Spam trotz Sicherheitsfrage

**thesweetg** · 06.02.2024, 10:03

Hallo,

ich hab bei diesem Formular hier eine Sicherheitsfrage eingebaut:
https://www.consulting-company.at/kontakt

... dennoch kommen seit gestern plötzlich viele Spam-Mails über das Formular rein.
Wurde da die Sicherheitsfrage von einem Spam-Bot geknackt?

Habt ihr vielleicht Tips was ich da machen kann?

Danke!

**Spooky** · 06.02.2024, 10:17

Aufgrund aktueller Sicherheitslücken solltest du dringend auf Contao 4.13 aktualisieren.

**thesweetg** · 06.02.2024, 10:18

Ok, danke, dann probier ich das mal

**derRenner** · 06.02.2024, 10:21

Hat wohl nichts mit der 4.13.x zu tun ...
Auch hier in der CAS-Installation das gleiche Verhalten seit gestern. Wir haben jetzt mal das Kontaktformular ausgeblendet und es wird die Installation "untersucht".

***lucina*** · 06.02.2024, 10:54

Hatten wir neulich auch mal - wir haben dann a) der entsprechenden Formularseite einen neues Alias gegeben und b) eine Weiterleitung für den bisherigen Alias angelegt, von der aus sich die Spammer automatisch bei Spamhaus eintragen.

Seitdem ist erstmal Ruhe.

**derRenner** · 06.02.2024, 11:57

guter Tipp @lucina - Danke

**Contao-Academy** · 06.02.2024, 15:01

Ich habe hier bei einer meiner Installationen mit Contao 4.13 leider das gleiche Problem :-(

**swinde** · 07.02.2024, 08:47

Hallo, ich habe in einer Contao 4.13 (aktuellste Version) Webseite auch das Problem. Es betrifft das Kontakt und Registrierung Formular. Die Angreifer können sich einen Account anlegen, bleiben aber an der 2 Wege Aktivierung hängen, da die Mailadressen gefakt sind.
Ich habe mal das access.log angeschaut. Es gibt einen Aufruf der Seite mit dem Formular und das -->

Code:

"GET /_contao/captcha/de HTTP/1.0" 200 124  "https://www.example.com/xxx.html" "Mozilla/5.0 (Windows NT 10.0)  AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36"

Wenn ich den Link im Browser aufrufe bekomme ich die Rechenaufgabe ausgegeben! Sollte das so einfach sein?
Dann geht die Anfrage weiter durch, bis zur Dankeseite.

Ich hab die betroffen indexe der Seiten, wie von @lucina empfohlen, umbenannt. Nur die Weiterleitung zu Spamhaus verstehe ich nicht!

Viele Grüße
Steffen

PS: Die Abfrage des Captcha's über die Browserzeile geht in jeder beliebigen Contao Installation.

***lucina*** · 07.02.2024, 10:25

Zitat von swinde

Ich hab die betroffen indexe der Seiten, wie von @lucina empfohlen, umbenannt. Nur die Weiterleitung zu Spamhaus verstehe ich nicht!

Siehe https://submit.spamhaus.org/resource...on-via-the-api

**intradesign** · 07.02.2024, 11:02

Hallo zusammen,

quasi von heute auf morgen gehen (seit vorgestern) bei etlichen Contao-Websites über verschiedene Formular (Kontekt, Bewerbung ...) trotz aktivierter Sicherheitsfrage etliche Spam-Mails ein. Ich habe gestern entsprechende Meldungn von 6 Kunden erhalten und habe bei weiteren Websites nachgeschaut. Die Websites sind alle auf aktuellem Stand, sowohl Contao 4.9 also auch 4.13.

Bei einzelnen Websites hatte ich das schon mal, aber diese Häufung ist seltsam. Gibt es hier eine Sicherheitslück?
Ist die Sicherheitsfrage noch wirkungsvoll?

Habt ihr ähnliche Erfahrungen gemacht?

Danke und viele Grüße
Timo

**Kommunalo** · 07.02.2024, 11:30

Seit 2 Tagen habe ich das gleiche Problem. Über das Kontaktformular kommen Spamnachrichten. Ich nutze die aktuelle Contao LTS-Version 4.13. Mit dieser Anleitung

https://community.contao.org/de/show...l=1#post529806

habe ich versucht, die Spammer auszusperren. Das hat jedoch leider nicht funktioniert. Ich hoffe, dass eine Lösung gefunden werden kann.

