8
Was ist der tiefere Sinn von dieser Art Formular-Spam?
Hallo!
Man kennt ihn ja, diesen Formular-Spam, welcher über HTML-Formulare verschickt wird:Praktisch sämtliche Felder per Zufallszeichenfolge oder Wörterbuch-Listen ausgefüllt und weder die Absender-eMail-Adresse noch der in der Textarea angegebene Link existiert. Darum verstehe ich den Sinn solchen Spams nicht.
Ich könnte es nachvollziehen wenn die angebliche Absenderadresse existieren würde und der Spammer annimmt, dass das Formularscript eine Kopie an den Absender schickt. Aber das scheint hier gar nicht die Absicht zu sein.
Der Link im Textfeld führt auch zu einer nicht registrierten Domain, insofern kann der Spammer auch beim Betreiber der Website nicht darauf aus sein, dass der Betreiber auf den Link in der Mail klickt.
Für eine DDoS-Attacke ist die Anzahl der eingehenden Spammails viel zu gering.
Das einzige was meiner Meinung nach Sinn ergäbe wäre, dass der Spammer die Zufallszeichenketten speichert und später als Suchstring verwendet in der Hoffnung, irgendwo auf eine Datenbank, Textfile o.Ä. zu stoßen wo auch reguläre Formularanfragen gespeichert sind. Man käme auf diesem Wege an gültige eMail-Adressen oder andere Informationen käme, die "normale" Formular-Benutzer geschickt hatten.
Was meint ihr?
Grüße
Cody
Man kennt ihn ja, diesen Formular-Spam, welcher über HTML-Formulare verschickt wird:
Anrede: Herr
Name: patrik
Firma: fsddagbnfpfwf
Strasse: ofhwuiefhhzf
PLZ: 55529
Ort: New York
-----------------------------------------------------------
Land: Deutschland
-----------------------------------------------------------
E-Mail: jaxxi632@hotmail.com
Telefonnummer: 2454434135
Faxnummer: 65537688
-----------------------------------------------------------
------------------ Text der Anfrage: ----------------------
-----------------------------------------------------------
HedfhS http://www.fsdkgvjanspfogn.com
-----------------------------------------------------------Ich könnte es nachvollziehen wenn die angebliche Absenderadresse existieren würde und der Spammer annimmt, dass das Formularscript eine Kopie an den Absender schickt. Aber das scheint hier gar nicht die Absicht zu sein.
Der Link im Textfeld führt auch zu einer nicht registrierten Domain, insofern kann der Spammer auch beim Betreiber der Website nicht darauf aus sein, dass der Betreiber auf den Link in der Mail klickt.
Für eine DDoS-Attacke ist die Anzahl der eingehenden Spammails viel zu gering.
Das einzige was meiner Meinung nach Sinn ergäbe wäre, dass der Spammer die Zufallszeichenketten speichert und später als Suchstring verwendet in der Hoffnung, irgendwo auf eine Datenbank, Textfile o.Ä. zu stoßen wo auch reguläre Formularanfragen gespeichert sind. Man käme auf diesem Wege an gültige eMail-Adressen oder andere Informationen käme, die "normale" Formular-Benutzer geschickt hatten.
Was meint ihr?
Grüße
Cody
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 220688
Url: https://administrator.de/contentid/220688
Printed on: April 19, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hallo Cody,
ich vermute, dass sich hier irgendwelche Skriptkiddies austoben, welche gerade PHP gelernt haben, ein tieferen Sinn gibt es in deren Attacken auch nicht, wenn es mehr als nur ein paar SPAM Mails sind. Aber Captchas helfen.
Beste Grüße,
Christian
ich vermute, dass sich hier irgendwelche Skriptkiddies austoben, welche gerade PHP gelernt haben, ein tieferen Sinn gibt es in deren Attacken auch nicht, wenn es mehr als nur ein paar SPAM Mails sind. Aber Captchas helfen.
Beste Grüße,
Christian
Eben nicht! Das macht mich ja so misstrauisch. Da wird dem Anschein nach richtig Aufwand betrieben, um derlei Sicherungsmechanismen zu umgehen. Ich habe außerdem eine Allergie gegen Captchas, vorallem weil man damit generell bei Ausschreibungen durchfällt wo Barrierefreiheit gefordert wird. Ich habe inzwischen zwar einige Methoden, Spambots ziemlich zuverlässig zu erkennen. Nur möchte ich die nicht öffentlich kommentieren, da das denen in die Hände spielen würde.
