henere
Goto Top

Spamwelle mit PHPBB

Servus zusammen,

ich bräuchte mal einen guten Tipp.

Ich betreibe unter anderem ein Forum zur xt600 (Motorrad von Yamaha). https://www.xt-foren.de/xt-phpbb/
Nun habe ich seit gestern massive Neuanmeldungen von Spammern.
Ich habe schon das Captcha auf Q&A umgestellt, aber es kommen immer neue Nutzer und neuer Spam hinzu.
Und auch das Q&A geändert, aber die kommen ratzfatz neu durch.

Hier mal als Beispiel der neueste Eintrag:

[b][url=http://xrumersale.site/]XEvil 4.0[/url][/b]: [color=red]NEW[/color] revolutional soft für jeden CAPTCHA brechen 
 
[img]http://xrumersale.site/img/botmasterlabs_xevil3_en.png[/img] 
 
1. [b]Leistungsstarke Neuronetten [/b]: XEvil OCR kann mehr als 12000 von verschiedenen Arten von Captcha brechen, 
einschließlich solcher populärer, wie Google CAPTCHAS ReCaptcha v2, v3 (nur in XEvil 4.0 Ultra!), Captcha.Com, SolveMedia, Bing-Captcha, 
Facebook-captcha und Ucoz-captcha, DLE-captcha, VBulletin-Captcha, und viele andere Arten! 
 
2. [b]Sehr hohe Geschwindigkeit und Präzision [/b]: erkennungsgeschwindigkeit 0,01 .. 0,02 Sekunden pro Bild (aber nur 1 Sekunde in der DEMO-version!), 
XEvil kann Breite Arten von captcha mit hoher Präzision umgehen und lösen, 
ohne je nach Schwierigkeit, Verzerrung, Geräusche, Schriftarten, Farben. 
 
Ausnahme ist Google ReCaptcha-2-etwa 20-30 Sekunden pro Lösung: 
auf ReCaptcha-2 müssen viele Bilder darin mit einer besonderen Verzögerung klicken. 
 
3. [b]Sehr einfache UI [/b]: nur 3 Haupttasten Erkennung zu starten, 
so ist es einfach, mit einem breiten Spektrum Programme von SEO, SMM, Analytics, 
Mass Auto-Registrierung/Posting / Senden / Bruteforcing / CryptoCurrency Mining-Programme. 
 
Du liest es-es funktioniert! ;) 
 
4. [b]Flexibel [/b]: Logik dieses mit Lua erstellten Programms, 
wenn es also benötigt wird, können Sie die Funktionalität anpassen, wie Sie möchten. 
 
Interessiert? ;) 
[i]suchen Sie Einfach in google [b]XEvil Kostenlos [/b]. 
[b]Kostenlose DEMO-version ist verfügbar![/b][/i] 
 
Vielen Dank für Ihre Aufmerksamkeit! :) 
 
[b][color=green] Website mit Kostenloser DEMO-version: [/color][/b] 
http://XEvil.net/ 
(Kostenlose DEMO-version sehr eingeschränkt in der Funktionalität!) 
 
[b][color=blue] Website mit Vollversion mit XEvil 4.0 Ultra: [/color][/b] 
http://xrumersale.site/ 
 
  
 
[url=http://gdoha.com/newthread.php?do=newthread&f=5]xevil يمكن كسر أي captcha...[/url] [url=http://www.aquamarket.ca/store/info.php?guestbook=new]XEvil can break ANY Captcha.[/url] [url=https://www.sosyalbilgilerdunyasi.com/konu-xevil-herhangi-captcha-kirabilir-1781.html]XEvil herhangi Captcha kırabilir...[/url]

Der Rotz kommt von .ru .pl und auch anderen TLDs die ich nicht alle zur Registrierung sperren kann.
Hat jemand einen guten Tipp für mich wie ich meine User davon befreie ?
Und wenn das stimmt, was die anbieten.. dann gute Nacht Foren.

