** · 08.06.2018, 16:08

Man könnte auf Zeichenketten mit kyrillischen Buchstaben prüfen. Schaut mal bitte auf Github, da gabs was (Verwendung Process Form Hook etc.).

**macbee** · 13.06.2018, 10:01

Die Russen sind leider auch bei mir im Dauereinsatz...

Ich habe jetzt keine Lösung, wie ich das verhindern soll... 300 Anfragen auf einer Seite binnen 2 Stunden.

Momentan weiß ich nicht weiter :-((

**Spooky** · 13.06.2018, 10:03

Hast du den Spamschutz nun drin oder nicht? Sind Anfragetokens aktiviert?

**tschero** · 13.06.2018, 11:27

Hi,

also ich habe zwar nicht ganz so viele Anfragen aber mein Formular sendet trotzdem weiterhin E-Mail ab.
Anfragetokens sind aktiviert. Sicherheitsfrage ist im Formular drin und aktiv.

Ich weiß auch nicht warum uralte Seiten noch aufgerufen werden.

syslog.JPG

Gruß
tschero

**macbee** · 13.06.2018, 14:57

Zitat von Spooky

Hast du den Spamschutz nun drin oder nicht? Sind Anfragetokens aktiviert?

Hallo und Sorry. Spamschutz ist drin und Anfragetokens sind deaktiviert. War Standardmäßig so..

LG

**Spooky** · 13.06.2018, 15:49

Anfragetokens sind by default aktiviert. Die solltest du wieder aktivieren.

**macbee** · 13.06.2018, 17:16

Ok.. danke... Darf ich mal blöde Fragen, was die bewirken? Google spuckt mir da nicht wirklich was aus...
Danke

**Spooky** · 13.06.2018, 19:11

Ohne Request Token kann jeder deine Applikation mit POST Requests spammen. Mit Request Token muss vorher eine GET Verbindung zum Server aufgebaut werden, um einen Request Token zu erhalten, mit dem man dann einen POST Request an den Server (bzw. die Applikation "Contao") senden kann.

**tschero** · 16.06.2018, 10:22

Ich möchte hier noch mal anknüpfen,

mein Kontaktformular sendet nachweislich E-Mails in der Weltgeschichte herum, ganz oft auch an meine eigene E-Mail Adresse.

E-Maillog:

Code:

[15-Jun-2018 14:26:20] An e-mail has been sent to info@webdesign24.biz

E-Mail beim Hoster:
einsundeins_email.JPG

Syslog im BE von Contao:
wd24_syslog.JPG

Ich hab das Gefühl, dass es hier eine Sicherheitslücke gibt, kann das aber nicht nachvollziehen.

Contao 3.5.35.

Betroffene Seite:
webdesign24.biz
Es wird immer das Kontaktformular aus der Footerzeile versendet.

Hat da jemand einen Tipp?

Gruß
tschero

**Spooky** · 16.06.2018, 11:59

Zitat von tschero

mein Kontaktformular sendet nachweislich E-Mails in der Weltgeschichte herum, ganz oft auch an meine eigene E-Mail Adresse.

Was genau meinst du damit? Welche Email Adresse ist als Empfänger konfiguriert?

Zitat von tschero

Betroffene Seite:
webdesign24.biz

https://www.datenschutz-guru.de/brau...eine-checkbox/

**tschero** · 16.06.2018, 12:43

Ja die Checkbox hab ich schon länger drin. Die tut mir erst mal nicht weh - oder hab ich was übersehen?

Als Empfänger ist info@webdesign24.biz eingetragen.

Gruß
tschero

**tschero** · 18.06.2018, 11:49

Hab jetzt weiter beobachtet und muss feststellen, dass der Spam über das Kontaktformular versendet wird.
Hat sich jetzt wieder jemand bei mir deswegen gemeldet.
Hat denn keiner eine Idee woran das liegen könnte?

Contao 3.5.35.

Gruß
tschero

**Spooky** · 18.06.2018, 11:51

Bei deinen Beispielen zuvor wurde die Email ja an info@webdesign24.biz, was ja korrekt ist. Werden emails tatsächlich an andere Email Adressen verschickt?

**tschero** · 18.06.2018, 11:54

Ja, ich habe schon mehrere Infos bekommen, dass andere von mir zugespammt werden; erst heute wieder.

Hier noch mal die Bilder dazu:
https://community.contao.org/de/show...l=1#post475566

**Spooky** · 18.06.2018, 11:59

Dort sieht man aber nichts relevantes. Die Emails die du da zeigst gehen alle einfach nur an den eingestellten Empfänger des Formulars. Was genau wurde dir berichtet?

**PaddySD** · 18.06.2018, 12:01

Dann ist aber was anderes im Argen....