Meine Frage ging also nicht dahin, wie man solcherlei Spam abwehrt sondern wozu er gut ist. Die Erklärung mit den Skriptkiddies kann ich mir irgendwie nicht so recht vorstellen, da derlei Spam relativ regelmäßig anfällt.
Moin,
m.M.n. dienen solche "Aktivitäten" nur einem Ziel: das Internet langsamer zu machen und die Mail-Server zu beschäftigen.
Gruß J
chem
m.M.n. dienen solche "Aktivitäten" nur einem Ziel: das Internet langsamer zu machen und die Mail-Server zu beschäftigen.
Gruß J
chem
Wie frequent passiert das ganze denn? Gleich 10 Hintereinander? Oder ab und zu mal eine? Gibt es momentan einen Captcha Schutz?
Jemand will dir nciht seine echten Daten geben?
Wenn Webseiten Formulare ausgefüllt haben wollen, um bestimmte Sachen zugänglich zu machen, obwohl die Daten dafür nicht notwendig sind, bekommen die halt Müll in ihre Formulare.
Es kann auch sein, daß nur Tests gefahren werden, um Daten zu sammeln, d.h. Datenbanken aufzubauen, wo welche Software mit welchen Eigenschaften läuft um dann bei vorhandensein von exploits schnell zugreifen zu können. Der Formularspam ist dann nur ein nebeneffekt davon.
Was sagen denn die Logs, wo die besucher herkommen?
lks
Wie frequent passiert das ganze denn? Gleich 10 Hintereinander?
In der Regel alle zwei bis drei Tage ein Schwall von ca. 5 solchen Mails hintereinander pro Domain auf der das System läuft. Manchmal ändert sich das Intervall auf eine pro Tag, dann aber auch jeden Tag.
Gibt es momentan einen Captcha Schutz?
Es gibt KEIN Captcha und es soll auch keins geben. Ist auch nicht notwendig da ich den Spam anderweitig ausfiltern kann. Aber nochmal: Mich interessiert nicht die Abwehr sondern der Hintergrund, was damit bezweckt werden soll.
Jemand will dir nciht seine echten Daten geben?
Naja, welchen Sinn sollte das haben, wenn das komplette Formular mit Nonsens gefüllt wird? Klar dass nicht jeder seine komplette Postanschrift angeben will und das ist auch ok, aber in dem Fall ist ja ALLES Schrott.
wo welche Software mit welchen Eigenschaften läuft
Was ich ja nun nicht weiß, ob die Daten evtl. mehr als nur Datenschrott sind und evtl. in ganz bestimmten Konstellationen zu Fehlern in bestimmten CMS führen. Da in meinem Fall keine Software von der Stange läuft (wenn man mal von Apache und PHP absieht) dürfte das ins Leere laufen. Aber rein "optisch" scheinen die "Zufallszeichenketten" auch zu kurz zu sein um z.B. komprimiertes JavaScript o.Ä. zu sein.
um dann bei vorhandensein von exploits schnell zugreifen zu können
Also wären die Spams mehr als Methode zu verstehen, das System hinter dem Formular zu "tasten"? Dann ergäbe das Sinn, dass es sich tatsächlich vordergründig nur um Datenschrott handelt der nichts weiter bewirken soll als dass das Script den POST-Request annehmen und verarbeiten soll. Der Spammer hat es dann mehr auf die Reaktion des Scriptes abgesehen um daran z.B. ein Joomla, Typo3 oder Drupal zu erkennen und dann ein passendes Exploit aus dem Baukasten anzuwenden.
Was sagen denn die Logs, wo die besucher herkommen?
Nur auf die Spams bezogen: Geografisch zu 80% Osteuropa und Asien, 10% Südamerika, 6% Afrika und der Rest Europa und USA.
Zitat von @Codehunter:
Nur auf die Spams bezogen: Geografisch zu 80% Osteuropa und Asien, 10% Südamerika, 6% Afrika und der Rest Europa und USA.
Nur auf die Spams bezogen: Geografisch zu 80% Osteuropa und Asien, 10% Südamerika, 6% Afrika und der Rest Europa und USA.
Das sind dann mit hoher Wahrscheinlichkeit Crawler, die Daten sammeln, um wie gesagt, im Falle eines verfügbaren Exploits schnell ein paar Systeme aufmachen zu können.
lks
Hi,
Vielleich versucht hier jemand seine geskripteten SQL-Injection Versuche hinter einer Flut von Spam zu verbergen.
mfg
Cthluhu
Vielleich versucht hier jemand seine geskripteten SQL-Injection Versuche hinter einer Flut von Spam zu verbergen.
mfg
Cthluhu
