SPAM Abwehr - Ist markocupic/contao-altcha-antispam noch eine aktuelle Waffe?

[Brubbel]

Hallo zusammen,
wir haben auf einer Contao 4.13 Seite erhebliche "Probleme" mit SPAM aus einem Kontaktformular. Die Bordmittel mit der Sicherheitsabfrage sind eingesetzt, reduzieren das Aufkommen aber nur unwesentlich. Auf der Suche nach weiteren Möglichkeiten sind wir auf diese Erweiterung gestossen, da sie den Einsatz von ALTCHA ermöglicht. reCaptcha funktioniert sehr gut aber scheidet aus DSGVO Gründen bei uns aus.

Installation etc war kein Problem aber so richtig das Problem lösen tut die Erweiterung (bisher) noch nicht.

Mir fällt jetzt auf, dass die Erweiterung schon etwas länger nicht aktualisiert wurde. Die in der Erweiterung liegende lokale Version der public/altcha/js/altcha.js, liegt im ALTCHA Projekt in einer aktuellen Version vor. Ich hatte die mal ausgetauscht und "gefühlt" ist es weniger geworden aber nicht wie erwartet.

Ich frage mich nun, ob dass "einfach" nur noch Einstellungsfehler von mir sind oder ob die Erweiterungn in der vorliegenden Form evtl. nicht mehr für aktuelle Situationen verwendet werden kann?

Was denkt ihr? Welche aktuellen Ansätze sind bei euch unter Contao 4.13 erfolgreich?
Danke schon mal vorab!

[Spooky]

ALTCHA ist ein PoW Schutz - und wenn es den Spammern egal ist wieviel CPU Ressourcen sie verbrauchen, dann hilft das nicht. Es kann auch sein, dass es eine Weile dauert, bis dass die Spam Bots von der jeweiligen Website abspringen, nachdem ALTCHA eingebunden wurde.

[Stranger]

Man sollte vielleicht dazu erwähnen welche exakte Contao Version man hat?
Mir scheint, dass sich das Thema von Februar 2024 wiederholt.

Ich gehe stark davon aus, dass der Spam-Schutz von Contao wieder geknackt wurde.
Wir haben mehrere Instanzen mit aktueller Contao 4.13.56

Da kommen seit 28. Oktober konsequent 2 bis 4 Spam-Nachrichten pro Tag rein über das Kontaktformular. Das hält sich noch relativ in Grenzen, aber ist sicherlich nur eine Frage der Zeit bis das deutlich schlimmer wird.

Altes Thema dazu Siehe hier: https://community.contao.org/de/show...chutz-geknackt

Gibts noch weitere Betroffene davon bzw. ist das bei Contao 5 auch ein Thema oder ist die Umsetzung bzw. der Schutz da anders programmiert?

[lbableck]

Wurde letzte Woche tatsächlich auch bei einer 5.3.40 mit dem Standard-Spamschutz vom Kunden darauf aufmerksam gemacht, dass Spam durchkommt. Die Installation hat dann Altcha gekriegt, seitdem nichts mehr.
Ansonsten hatte ich das bis jetzt nur mit Installationen (alle auf 5.3) die RSAS verwendet hatten, mit dem Standard-Spamschutz wars dann immer weg, daher hatte ich das einfach auf RSAS geschoben.
Schon etwas auffällig, die Spam-Anfragen sind auch immer recht ähnlich, genauer hatte ich mir das aber auch noch nicht angesehen…

[lbableck]

Muss mich leider korrigieren, der Kunde hat auch mit Altcha weiterhin mehrere Spam-Anfragen erhalten. :/ Werde mich also mal noch näher damit befassen müssen.

[Samson1964]

Gibts noch weitere Betroffene davon bzw. ist das bei Contao 5 auch ein Thema oder ist die Umsetzung bzw. der Schutz da anders programmiert?

Contao 4.13.56. Seit einigen Wochen ca. 3-10 Spampostings täglich über Formulare. Die Postings ähneln sich je nach Formular und kommen von mitunter sehr unterschiedlichen IP-Adressen. Beispiel-Posting:

Code:

Datum: 04.11.2025 12:13
Ihr Vorname: yMesPMHpxRxHAsdTC
Ihr Nachname: qpWlWSnOSdnRRgZD
Ihre E-Mailadresse: quvewowaxef394@gmail.com
Ihr Betreff: xCwMtKUoPSwNkzQAIGmUc
Ihre Nachricht: eshQVkOioOjaDsTnAFr

[Brubbel]

ALTCHA ist ein PoW Schutz - und wenn es den Spammern egal ist wieviel CPU Ressourcen sie verbrauchen, dann hilft das nicht. Es kann auch sein, dass es eine Weile dauert, bis dass die Spam Bots von der jeweiligen Website abspringen, nachdem ALTCHA eingebunden wurde.

