Wir liefern euch in Kürze etwas SQL zum einfach in den Shop kopieren, mit denen ihr die Kontos loswerdet.
Hier die Anleitung, wie ihr die aufgelaufenen Kundenkonten der Spammer loswerden könnt: 1. Ruft das Backend eures Shops auf. 2. Erzeugt ein Datenbankbackup über die entsprechende Funktion in der Toolbox. Sicher ist sicher! 3. Navigiert unter Toolbox zum Punkt SQL. Je nach Alter der Shopversion landet ihr hier direkt auf dem phpMiniAdmin oder bei der SQL Box (in älteren Shopversionen). 4. Kopiert die folgenden SQL Befehle komplett in die im Screenshot rot umrandete Box. Wir zeigen das Ganze hier für neuere Shops, in älteren Shops sieht das etwas anders aus, die dortige Box unter SQL bringt aber denselben Nutzen und Effekt. Code: DELETE FROM customers_info WHERE customers_info_id in (SELECT customers_id FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'); DELETE FROM customers_basket WHERE customers_id in (SELECT customers_id FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'); DELETE FROM customers_basket_attributes WHERE customers_id in (SELECT customers_id FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'); DELETE FROM customers_ip WHERE customers_id in (SELECT customers_id FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'); DELETE FROM address_book WHERE customers_id in (SELECT customers_id FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'); DELETE FROM customers WHERE customers_firstname like '%http://%' or customers_firstname like '%https://%' or customers_lastname like '%http://%' or customers_lastname like '%https://%'; 5. Klickt den Go Button direkt unter der Box. 6. Fertig. Die Kundenkonten sollten verschwunden sein. Dieser SQL Befehl löscht alle Kundenkonten, bei denen eine http oder https URL im Namensfeld vorhanden ist, das ist soweit wir ausgewertet haben die Gemeinsamkeit bei allen Kunden, die bei uns Tickets geöffnet haben. Bei der Telefonnummer haben wir Abweichungen festgestellt, das eignet sich daher nur begrenzt. Wenn die Attacken bei euch noch laufen, können noch neue Konten wieder erscheinen. Wir arbeiten wie beschrieben mit Hochdruck an einem Patch, der auch das in Zukunft verhindert und werden diesen in Bälde liefern.
Danke erstmal Wilken, aber nun mal doof gefragt: der admin schickt trotzdem ALLEN diesen armen angegebenen Emails eine Mail, dass sie ein Kundenkonto haben...kann man irgendwo abstellen, dass erstmal keine Konten-Bestätigungsmails rausgehen?
Maren hatte eine Idee: kann man irgendwo verhindern, dann unter Name sonderzeichen oder eben http angegeben wird.....?
Update, dass den Spamversand und die Registrierung der Fakekonten aushebelt hier: https://www.gambio.de/forum/threads/gprotector-update-12032018.35216/
Danke @Torben ich meinte die E-Mails unter Kunden / E-Mails, da sind bei einigen paar Hundert E-Mails drin, das belastet doch nur die Datenbank.
Blockierte Anfragen landen im Security Log. Das protokolliert Angriffsversuche, nicht Einbrüche. Damit kann man sagen der Angriff läuft bei dir noch, aber er macht sonst hoffentlich nichts. Bestätige mich bitte: Es entstehen keine neuen Kundenkonten. Wenn wir das bejahen, ist alles gut.
So sieht das aus: 018-03-12 15:28:00 (7792e63f1d522c70c43543d618af3d38) GPROTECTOR ERROR: "Die Regel "URL anti-spambot-mechanic" hat einen unerwarteten Variablenwert erkannt und erfolgreich gefiltert." in /www/htdocs/w008bc5d/Shop/includes/application_top_main.php:39 #1 File: /www/htdocs/w008bc5d/Shop/includes/application_top_main.php:39 Function: require_once('/www/htdocs/w008bc5d/Shop/GProtector/start.inc.php') Code: │ line 37: if(file_exists(str_replace('\\', '/', dirname(dirname(__FILE__))) . '/GProtector')) │ line 38: { ├─ line 39: require_once(str_replace('\\', '/', dirname(dirname(__FILE__))) . '/GProtector/start.inc.php'); │ line 40: } │ line 41: #0 File: /www/htdocs/w008bc5d/Shop/shop.php:12 Function: require_once('/www/htdocs/w008bc5d/Shop/includes/application_top_main.php') Code: │ line 10: */ │ line 11: ├─ line 12: require_once('includes/application_top_main.php'); │ line 13: │ line 14: // includes classes and functions are needed for frontend output Request: POST /shop.php?do=CreateRegistree/Proceed - duration: ~4ms - server: Apache - server address: 85.13.129.217 - user agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36 - remote address: 7792e63f1d522c70c43543d618af3d38 Post: - gender: m - firstname: - lastname: - email_address: - email_address_confirm: - b2b_status: 0 - company: - vat: - street_address: - house_number: - postcode: - city: - country: - telephone: - password: ***** - confirmation: ***** - privacy_accepted: 1 - action: process - additional_address_info: - suburb: - state: - fax: Get: - do: CreateRegistree/Proceed
Das ist ok, die Abwehr sagt da: Es war was, ich funktioniere. Es wird kein Kunde oder sonstwer belästigt, solange die Attacke läuft kommt nur das Logfile immer wieder als ungelesen hoch. Das ist an der Stelle zu ignorieren.
Angriff läuft offensichtlich weiterhin, GProtector blockt jene Anmeldeversuche bislang tadellos, Danke!
Der Angriff ist immer noch im Tackt von ca. 2 min. Also alle 2 min ein Logeintrag. Ist nicht schön aber besser als 100te neue Kunden (spam) am Tag.
Für den Angriff kann Gambio ja nix, und den Angriff kann man auch nur abwehren, nicht unterbinden. Hauptsache erstmal ist Ruhe.