Thomas

**av3nger** · 07.02.2024, 12:05

Zitat von derRenner

Hat wohl nichts mit der 4.13.x zu tun ...
Auch hier in der CAS-Installation das gleiche Verhalten seit gestern. Wir haben jetzt mal das Kontaktformular ausgeblendet und es wird die Installation "untersucht".

So bin ich auch erst mal bei einem Kunden, der stärker betroffen war, vorgegangen. Auch ich hab die Beobachtung gemacht, dass seit zwei Tagen der Spam-Schutz erfolgreich umgangen wird und viel Spam über das Kontaktformular kommt.

**mario-postyou** · 07.02.2024, 12:13

@lucina: Würdest du das Script für Spamhaus teilen? Wurde es über einen der Form Hooks gelöst?

**thesweetg** · 07.02.2024, 12:39

Auch bei mir hat das Update nichts gebracht und die Spam-Nachrichten kommen nach wie vor rein.
Auch eine Änderung des Seitenalias der Kontaktseite hat nichts gebracht.

Gibt es keine einfache Lösung diese Spamer auszusperren?

**neelix** · 07.02.2024, 15:51

Zitat von swinde

Hallo, ich habe in einer Contao 4.13 (aktuellste Version) Webseite auch das Problem. Es betrifft das Kontakt und Registrierung Formular. Die Angreifer können sich einen Account anlegen, bleiben aber an der 2 Wege Aktivierung hängen, da die Mailadressen gefakt sind.
Ich habe mal das access.log angeschaut. Es gibt einen Aufruf der Seite mit dem Formular und das -->

Code:

"GET /_contao/captcha/de HTTP/1.0" 200 124  "https://www.example.com/xxx.html" "Mozilla/5.0 (Windows NT 10.0)  AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36"

Wenn ich den Link im Browser aufrufe bekomme ich die Rechenaufgabe ausgegeben! Sollte das so einfach sein?
Dann geht die Anfrage weiter durch, bis zur Dankeseite.

Ich hab die betroffen indexe der Seiten, wie von @lucina empfohlen, umbenannt. Nur die Weiterleitung zu Spamhaus verstehe ich nicht!

Viele Grüße
Steffen

PS: Die Abfrage des Captcha's über die Browserzeile geht in jeder beliebigen Contao Installation.

Was meinst Du mit "Dann geht die Anfrage weiter durch, bis zur Dankeseite." ? Der Endpunkt liefert eine Aufgabe inkl. Lösung und einen Hash dazu. Ein JavaScript fragt diese Daten ab und trägt sie in das versteckte Feld für den Spamschutz ein.

**swinde** · 07.02.2024, 16:10

In meinem Fall wird ein Kontaktformular benutzt, um Spam zu versenden. Dabei wird scheinbar auch das Captchafeld richtig ausgefüllt, da anschließend das Formular versendet wird und die

Weiterleitungsseite aufgerufen wird.

Entweder sitzt da eine reale Person und füllt das Formular aus oder der Bot benutzt den Captchalink um die Rechenaufgabe zu lösen.

PS: Das Formular ist in der Impressum Seite.

Hier der Logauszug:

**neelix** · 07.02.2024, 16:39

Also ich würde fast vermuten, dass da jemand sitzt und das Formular ausfüllt.

Es bringt nichts den Endpunkt manuell aufzurufen. Jeder Aufruf liefert eine neue Aufgabe mit einen neuen Hashwert.

**neelix** · 07.02.2024, 21:18

Auf einer Seite habe ich jetzt auch eine Mail erhalten, die über ein Kontaktformular ausgelöst wurde.
Das ist auch schön im Contao System-Log erfasst.

**intradesign** · 07.02.2024, 21:22

Zitat von neelix

Also ich würde fast vermuten, dass da jemand sitzt und das Formular ausfüllt.

Es bringt nichts den Endpunkt manuell aufzurufen. Jeder Aufruf liefert eine neue Aufgabe mit einen neuen Hashwert.