Danke Dir, Spooky, leider kann ich das nicht wirklich beobachten. Es ist über die Woche weniger geworden (~2-3} aber über das Wochenende kamen wieder 14 ... Das scheint Deinen Hinweis auf den CPU Verbrauch zu stützen :-(

Ich hatte eine kleine Messung eingebaut, die die Zeit vom Aufruf des Forms bis zum Versenden prüft. Die Bots scheinen echt schlauer geworden zu sein ... Die warten (fast) alle "realistische" Eingabezeiten ab

Scheint momentan aber auch wirklich zugenommen zu haben. Auch 2 andere Seiten melden erhöhtes Aufkommen (alles 4.13.56er)

[Spooky]

Wir haben dieselbe Art von Spam mittlerweile auch bei ein paar Kunden festgestellt.

[do_while]

Bei mehrseitigen Formularen (z.B. mit mp_forms) habe ich noch keinen Spam beobachtet oder gemeldet bekommen. Da ist es den Bots vielleicht zu umständlich, bis zum Ende durch zu klicken.

[Stranger]

Ich hab jetzt bei 2 Projekten zum Test die Altcha Erweiterung installiert.

Bei der einen Seite habe ich im Feld "Maximale Iterationen" 100.000 eingetragen. Danach war dann Ruhe.

Bei der anderen Seite hatte ich zunächst das gleiche eingetragen und es kamen noch einzelne durch. Daraufhin habe ich dann noch die normale Sicherheitsfrage aktiviert, das hat auch nicht gereicht.
Anschließend die Iterationen auf 10.000 gestellt, da bin ich dann aber selbst nicht mehr durchs Formular gekommen.
Im Endeffekt dann auf 20.000 gestellt und nun scheint auch hier Ruhe zu sein.

- - - - - - - - - - - - - - - - - - - - - - - -

Update 11.11. 10:36:
Zu früh gefreut, gestern gabs bei der zweiten Seite mit 20.000 Iterationen schon wieder 2 Nachrichten.

Auffällig ist, dass das wirklich immer zufällige Aneinanderreihungen von Klein- und Großbuchstaben sind und als Mail-Adresse wird immer (zumindest was ich gesehen habe) eine @gmail.com Adresse verwendet.

Die KI sagt:

Seit Ende Oktober 2025 (das deckt sich mit deinen Beobachtungen) wurde auf mehreren Botnetz-Foren eine neue Form-Spam-Kampagne dokumentiert, die:

• automatisiert Contao-, Joomla- und WordPress-Formulare ansteuert,
• Headless Chrome / Playwright nutzt,
• und JavaScript-basierte CAPTCHAs wie Altcha oder hCaptcha korrekt löst,
• aber keinen Text-Spam oder Links enthält — es geht eher um Systemauslastung und Testläufe.

Die Idee ist also nicht, Werbung zu posten, sondern Spam-Erkennungssysteme auszutesten.

Das erklärt auch, warum du „zufällige Zeichen“ bekommst, aber teils sinnvolle Checkboxen aktiviert sind.

Das sieht also danach aus als ob das alles ein Test ist. Vermutlich wollen die testen wer sich wehrt und wer nicht. Wer sich nicht wehrt und Maßnahmen ergreift, wird dann wahrscheinlich demnächst richtig mit Spam bombardiert oder anderweitig gehackt.

Ein Kunde (B2B) fragte darüber hinaus, ob man Anfragen verbieten kann bei denen eine @gmail.com Adresse verwendet wird? Das kann man natürlich mit nem Hook programmieren, aber das ist wahrscheinlich zu speziell, um es als Feature direkt in Contao aufzunehmen.

Die KI schlägt u.a. vor die Ausfüllzeit des Formulars zu vergrößern, Honeypot einsetzen (also ggf. zusätzlicher Einsatz von Rocksolid AntiSpam?), Textmusterkernnung und IPs zu begrenzen bzw. einzuschränken.

Am einfachsten erscheint mir das hier:
"Wenn z. B. 5 + Pflichtfelder nur aus >= 15 zufälligen Buchstaben bestehen, ablehnen."

"Wenn du Zugriff auf Access Logs hast, kannst du wiederkehrende IPs identifizieren."

Schlussfolgerung: Die aktuelle Spamwelle könnte durch eine relativ einfache Prüfung auf Zufallszeichen verhindert werden. Kann man darüber hinaus nicht in Contao eine Funktion programmieren, die das Ausfüllen des Formulars aus bestimmten Ländern verbietet oder kann man das schlecht verifizieren? Oder Whitelist, so dass man im Contao Formular oder per config.yml festlegen kann, dass bspw. nur noch Anfragen aus DE, AT und CH möglich sind?

Update 12.11. 01:30:
Heute kamen wieder 2 Mails rein. Die verwenden jetzt auch andere komische .com und .org Mail-Adressen, die nichts mehr mit Google zu tun haben. Damit hat sich das Thema definitiv erledigt, dass man Google Mail-Adressen aussperrt.

[Brubbel]

Bei uns hat die SPAM-Welle kein klares Muster. Die Adressen sind vielfältig und die ausgefüllten Felder auch. Man selbst sieht zwar auf den ersten Blick, dass das Müll ist aber die bisherigen Abwehrmechanismen habne es nicht abfangen können .

Ich hatte letzte Woche dann eine Art Wrapper erstellt, der, zusätzlich zu ALTCHA, die Formulareingaben vor dem Absenden prüft.

