Hackversuch auf Datenbank? [GELÖST > SPAM-Attacke]

**TobiasAlke** · 05.03.2016, 06:56

Hallo zusammen,

ich bin im Moment etwas über eine erhaltene Nachricht irritiert, die wir über unser Kontaktformular erhalten haben:

Code:

Ihr Name: deliv etechc
Ihre E-Mail: izabelle_salwasser48@rambler .ru
Ihre Telefonnummer: 123456
Ihre Nachricht: Expired Delivery Retry Notification  http://www. www. kyborg-institut.com  8iBNjw2ddXeWLu

Wenn ich im Netz recherchiere, kommt immer diese Aussage in Verbindung mit unterschiedlichsten Seiten:

8ibnjw2ddxewlu sale database of sites all over the world

Eingabeschutz ist aktiviert für alle Felder. Das Feld "Ihre Nachricht" mit dem Schutz: "erweiterte alphanumerische Zeichen"

War das ein Angriffsversuch auf unsere Datenbank?

Ergänzung:
Unsere Seite ist zudem nur noch über SSL/TLS aufrufbar, der http Link kann in dem Sinne nicht funktionieren.

**the_scrat** · 05.03.2016, 07:54

Das ist ne stinknormale Spamnachricht, die über das Kontaktformular abgeschickt wurde.

"erweiterte alphanumerische Zeichen" ist übrigens kein Schutz, sondern mehr eine Regel. Ein Angriff auf deine Datenbank ist das nicht. Installier dir einen Honeypot (Rocksolid hat da was, soviel ich weiß) dann sollte damit relativ schnell schluss sein.

**M.Schwarz** · 05.03.2016, 08:21

Kleiner Tipp: Baue ein Captcha Code in das Formular ein das Hilft schon enorm.

Gesendet von iPhone mit Tapatalk

**TobiasAlke** · 05.03.2016, 09:00

Vielen Dank Euch beiden für die Tipps,

hab jetzt erst mal die Erweiterung "rocksolid-antispam" eingebunden.

Ergänzung:
Hatte bei einem Formular das Standard-Captcha von Contao vergessen (die Rechenaufgabe).
Der Fehler ist behoben.

**TobiasAlke** · 05.03.2016, 09:09

Eine Frage habe ich noch,

wieso bekomme ich eine SPAM-Nachricht mit unserer eigenen aber falsch geschriebenen Domain?
Im HTML-Code ist auch nur der falsche Link und kein anderer enthalten.

**M.Schwarz** · 05.03.2016, 09:43

Bekommst du die SPAM Nachricht über das Formular?

--
Beste Gruesse
Kind Regards

Maximilian Schwarz

**the_scrat** · 05.03.2016, 09:45

Spam Nachrichten kommen meistens über das Formular. Welche Einstellungen sind denn hinter dem Formular hinterlegt? Denn darauf hat der Absender keinen Einfluss

Gesendet von meinem iPhone mit Tapatalk

**TobiasAlke** · 05.03.2016, 09:58

Das Formular ist so eingerichtet, das uns jemand unkompliziert erreichen kann ohne sich irgendwo einloggen zu müssen.

Automatisch wird eine Kopie an ein Archivierungssystem geschickt, quasi als Dokumentation aller Systemprozesse.

Es kann immer nur eine email eingetragen werden und in Kopie nur an diese geschickt werden.

Alle Formularfelder enthalten die Eingabeprüfungen um unbeabsichtigten Zugang zur SQL-Datenbank zu verhindern.

Damit keine Befehle an diese weiter gegeben werden können ist das ja zumindest notwendig, deswegen meine Überlegung wegen Hackversuch.

Name: erweiterte alphanumerische Ziffern
email: nur email Adressen möglich
Telefonnummer: nur numerische Ziffern möglich
Nachricht: erweiterte alphanumerische Ziffern
Check-Box: Kopie an "mich" senden

P.S.: Die Formularfelder selbst werden nur als Daten in einer email weitergeleitet. Eine Abspeicherung in der Datenbank ist nicht eingerichtet und auch nicht beabsichtigt.

**M.Schwarz** · 05.03.2016, 10:03

Meine Vermutung ist das des Spam nicht über das Formular kommt. Also ich würde wirklich mal den standartmäßigen Captcha Code von Contao einbinden und dann einfach mal ein paar Tage abwarten ob noch weitere Spam Nachrichten eintreffen. Sollte das der Fall sein würde ich mal die Einstellungen der Emails prüfen.

**TobiasAlke** · 05.03.2016, 10:10

Diese email besitzt nicht einmal ein Kennwort oder eine Zugangsmöglichkeit. Es handelt sich in unserem System nur um eine Weiterleitungsadresse.
Sie kann so betrachtet auch nicht als Absender über einen email-Client verwendet werden. Nur vom Server selbst und der wird betreut von All-Inkl.com

Es wurde auch nur eine einzige solche email verschickt und die an uns und die Adresse oben im Code aus Russland.
Der Zugriff war ebenfalls aus Russland, laut gekürzter IP-Adresse, was nichts heißen muss!

**TobiasAlke** · 05.03.2016, 10:30

Also ich kann es nur als SPAM-bestätigen:

http://botscout.com/ipcheck.htm?ip=91.79.10.112

Die emails sind identisch und der Teil der IP-Adresse der nicht anonymisiert wurde stimmt mit dieser überein.

**M.Schwarz** · 05.03.2016, 10:38

Ja das ist ganz klar Spam da hast du recht. Und diese Email würde über das Formular versendet, welches auf der Homepage eingebunden ist?

**TobiasAlke** · 05.03.2016, 10:49

Soweit ich das beurteilen kann: ja

Diese Felderkombination kommt nur in einem einzigen Formular auf unserer Seite vor.
Mittlerweile um das Captcha von rocksolid ergänzt.

Datenbankzugriff ist in dem Sinne eigentlich auch nicht vorhanden, da er nicht freigeschaltet wurde und auch keine Tabellen dafür angelegt wurden.

**the_scrat** · 05.03.2016, 11:45

Spar dir den Captcha, das brauch kein Mensch, der Honeypot ist völlig ausreichend. Ein Datenbankzugriff ist über das Formular nicht möglich, selbst wenn alle Eingaben erlaubt wären!! Contao prüft die Felder selbstständig auf diverse Sachen Xss etc. Daher hat auch die erweiterte Zeichenkette keine Schutzwirkung!

Gesendet von meinem iPhone mit Tapatalk