Bei mir sind noch mehr Kunden-Websites betroffen, 4.9 und 4.13. Die Log-Einträge kann ich nachvollziehen. Gibt es dazu ein Ticket?

Gesendet von iPhone mit Tapatalk

**neelix** · 07.02.2024, 21:28

ich sehe keins.

**thesweetg** · 08.02.2024, 07:25

Ich konnte jetzt mit:
https://packagist.org/packages/madey...solid-antispam
... die Spam-Flut stoppen.
(Hab es zusätzlich zur Contao-Sicherheitsfrage eingebaut.)

Hoffe es kommt tatsächlich nichts mehr – bis jetzt schauts gut aus.

**Kommunalo** · 08.02.2024, 07:57

Zitat von thesweetg

Ich konnte jetzt mit:
https://packagist.org/packages/madey...solid-antispam
... die Spam-Flut stoppen.

Diese Erweiterung ist meines Wissens nach bereits im Contao-Core integriert, kann den Spam über Formulare aber offenbar nicht mehr vollständig verhindern. Macht es Sinn, sie zusätzlich zu installieren?

**zonky** · 08.02.2024, 08:45

Zitat von Kommunalo

Diese Erweiterung ist meines Wissens nach bereits im Contao-Core integriert, kann den Spam über Formulare aber offenbar nicht mehr vollständig verhindern. Macht es Sinn, sie zusätzlich zu installieren?

so hatte ich das damals auch verstanden, dass der Honeypot von RST im Core eingebaut wurde

Ich habe inzwischen auch einige Seiten, wo das (Kontakt)Formular seit einigen Tagen be-spammt wird

Contao 4.13

**swinde** · 08.02.2024, 08:53

Moin, macht es evtl Sinn dieses Modul https://packagist.org/packages/toteph42/spambot zu benutzen, um die Spammer abzuwehren? Hier kann man zum Beispiel mit verschiedensten Blacklisten IP Adressen abfangen.
Ich bin mir aber nicht sicher, ob das sich auf die Benutzung des Kontaktformulars auswirkt!

**intradesign** · 08.02.2024, 09:26

Bei mir werden es immer mehr. Selbst Websites, bei denen sonst nur selten das Formular ausgefüllt wurde, senden jetzt Spam. Quasi alle Websites, die ein Kontaktformular haben.

Ich habe heute Nacht mal ein Ticket (Security Vulnerability) bei Github eingereicht.

https://github.com/contao/contao/sec...p43f-5mf5-rgxr

**neelix** · 08.02.2024, 09:27

Wichtig ist vorallem, dass das Formular keine Mail an andere Leute als einen selbst schickt, damit man nicht zur Spamschleuder wird.

**neelix** · 08.02.2024, 09:30

Kannst Du aus den Logs mal alle Einträge filtern, die zu so einen Spamrequest gehören. Also alle Aktionen, die von dieser IP erfasst werden.

**swinde** · 08.02.2024, 09:37

Zitat von neelix

Kannst Du aus den Logs mal alle Einträge filtern, die zu so einen Spamrequest gehören. Also alle Aktionen, die von dieser IP erfasst werden.

Siehe meinem Post #16 ist Log einer Anfrage drin. log.txt

**neelix** · 08.02.2024, 09:40

Das ist ja aber nicht alles. Da müsste noch JavaScript, CSS und Bilder dabei sein.
Mich interessiert u.a. der zeitliche Ablauf.

**neelix** · 08.02.2024, 09:50

Welchen Inhalt haben die Mails, in der Mail, die ich bekommen habe steht nur ein Zeile:

Invest today and become the next millionaire http://go.se*baiz.com/0m8r

**zonky** · 08.02.2024, 09:51

Zitat von intradesign

Ich habe heute Nacht mal ein Ticket (Security Vulnerability) bei Github eingereicht.

https://github.com/contao/contao/sec...p43f-5mf5-rgxr

=> bei mir 404

**neelix** · 08.02.2024, 09:52

Zitat von zonky

=> bei mir 404

Ja, weil diese Issues vertraulich sind.

**Spooky** · 08.02.2024, 09:53

Zitat von intradesign

Ich habe heute Nacht mal ein Ticket (Security Vulnerability) bei Github eingereicht.

Warum genau als Security Vulnerability?

