SPAM Abwehr - Ist markocupic/contao-altcha-antispam noch eine aktuelle Waffe?

[Brubbel]

Hallo zusammen,
wir haben auf einer Contao 4.13 Seite erhebliche "Probleme" mit SPAM aus einem Kontaktformular. Die Bordmittel mit der Sicherheitsabfrage sind eingesetzt, reduzieren das Aufkommen aber nur unwesentlich. Auf der Suche nach weiteren Möglichkeiten sind wir auf diese Erweiterung gestossen, da sie den Einsatz von ALTCHA ermöglicht. reCaptcha funktioniert sehr gut aber scheidet aus DSGVO Gründen bei uns aus.

Installation etc war kein Problem aber so richtig das Problem lösen tut die Erweiterung (bisher) noch nicht.

Mir fällt jetzt auf, dass die Erweiterung schon etwas länger nicht aktualisiert wurde. Die in der Erweiterung liegende lokale Version der public/altcha/js/altcha.js, liegt im ALTCHA Projekt in einer aktuellen Version vor. Ich hatte die mal ausgetauscht und "gefühlt" ist es weniger geworden aber nicht wie erwartet.

Ich frage mich nun, ob dass "einfach" nur noch Einstellungsfehler von mir sind oder ob die Erweiterungn in der vorliegenden Form evtl. nicht mehr für aktuelle Situationen verwendet werden kann?

Was denkt ihr? Welche aktuellen Ansätze sind bei euch unter Contao 4.13 erfolgreich?
Danke schon mal vorab!

[Spooky]

ALTCHA ist ein PoW Schutz - und wenn es den Spammern egal ist wieviel CPU Ressourcen sie verbrauchen, dann hilft das nicht. Es kann auch sein, dass es eine Weile dauert, bis dass die Spam Bots von der jeweiligen Website abspringen, nachdem ALTCHA eingebunden wurde.

[Stranger]

Man sollte vielleicht dazu erwähnen welche exakte Contao Version man hat?
Mir scheint, dass sich das Thema von Februar 2024 wiederholt.

Ich gehe stark davon aus, dass der Spam-Schutz von Contao wieder geknackt wurde.
Wir haben mehrere Instanzen mit aktueller Contao 4.13.56

Da kommen seit 28. Oktober konsequent 2 bis 4 Spam-Nachrichten pro Tag rein über das Kontaktformular. Das hält sich noch relativ in Grenzen, aber ist sicherlich nur eine Frage der Zeit bis das deutlich schlimmer wird.

Altes Thema dazu Siehe hier: https://community.contao.org/de/show...chutz-geknackt

Gibts noch weitere Betroffene davon bzw. ist das bei Contao 5 auch ein Thema oder ist die Umsetzung bzw. der Schutz da anders programmiert?

[lbableck]

Wurde letzte Woche tatsächlich auch bei einer 5.3.40 mit dem Standard-Spamschutz vom Kunden darauf aufmerksam gemacht, dass Spam durchkommt. Die Installation hat dann Altcha gekriegt, seitdem nichts mehr.
Ansonsten hatte ich das bis jetzt nur mit Installationen (alle auf 5.3) die RSAS verwendet hatten, mit dem Standard-Spamschutz wars dann immer weg, daher hatte ich das einfach auf RSAS geschoben.
Schon etwas auffällig, die Spam-Anfragen sind auch immer recht ähnlich, genauer hatte ich mir das aber auch noch nicht angesehen…

[lbableck]

Muss mich leider korrigieren, der Kunde hat auch mit Altcha weiterhin mehrere Spam-Anfragen erhalten. :/ Werde mich also mal noch näher damit befassen müssen.

[Samson1964]

Gibts noch weitere Betroffene davon bzw. ist das bei Contao 5 auch ein Thema oder ist die Umsetzung bzw. der Schutz da anders programmiert?

Contao 4.13.56. Seit einigen Wochen ca. 3-10 Spampostings täglich über Formulare. Die Postings ähneln sich je nach Formular und kommen von mitunter sehr unterschiedlichen IP-Adressen. Beispiel-Posting:

Code:

Datum: 04.11.2025 12:13
Ihr Vorname: yMesPMHpxRxHAsdTC
Ihr Nachname: qpWlWSnOSdnRRgZD
Ihre E-Mailadresse: quvewowaxef394@gmail.com
Ihr Betreff: xCwMtKUoPSwNkzQAIGmUc
Ihre Nachricht: eshQVkOioOjaDsTnAFr

[Brubbel]

ALTCHA ist ein PoW Schutz - und wenn es den Spammern egal ist wieviel CPU Ressourcen sie verbrauchen, dann hilft das nicht. Es kann auch sein, dass es eine Weile dauert, bis dass die Spam Bots von der jeweiligen Website abspringen, nachdem ALTCHA eingebunden wurde.

Danke Dir, Spooky, leider kann ich das nicht wirklich beobachten. Es ist über die Woche weniger geworden (~2-3} aber über das Wochenende kamen wieder 14 ... Das scheint Deinen Hinweis auf den CPU Verbrauch zu stützen :-(

Ich hatte eine kleine Messung eingebaut, die die Zeit vom Aufruf des Forms bis zum Versenden prüft. Die Bots scheinen echt schlauer geworden zu sein ... Die warten (fast) alle "realistische" Eingabezeiten ab

Scheint momentan aber auch wirklich zugenommen zu haben. Auch 2 andere Seiten melden erhöhtes Aufkommen (alles 4.13.56er)

[Spooky]

Wir haben dieselbe Art von Spam mittlerweile auch bei ein paar Kunden festgestellt.

[do_while]

Bei mehrseitigen Formularen (z.B. mit mp_forms) habe ich noch keinen Spam beobachtet oder gemeldet bekommen. Da ist es den Bots vielleicht zu umständlich, bis zum Ende durch zu klicken.