Spam trotz Sicherheitsfrage

[Kommunalo]

Ich habe die neue Version 4.13.37 installiert und seither kein Spam mehr bekommen. Das Problem ist wohl gelöst bis die Spammer einen neuen Weg finden, den Schutz zu umgehen.

Vielen Dank an die fleißigen Entwickler von Contao, die in kürzester Zeit reagiert und ein Update zur Verfügung gestellt haben!

Thomas

[Lorello]

Gleiche Problem.

Ich hab über nen Hook sämtliche Adressen geblockt, die als Spam in Frage kommen.
In meinem Fall handelte es sich vorrangig um Absendemails mit .ru als Domain.

Seitdem ist erstmal Ruhe.

[neelix]

Betrifft das Problem nur die 4.x oder warum finde ich den PR nicht bei den Änderungen der aktuellen 5.x verlinkt?

[mlweb]

Die Änderungen sind auf jeden Fall in jede aktuelle Version ab 4.13 eingeflossen. Also auch in die aktuelle 5.2 und die 5.x (zukünftig 5.3)

[neelix]

So hatte ich mir das auch gedacht. Nur sehen kann ich es halt nicht. Also nicht im Change Log. In der Versionsgeschichte taucht halt immer mal wieder eine Übernahme von 4.x nach 5.x auf. Damit wandert es dann wohl mit.

[mlweb]

Ich habe es aus dem Slack-Kanal. Da hat Yannick (Core-Entwickler) die Frage gestern explizit beantwortet.

[Spooky]

https://github.com/contao/contao/com...43553f45eca00d

[Twitt]

Hallo allerseits
Habe bisher ein Kunde der mehrere (3–10 Mails/Tag) an Spammails übers Formular erhielt.
CT-Version 4.13.36. Seit der Integration des RS-Anti-Spam ist Ruhe.

Eine eigene Installation habe ich heute Morgen auf 4.13.37 aktualisiert (ohne RS-Anti-Spam).
Auch bei dieser ist seither nichts mehr aufgetreten.


An die Entwickler und das Forum ein DANKE fuer die Mithilfe und Reaktionen.

[Stranger]

Ist bloß doof mit den verbliebenen Contao 4.9 Instanzen.

Es ist total krass, der Bot knackt sogar diese tossn Captcha Erweiterung. Erst mit 2 Zeichen angefangen, dann peu á peu auf 5 Zeichen erhöht. Mittlerweile arbeite ich mit mit 6 Zeichen und 0-9a-z - und der Spam kommt mittlerweile bei manchen Kunden alle 5 bis 10 Minuten (Kontaktformular auf der Startseite).
Hätte ich absolut nicht erwartet. Total extrem wie die aufgerüstet haben.

Da dieser doch relativ dumme Bot aber immer beim Formularfeld Firma "google" einträgt, hab ich mir jetzt so beholfen, dass ich eine Session setze und diesen Bot einfach weiterleite.

PHP-Code:

        if(\Input::post('company') == 'google')
        {
            $_SESSION['banned'] = true;
            $this->redirect('http://idiotic-bot-will-get-banned-soon.com/');
            exit;
        } 


Und an einer anderen Stelle frage ich dann die Session ab. Wenn die Session Variable gesetzt ist, dann sieht der Bot einfach nur ne weiße Seite.
Mal sehen, ob jetzt Ruhe ist.

[mlweb]

Mal mit der Erweiterung Anti Spam versucht? Die hat ja augenscheinlich bei diesem Angriffsscript auch geholfen, weil sie sich minimal anders verhält und das Script nur auf die Core-Version des Honeypods ausgerichtet zu sein scheint - zumindestens noch.

[Stranger]

Gute Idee, vielen Dank! Probier ich mal aus.
Die geht nicht zufällig auch für Registrierungs-Formulare?

[zoglo]

Gute Idee, vielen Dank! Probier ich mal aus.
Die geht nicht zufällig auch für Registrierungs-Formulare?

https://github.com/zoglo/contao-captcha

Versuchs mal damit und teste gerne

[swinde]

https://github.com/zoglo/contao-captcha

Versuchs mal damit und teste gerne

Vielen Dank, ich habe das Plugin in einem 4.9 Contao installiert und der Spuk ist vorbei.