**swinde** · 08.02.2024, 10:02

Zitat von neelix

Welchen Inhalt haben die Mails, in der Mail, die ich bekommen habe steht nur ein Zeile:

Nachricht:: CUTE LITTLE GIRLS

==> s.yjm.pl/6N2Y <==

==> s.yjm.pl/6N2Y <==

oder vom 7.2. was auf Russisch

Nachricht:: ????????? ?????? ??????? ??????? ?????? ???? ?? ???? ????????, ????? ??? ?????????, ??????? ?? ????? ??????. ????? ???????? ??????????? ????? ?? 30 000 ?????? ? ???????????????? ??????? ?????? ?? ???, ??? ?????? ???????????? ???????????? ???????, ???????? ?? ????????? ??????? ???????.

DZEN Spavkin - <a href=https://dzen.ru/a/Zb7Q8cFB0iWI-Pd3>????? ???? ??????</a>

**swinde** · 08.02.2024, 10:03

Zitat von neelix

Das ist ja aber nicht alles. Da müsste noch JavaScript, CSS und Bilder dabei sein.
Mich interessiert u.a. der zeitliche Ablauf.

Mehr war da nicht für die IP.

**intradesign** · 08.02.2024, 11:44

Zitat von Spooky

Warum genau als Security Vulnerability?

Ich habe ChatGPT gefragt, ob es sich dabei um einen einfachen Issue oder eine Security Vulnerability handelt.

ChatGPT sagte Security Vulnerability mit Level hight und begründete, dass das damit, dass gefährliche Mails versendet werden können, insbesondere wenn das Formular zusätzlich zum Website-Betreiber an eine in ein Formularfeld eingetragene Mailadresse gesendet wird, z.B. Bestätigungsmails, in denen auch der eingegebne Text enthalten ist. Dann kann das Formular für Spam-Versand verwendet werden.

Ich kann es auch nochmal als normalen Issue eintragen.

**Spooky** · 08.02.2024, 11:55

Zitat von intradesign

insbesondere wenn das Formular zusätzlich zum Website-Betreiber an eine in ein Formularfeld eingetragene Mailadresse gesendet wird, z.B. Bestätigungsmails, in denen auch der eingegebne Text enthalten ist. Dann kann das Formular für Spam-Versand verwendet werden.

Das ist nur möglich mit der cc Funktion, wenn du diese aktiviert hast. Und wenn du das aktiviert hast, dann kannst du das Formular immer für Spam nutzen - unabhängig von der aktuellen Thematik.

**neelix** · 08.02.2024, 13:14

Zitat von Spooky

Das ist nur möglich mit der cc Funktion, wenn du diese aktiviert hast. Und wenn du das aktiviert hast, dann kannst du das Formular immer für Spam nutzen - unabhängig von der aktuellen Thematik.

Deswegen hier: https://community.contao.org/de/show...l=1#post580526

**swinde** · 08.02.2024, 13:27

Für mich stellt sich das so dar,
Aufruf Webseite mit Kontaktformular
--> Auslesen des Hashs auf der _contao/captcha/de Seite
--> Aufruf Kontaktformular Hash + Text eintragen und Absenden.

Ich habe jetzt mal RockSolid AntiSpam installiert und das Feld ausgetauscht.
Mal sehen was passiert.

**ausi** · 08.02.2024, 13:45

Zitat von intradesign

Ich habe ChatGPT gefragt, ob es sich dabei um einen einfachen Issue oder eine Security Vulnerability handelt.

Bitte niemals solchen Antworten vertrauen. OpenAI selbst weist darauf auch ganz explizit in deren Terms of Use hin: „You should not rely on Output from our Services as a sole source of truth or factual information“.

Zudem hättest du unbedingt im Security Issue erwähnen müssen, dass die Einstufung als sicherheitsrelevant durch ChatGTP passiert ist. „Sicherheitsreports“ von ChatGTP werden immer mehr zum Problem im Open Source Bereich.

Thema: Spam trotz Sicherheitsfrage

Themen-Optionen

Thema durchsuchen

Spam trotz Sicherheitsfrage

Aktive Benutzer

Aktive Benutzer

Lesezeichen

Lesezeichen

Berechtigungen

Contao

Empfohlene Webdesign-Bücher