Könnte der ständige IP Wechsel ev. aus einem TOR Netzwerk stammen?
Am 11.07.2012 22:33, schrieb Peter Linzenkirchner:
Hallo Jost,
auch eine Idee, mal sehen. Momentan bin ich noch am analyisieren, was da
passiert. Die verschmähen sogar meine Honeypot-Felder ...
Und das hier liefern sie mit:
IP-Nummer: 202.28.35.16
Referrer:
http://www.domain.de/kommunikation/gespraechstechniken.html?partner=swkw6&tx_gwisem_pi2%5Btermin%5D=293
Session: 1342038634
Cookies: a:1:{s:12:"fe_typo_user";s:32:"a9132f06d063668360ced44b39d6e273";}
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5)
Gecko/2008120122 Firefox/3.0.5
das ist wirklich, als würde jemand davor sitzen: Session mit Zeiteintrag,
Typo3-Frontend-Cookie, der passende Referer und sogar mit User agent. Aber stur
in 2 minütigem Abstand mit unterschiedlichen IPs. Ich raffs nicht ... wie geht
das?
Gruß
Peter
Am 11.07.2012 um 21:51 schrieb Jost Baron:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hi Peter,
hilft es vielleicht, einfach die URL für das Formular zu ändern? Mit
RealURL geht das ja relativ einfach. Dann noch die alten Pfade aus den
Tabellen raus, und für diese URLs per .htaccess einen 403-Status
zurückliefern lassen.
Diese Maßnahme kann man natürlich recht einfach umgehen, aber
mit ein wenig Glück sitzt keiner dahinter und achtet auf sowas, und
das Skript ist nicht schlau genug...
Gruß Jost
On 07/11/2012 09:34 PM, Peter Linzenkirchner wrote:
Hallo liebe Liste,
bei einem meiner Kunden läuft gerade eine Spam-Attacke auf eine
Anmelde-Formular, die ich nicht in den Griff bekomme. Die Attacke
umgeht ziemlich gekonnt spamshield - offenbar wird eine Session
mit dem Formular mitgesendet, ein Cookie, ein Refferer etc.
Trotzdem sind es so viele (derzeit bereits über 200, dass ich von
einem Automatismus ausgehe. Die Einträge sehen so aus:
Teilnehmer:
Mariusz Mariusz, FwymgSLX
Firma:
VJfvzNCdSwGtSw JvFOBQgCPsUeSioHni AVIMzXheObHGTF iWvLAKNveZ
Kontaktdaten
Telefon: bzthRBnqXgPAxkJlwv Fax: gscWHxVsPrioK E-Mail:
gyh...@126.com
etc.
Interessant sind die Einträge im Kommentarfeld:
Ja genau, in DER Umgebung kommt das schrille Bunt rihitcg gut zur
Geltung :-D Das hat einfach was und ja, die 80er waren wunderbar
^_^ @Applejfcnger: Hhm also die Bilder von Aya Takano finde ich
jetzt wiederum nicht ganz so aufregend. Ich glaube, ich bin halt
bei Versailles einfach hauptse4chlich von diesem Kontrast so
beeindruckt, der da entstanden ist
oder
Liebe Rebecker, ich glaub Malheurs, wie das Deine, sind der Grund,
weshalb in sc3bcddeutschen Gefilden Knecht Ruprecht mit von der
Partie ist. Vor dem hteatn wir Kinder richtig Muffensausen'. Dann
drc3bcck ich mal die Daumen, dass der Bart dran bleibt in 2012
Obwohl (lacht)
Das Zeug stammt aus Foren und Gästebüchern und ist in Google zu
finden.
Die IP-Nummern der Absender wechseln, China, Russland, Arabische
Halbinsel etc.
---
Hat jemand eine Idee, wie die vorgehen? Ich meine, händischer Spam
kann das ja nicht sein, bei über 200.
Danke Peter
-- Xing: http://www.xing.com/profile/Peter_Linzenkirchner Web:
http://www.typo3-lisardo.de Facebook:
http://tinyurl.com/lisardo-multimedia
_______________________________________________ TYPO3-german
mailing list TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=8jPa
-----END PGP SIGNATURE-----
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