Mal sehen wie lang.

VG Steffen

[Stranger]

https://github.com/zoglo/contao-captcha

Versuchs mal damit und teste gerne

Vielen Dank für die tolle Arbeit!
Nur leider knallt es irgendwie beim Newsletter Abonnieren Modul:

Code:

request.CRITICAL: Uncaught PHP Exception Symfony\Component\ErrorHandler\Error\UndefinedMethodError: "Attempted to call an undefined method named "getAjaxUrl" of class "Contao\FormCaptcha"." at /contao-installationspfad/vendor/zoglo/contao-captcha/contao/templates/forms/form_captcha.html5 line 25 {"exception":"[object] (Symfony\\Component\\ErrorHandler\\Error\\UndefinedMethodError(code: 0): Attempted to call an undefined method named \"getAjaxUrl\" of class \"Contao\\FormCaptcha\". at /contao-installationspfad/vendor/zoglo/contao-captcha/contao/templates/forms/form_captcha.html5:25)"} []

[zoglo]

Vielen Dank für die tolle Arbeit!
Nur leider knallt es irgendwie beim Newsletter Abonnieren Modul:

Code:

request.CRITICAL: Uncaught PHP Exception Symfony\Component\ErrorHandler\Error\UndefinedMethodError: "Attempted to call an undefined method named "getAjaxUrl" of class "Contao\FormCaptcha"." at /contao-installationspfad/vendor/zoglo/contao-captcha/contao/templates/forms/form_captcha.html5 line 25 {"exception":"[object] (Symfony\\Component\\ErrorHandler\\Error\\UndefinedMethodError(code: 0): Attempted to call an undefined method named \"getAjaxUrl\" of class \"Contao\\FormCaptcha\". at /contao-installationspfad/vendor/zoglo/contao-captcha/contao/templates/forms/form_captcha.html5:25)"} []

Gib mir 10 Minuten

[zoglo]

Klappt es, wenn du die 1.0.0 installierst? (Nicht die 1.0.1).
In der 1.0.0 nutze ich noch den Contao Namespace und überschreibe es einfach.

Bin gerade dran. Das wird als Klasse eingebunden, die beiden Module muss ich überschreiben (Subscribe und Unsubscribe)

[zoglo]

@Stranger

Gefixed in https://github.com/zoglo/contao-capt...ases/tag/1.0.2

[Stranger]

Jap, es geht mit 1.0.0
Aber 1.0.2 ist umso besser. Mega! Vielen Dank!!!

[SpeGal]

Für alle Noobs die sich durch diesen Thread gequält haben und trotz Update immer noch Spam bekommen:
Man muss auch das Feld "Sicherheitsabfrage" im Formular anlegen.

Früher gab es die Erweiterung RockSolid AntiSpam. Nach der Meldung, dass diese in den Core integriert wurde, hätte man meinen können, dass einfach alle Formulare automatisch den Spamschutz jetzt haben. Man braucht aber nach wie vor das extra Feld dafür.

Schade eigentlich. Gibt es ein Szenario oder Formular wo man das Sicherheitsfeld nicht einbauen würde? Warum nicht gleich das Feld "Sicherheitsabfrage" aus der Auswahl streichen und einfach generell im Hintergrund den Spamschutz aktivieren?

[neelix]

Schade eigentlich. Gibt es ein Szenario oder Formular wo man das Sicherheitsfeld nicht einbauen würde? Warum nicht gleich das Feld "Sicherheitsabfrage" aus der Auswahl streichen und einfach generell im Hintergrund den Spamschutz aktivieren?

Ja, z.B. in Intranets oder bei Formularen, die nur nach einer Anmeldung im Frontend zugänglich sind.

[SpeGal]

Naja, aber selbst dann stört doch die Sicherheitsfunktion im Hintergrund nicht. Ein Haken in den Formulareinstellungen "SPAM-Schutz deaktivieren" wäre doch viel sinnvoller, als dass man sonst in tausenden Formularen ein extra Feld einbauen muss. Ich vermute, dass die überwiegende Mehrheit aller Contao-Formulare eher für extern gedacht sind. Zumindest bei uns so ...