Henere

Content-Key: 477987

Url: https://administrator.de/contentid/477987

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: NordicMike
Lösung NordicMike 27.07.2019 aktualisiert um 07:22:01 Uhr
Goto Top
Über Captcha lösen ist nur ein Weg herein zu kommen, es gibt aber oft auch andere Methoden, z.B. ganz ohne der Registrierungsseite. Hier musst Du zunächst analysieren und heraus finden, ob sie wirklich über Deine https://www.xt-foren.de/xt-phpbb/ucp.php?mode=register herein kommen oder einen anderen Weg gefunden haben. Das lässt sich über Logs herausfinden oder Du baust in die ucp.php noch weitere Analyseroutinen ein.

Je nach Angriffsmethode gibt es unterschiedliche Methoden zur Vermeidung.
z.B.:
1) Wenn sie das Captcha wirklich knacken, müssen sie auch Deine Frage nach den ccm richtig beantworten. Ich hoffe diese Frage wurde manuell eingebaut und keine Standardfrageroutine der Forensoftware? Baue in die ucp.php eine Logroutine ein, die falsche Registrierungsversuche mitloggt und wie die Fragen und das Captcha beantwortet wurden. Oft muss ein Angreifer diese Frage manuell lesen und die richtige Antwort in seinen Registrierungsbot einpflegen.
2) Update die Forensoftware, bekannte Lücken werden damit geschlossen. Auch Dein PHP auf die letzte für das Forum unterstützte Version.
3) Wenn sie über ucp.php herein kommen, benenne sie in ucpxy.php um und durchsuche alle anderen php Dateien nach ucp.php Links und passe die Links an. Die Datei ucpxy.php ist für Bots unbekannt.
4) durchsuche alle Administratoren Usernamen, ob der Administrator nicht hinein gehört.
5) Kontrolliere alle Ordner und Unterordner, ob neue php Dateien dazu gekommen sind (Änderungsdatum) und ob sie evtl codierten kryptischen Inhalt haben. Oft finden die Bots einen Unterordner mit Schreibrechten.
6) Kopiere alle Shop Dateien auf Deine Workstation und durchsuche sie mit einem guten (nicht kostenlosen) Virenscanner
7) codiere im ucp.php das mode=register in mode=registerxy um. Die Bots schicken gleich ein POST Befehl zum ucp.php ohne Deine Webseite zu öffnen.
8) stelle die Registrierung so um, dass der Administrator den Registrierungswunsch freigeben muss. Ich ein Bestätigungslink per E-Mail kann helfen.

Wie gesagt, es kommt auf die Angriffsmethode an, also nicht alle Tipps blind durchführen sondern per Analyse genau erkennen wie sie rein kommen.
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 27.07.2019 um 07:56:59 Uhr
Goto Top
Hallo zusammen,

ausserdem könnten Sie vorerst um das Problem einzudämmen, nach dem Sie die Access-Logs durchgegangen sind und die IP Adressen des SPAM-Zugriffes gefunden hast, die entsprechende IP-Adressen mit htaccess sperren.

In der Regel sind es eins bis drei gehackte Server welche dazu missbraucht werden.

Die nachfolgende Erklärung können Sie dazu nutzen:

https://wiki.selfhtml.org/wiki/Webserver/htaccess/Zugriffskontrolle#IP-A ...

Viele Grüße

Ich
Mitglied: Henere
Henere 27.07.2019 aktualisiert um 22:10:24 Uhr
Goto Top
Servus und Danke für die Vorschläge.
Ich hab die PHPBB Version aktualisiert seit dem scheint Ruhe zu sein.
Zumindest kommen keine neuen Registrierungen mehr (die Ruhe vor dem Sturm?)

Die Frage nach den ccm ist natürlich manuell eingefügt. Als Q&A auf dem PHPBB.
Aber das ändern alleine hat nicht gereicht. Erst seit dem Update ist richtig Ruhe.

Werde mich mal bei Gelegenheit mit dem UCP beschäftigen.

Danke euch erstmal !

Henere