Ich habe eine minimale und eine maximale Ausfüllzeit zum Einstellen verwendet. Das ist aber weniger Wirkungsvoll als gedacht, weil die schlauen Biester die Zeiten tatsächlich variieren... Aber ein paar werden ausgefischt.

Dann habe ich zusätzlich noch freie Honeypot-Felder, die man in beliebiger Anzahl verwenden kann. Und auch verschiedene Typen. Text, Textarea und Checkbox.
Damit habe ich schon einige mehr rausgefischt. Aber nicht alle. Kamen immer noch einige durch.

Dann habe ich zusätzlich einen JS-Token erstellen lassen, den einfache Bots vielleicht nicht erzeugen können. Und siehe da, nun ist seit Montag Ruhe... Ich habe rel. ausführliche Logs die mir zeigen warum eine Nachricht verhindert wird und es ist tatsächlich der JS-Token, der es gebracht hat und die meisten Ablehnungsgründe erzeugt.

Ich versuche mal ob ich es hinbekomme, dass als Erweiterung ins Repository zu stellen.

[anx]

Hallo,

Ein Kunde von mir hat heute auch Spam übers Kontaktformular gemeldet -
er hat allerdings die aktuelle 5.3 Version von Contao!

Danke allen, die sich darüber Gedanken machen ...
Anx

[zoglo]

Ich denke, dass sich Kunden langfristig daran gewöhnen müssen, dass Spam durchkommt. Mit neuen Abwehrmethoden wird man hier auf Dauer und zu Zeiten von KI nicht weiterkommen.

[Stranger]

Naja, Aufgeben ist ja keine Lösung. Man kann einfach KI gegen KI einsetzen. Das Spiel geht immer weiter
Auf Dauer hält sicherlich keine Methode, da hast du schon Recht, aber da muss man dann eben immer wieder nachjustieren.

Kommt jetzt eigentlich noch was für den Contao Core 4.13 oder müssen wir jetzt den Kunden sagen, dass das Thema von der LTS nicht abgedeckt wird, da es kein direktes Sicherheitsthema ist?
Ist nicht böse gemeint. Ich frage nur ganz offen, damit wir Planungssicherheit haben und uns ggf. um andere Lösungsmöglichkeiten kümmern können/müssen.

[Spooky]

Kommt jetzt eigentlich noch was für den Contao Core 4.13

Contao 4.13 ist Security Only, das bekommt schon lange keine Bugfixes mehr.

[Stranger]

Contao 4.13 ist Security Only, das bekommt schon lange keine Bugfixes mehr.

Das weiß ich, daher hab ich mich ja genau so artikuliert wie ich es getan habe
Ist in meinen Augen aber kein Bug, sondern schon sicherheitsrelevant. Aber das ist sicherlich Interpretationssache.

[Spooky]

Ist in meinen Augen aber kein Bug, sondern schon sicherheitsrelevant.

In welcher Hinsicht?

[zoglo]

Das weiß ich, daher hab ich mich ja genau so artikuliert wie ich es getan habe
Ist in meinen Augen aber kein Bug, sondern schon sicherheitsrelevant. Aber das ist sicherlich Interpretationssache.

Keine Interpretationssache, das wäre ein Layer 8 Problem, die Sicherheitslücke sitzt vor dem Computer.

Über vermehrte E-Mails können sich Scammer und Spam-E-Mail-Verschicker keinen direkten Zugriff zum System erschleichen.

Spam kommt überall vor, nicht nur durch Kontaktformulare.
Hiermit wäre das Sicherheitsrisiko also die ungeschulte Person im Unternehmen, nicht das CMS, welches ein durch KI ausgefülltes Kontaktformular nicht verhindern konnte.

Das BSI stellt Leitlinien zur Informationssicherheit dar, welche jedes Unternehmen implementieren kann:
https://www.bsi.bund.de/DE/Themen/Un...hutz_node.html
https://www.bsi.bund.de/DE/Themen/Un...2_08_node.html

Es informiert auch über Risiken:
https://www.bsi.bund.de/DE/Themen/Un...ness_node.html

Der AG oder Verantwortliche sollte seine Mitarbeiter schulen.

Dasselbe Thema hatte man mit Contao 4.9 und 4.13, als 4.9 schon lange keine Bugfixes mehr erhielt, die 4.13 aber ein verstärktes Captcha als Bugfix erhalten hatte.
Hier entstand aus Langeweile auch nur ein inoffizieller Patch von einem "damals-nur-" Contributor für eine 4.9, welche schon aus dem Security-Support raus war:
https://github.com/zoglo/contao-captcha

Daher sagst du deinen Kunden:
- 4.13 ist veraltet und erhält nur noch Security-Patches bis Februar '26
- Neue Features wie Captcha-Verbesserungen fließen nur in neue Versionen ein
- Wenn Kunde Altcha verwenden will, dann das Plugin von Markocupic oder auf eine neuere Version (die nicht LTS ist) setzen, Altcha gibt es seit Contao 5.4

Wie du es deinen Kunden verkaufst, das weißt du als Marketing und Internet-Agentur besser.