[zoglo]

Also genauso wie bei:

• Newsletter-Anmeldung
• Newsletter-Abmeldung
• Registrierung

Wäre eher ein Feature und würde bedeuten, dass andere Captchas nicht mehr erlaubt sind. Es muss zwingend das von Contao sein, nicht das von Google, Altcha, Rocksolid.. whatever.

[SpeGal]

Doch, du kannst ja weiterhin andere Captcha-Erweiterungen installieren und bei den Formularen den Contao eigenen "Spam-Schutz deaktiveren".

[Stranger]

Naja, aber selbst dann stört doch die Sicherheitsfunktion im Hintergrund nicht. Ein Haken in den Formulareinstellungen "SPAM-Schutz deaktivieren" wäre doch viel sinnvoller, als dass man sonst in tausenden Formularen ein extra Feld einbauen muss. Ich vermute, dass die überwiegende Mehrheit aller Contao-Formulare eher für extern gedacht sind. Zumindest bei uns so ...

Doch, könnte stören, wenn manche Formulare (wie z.B. auch Test-Formulare) innerhalb von 1, 2 Sekunden ausgefüllt und abgeschickt werden ohne von der Sicherheitsfrage behelligt zu werden.
Außerdem wird doch die Sicherheitsabfrage glaube ich auch zusätzliches JavaScript geladen, was die Performance minimal verschlechtert und auch Probleme macht, wenn jemand kein JavaScript aktiviert hat.

[zoglo]

Daher - mein Plugin dient nur für veraltete 4.9-er Installationen, sodass die Captcha-Variante implementiert wird.
Sollte sich hier etwas am Code ändern, muss ich nur Code anpassen, da es eh schon mit Symfony 4/5/6 und PHP 7/8 (sogar 9) funktionieren würde.. Contao 4.9 aber nicht .

Trotzdem sollte man auf 4.13 updaten (gerade wegen zukünftiger Sicherheitspatches). Heute kam auch Spam durch bei Installationen, welche RockSolid Antispam nutzen. Habe hier auf die Contao-Version gewechselt und es gab nur noch einige chinesische und russische Versuche laut Logs - kam aber nichts durch.

Wenn so etwas integriert wird, dann mit Checkbox.
Sehe ich aber eher als Feature in einer 5.4 und auch als *abwählbar*, damit andere Captchas genutzt werden können.
Problematisch wird es nur, wo es halt platziert werden sollte... wäre halt nach dem Absenden-Button.

Daher sage ich immer gerne: Read The Docs

[snapper]

Hallo,

ich habe auch seit kurzen das Problem, dass vermehrt SPAM-Anfragen über das Kontaktformular kommen.
Es wird die aktuellste Version (4.13.37) verwendet.

Ich habe versucht, die Sicherheitsfrage über CSS einzublenden.
Da ist mir aufgefallen, dass sich die Rechenaufgabe automatisch ausfüllt, sobald ich ein paar Felder des Kontaktformulars angeklickt habe.

Eventuell liegt da ein Zusammenhang.
Da die Sicherheitsfrage automatisch ausgefüllt wird, können bei mir jetzt alle Anfragen (auch SPAM) abgesendet werden.

[zoglo]

Die Sicherheitsfrage ist soweit ich weiß, nicht für normale Nutzer gedacht und wird nach 5 (bzw. je nach Script) ausgeblendet und vorbefüllt.
Sie dient als Honeypot für Angreifer.

Ob das display:none entfernt wird und die Sicherheitsfrage ausgefüllt ist oder nicht, hat hier erstmal nichts damit zu tun.
Wird das Formular sofort aufgerufen und sofort abgesendet mit dem entfernten display:none und der Vorbefüllung, würde die Sicherheitsfrage dennoch auftauchen.

[snapper]

Gibt es eine Möglichkeit, die Sicherheitsfrage als eine aktive Sicherheitsfrage einzubauen?

[zoglo]

https://extensions.contao.org/?q=antispam&pages=1
https://extensions.contao.org/?q=captcha&pages=1 (Wobei meine einfach die Integration der 4.13.37 Variante für Contao 4.9 ist, somit also rausfällt)

RockSolid-Antispam nutzt auch einen Honeypot.

Im Slack wurde jedoch folgendes durch Leo erwähnt:

Zusätzlich werden wir voraussichtlich ALTCHA in Contao integrieren,
damit wir eine moderne Alternative zum bisherigen CAPTCHA haben.