In der Theorie kann Dein Kontaktformular nur an die im BE beim Formular definierte E-Mail-Adresse senden... Will heissen, wenn Spam von Dir versendet wird, würde ich da eher auf einen anderen Zugang zu Deinem Server tippen, als auf das Kontaktformular von Contao. Ich wüsste auch nicht, wie das machbar sein sollte....

**tab** · 18.06.2018, 12:16

Wie sehen denn die restlichen Kopfzeilen oder noch besser der Nachrichtenquelltext aus?

Edit: Wobei die wirklich interessanten E-Mails vermutlich eher die an andere Empfänger gegangenen sind. Die E-Mails an die konfigurierte Adresse sind ja völlig normal.

**tschero** · 18.06.2018, 13:00

PN an @spooky wg sensibler Daten und ggf. Prüfung des Konatktformulars.

Ich spiele mit dem Gedanken meine beiden Kontaktformulare mal für eine Zeit lang von der Seite herunter zu nehmen um dann zu schauen ob weiterhin Spam versendet wird.

Der 1und1 Support konnte mir bislang ebenfalls nicht helfen

.

**tab** · 18.06.2018, 13:06

Keine schlechte Idee. Kann man den an im Log im Backend ersichtlichen Sendezeiten festmachen, ob diese Mails alle nur an die eingestellte Empfängeradresse gegangen sind oder eventuell zeitgleich auch an einen der anderen Spamempfänger? Naja, lassen wir Spooky mal in Ruhe über die Daten schauen...

**PaddySD** · 18.06.2018, 13:10

Ich glaube ja nach wie vor nicht, dass es an Contao liegt. Wenn (und da bin ich mir ja auch nicht ganz sicher) Mails über das Kontaktformular an fremde Empfänger gehen sollten, dann sind die Kontaktformulare daran nicht schuld. Ich hab gerade nochmal sicherheitshalber geschaut, es gibt im Core keine Möglichkeit, die Adresse des Empfängers zu überschreiben. Wen ndas jemand hingekriegt hat, dann würde ich aber schnellstens eine Sicherheitsmeldung ansCore-Team geben, da könnte sogar Geld als Belohnung für das Entdecken einer Sicherheitslücke drin sein.

Nochmal, ich glaube das eher nicht. Ich würde wirklich gerne erstmal sehen, was die Empfänger überhaupt an Spam bekommen haben, und wie deren Rückmeldungen aussah.

Ich bleibe gespannt!

**tschero** · 18.06.2018, 13:14

Hab eben schon eine Info an @spooky gesendet.

Mal checken was da los ist und den Grund herausfinden. Irgendeine Ursache muss das ja haben.

**intradesign** · 18.06.2018, 13:20

Soll denn beim Absenden des Formulars auch eine Bestätigungsmail an die vom Absender eingegeben E-Mail-Adresse gesendet werden? Dann könnte das Formular doch vielleicht auf diesem Weg missbraucht werden.

Mein eingangs geschildertes Problem ist ebenfalls noch nicht behoben. Wenn ich das Formular aktiviere, kommen innerhalb kürzester Zeit wieder russische und andere Mails bei mir an. Spamschutz ist aktiviert.

Gesendet von iPad mit Tapatalk

**tschero** · 18.06.2018, 13:32

Zitat von intradesign

Soll denn beim Absenden des Formulars auch eine Bestätigungsmail an die vom Absender eingegeben E-Mail-Adresse gesendet werden? Dann könnte das Formular doch vielleicht auf diesem Weg missbraucht werden.

Mein eingangs geschildertes Problem ist ebenfalls noch nicht behoben. Wenn ich das Formular aktiviere, kommen innerhalb kürzester Zeit wieder russische und andere Mails bei mir an. Spamschutz ist aktiviert.

Gesendet von iPad mit Tapatalk

Ich hab nichts eingestellt dass eine Bestätigungsmail an die vom Absender eingegebene E-Mail-Adresse gesendet werden soll.

Von meinen Beiden Formularen ist auch nur das eine in Footer betroffen - das ist auf jeder Seite vorhanden.

kontakt_footer_wd24.JPG

**tschero** · 20.06.2018, 06:43

Sehr spannend,

ich habe jetzt Rocksolid Antispam installiert.
Die Angriffe aus Russland, auf Seiten die es nicht mehr gibt, gehen weiter(siehe Bild). Das Formular wurde aber bisher nicht mehr versendet - zumindest nicht gem. Syslog.

spam.JPG

Bin mal gespannt ob das geholfen hat.

Gruß
tschero

Thema: Spam über Formular

Themen-Optionen

Thema durchsuchen

Spam über Formular

Aktive Benutzer

Aktive Benutzer

Lesezeichen

Lesezeichen

Berechtigungen

Contao

Empfohlene Webdesign-Bücher