[snapper]

Kann es sein, dass die Bots die 5 Sekunden Sperre umgehen?
Also dass das Formular erst nach 5 Sekunden abgesendet wird (was ja dann funktioniert, da sich die Rechenaufgabe nach 5 Sekunden automatisch korrekt löst und der richtige Wert eingetragen wird).

[zoglo]

Laut logs ist es bei uns der Fall

[snapper]

Wie kann ich das Problem lösen?
Hat jemand eine Idee?

[snapper]

Für wann ist denn die Integration von ALTCHA geplant?

[zoglo]

Das weiß nur ein Orakel, welches im 285Hz Frequenzbereich die Glaskugel rotieren lässt.

Spaß bei Seite, nutze doch vorerst das altcha bundle von markocupic.
Wann es umgesetzt wird? Mit einem Pull Request auf Eigeninitiative sicherlich schneller.

[fiedsch]

Spaß bei Seite, nutze doch vorerst das altcha bundle von cliffparnitzky.

Du meinst https://github.com/markocupic/contao-altcha-antispam ? (Von Cliff habe ich dazu nichts gefunden).

[zoglo]

Du meinst https://github.com/markocupic/contao-altcha-antispam ? (Von Cliff habe ich dazu nichts gefunden).

Ups, genau. Bin in letzter Zeit soviel auf GitHub unterwegs, da vertauscht man die Namen schnell .
Markocupic, ja.

[Spooky]

Für wann ist denn die Integration von ALTCHA geplant?

Frühestens für Contao 5.4, vorausgesetzt jemand nimmt sich die Arbeit an.

[Stranger]

https://github.com/zoglo/contao-captcha

Versuchs mal damit und teste gerne

Über die Kontaktformulare kommt weiterhin Spam durch (beides Contao 4.9). Bei beiden Seiten ist eine Erweiterung installiert, die die folgenden Hooks verwendet:
prepareFormData, processFormData, outputFrontendTemplate

Hat das irgendwie Auswirkungen auf deine Erweiterung oder wurde der neue Schutz grundsätzlich auch schon wieder ausgehebelt?

[zoglo]

Über die Kontaktformulare kommt weiterhin Spam durch (beides Contao 4.9). Bei beiden Seiten ist eine Erweiterung installiert, die die folgenden Hooks verwendet:
prepareFormData, processFormData, outputFrontendTemplate

Hat das irgendwie Auswirkungen auf deine Erweiterung oder wurde der neue Schutz grundsätzlich auch schon wieder ausgehebelt?

Die Erweiterung nutzt die selbe Technik der 4.13 / 5.3, sofern hier das form_captcha.html5 nicht durch eine andere Erweiterung oder die eigenen Templates überschrieben wird.
Update bitte auch auf 4.13 in diesen Instanzen, da der Security-Support von Contao 4.9 nicht mehr gegeben ist (Diese Erweiterung dient wirklich nur der Überbrückungszeit).

Meine Tests für das neue Captcha belaufen sich lediglich auf lokale Cypress-Tests, welche sowohl eine 4.9 (ohne und mit dem Plugin), als auch eine 4.13.36 und 4.13.37 (nativ) testen.
Auch in den neuen 4.13.37 wurde das Captcha geknackt, sodass es in meiner Erweiterung auch so sein wird (da selber Code und nur als *4.9.43*-Ersatz

[tab]

Ich muss demnächst wohl auch in einer Installation wieder ein Kontaktformular einbinden auf Kundenwunsch. Werde aber noch versuchen das im Gespräch mit dem Kunden abzuwenden. Der einzige Vorteil eines Kontaktformulars ist gleichzeitig auch der größte Nachteil. Man muss als Empfänger keine E-Mail-Adresse angeben. Allerdings auch nicht als Absender - entweder keine oder jedenfalls nicht unbedingt die eigene.

Insofern bettelt man doch eigentlich mit einem Kontaktformular geradezu um Spam. Bei Kontakt per E-Mail besteht m.E. eine bessere Chance, Spam zu blocken, sei es durch DNS Blocklisten oder per Spamerkennung. Bei Kontaktformularen ist man auf Captchas angewiesen, die zudem Spam durch echte Menschen niemals verhindern können.