Die Gefahr besteht immer und es wird ein ewiges Katz und Maus Spiel bleiben. Sofern es sich nicht um eine gezielte Attacke handelt, sondern z.B. einfach nur darum Spam zu verbreiten, ist es in der Regel ausreichend, die Hürden für den Angreifer möglichst hoch zu legen. Er wird sich dann in den allermeisten Fällen ein anderes, leichter zu attackierendes Ziel suchen.
Als erstes: Wir haben das Downloadpaket im Portal gerade auf Version 1.1 angehoben, um Probleme wie bei Ralph zu lösen. Das Update war völlig ok, wenn vorher im Shop schond er GProtector vorhanden war. War der aber noch gar nicht vorhanden,dann fehlte darin was. Das ist jetzt hinzugefügt. Alle, die das Update bei sich schon im Shop haben brauchen nichts tun, nicht erneut updaten. Nur wenn der Gprotector nicht da war, zu sehen an weissen Seiten, dann muss man das durch Upload der neuen Version einmal vervollständigen.
Mit so einer Attacke versucht man normal irgendwo irgendwas zu platzieren. Im Fall dieser Attacke soll Leuten ein Link gemailed werden. Wenn man aber alle Links fängt und den Input dann verwirft statt ihn zu verarbeiten, nimmt man dem Angreifer den Kuchen weg. Er kriegt keine Links mehr zu Leuten gemailed. Und: natürlich ist das wie Daniel sagt ein Katz- und Mausspiel, und irgendwann wird jemand schlaueres kommen. Dies hier ist jetzt aber auch nicht unsere einzige Massnahme. Wir werden zum Beispiel in Zukunft verhindern, dass die Registrierung bei offline gesetztem Shop überhaupt noch Daten verarbeitet, das war bisher theoretisch möglich und wurde hier ausgenutzt. Ausserdem werden wir die Option schaffen, in der Registrierung ein Captcha einzusetzen. Der einzige Punkt ist: Dafür müssen wir invasiver an den Shop gehen und das einbauen. Das sind dann grössere Updates, das hätte sich keiner genau gefahrlos einspielen können, das ist mehr. Und das was wir jetzt machen, löst das Problem auch schon allein.
Zum Thema Logs: Im Security Log werden Angriffsversuche protokolliert. Die machen nichts, die werden gefangen und tun niemandem mehr was, aber die erzeugen trotzdem noch protokollarisch Logdaten. Das ist beabsichtigt. Sobald die Attacken aufhören, wirds da ruhig werden.
Hallo In meinem 3.6er Shop ist nach dem Update nun trotz aktiviertem Italien alles i.O. - keine neuen Spam-Kundenkonten mehr. Vielen dank an das Gambio-Team für die schnelle Hilfe.
Danke für das Update aber "seit gestern" stimmt so nicht - ich hatte Euch eigentlich schon am 07.03 von dem Problem geschrieben! nach dem update scheint ruhe zu sein. Frage: wie entferne ich nun mehrere Hundert "NeuKunden"? ich hatte sie anfangs manuel einzeln entfernt, kam dann aber nicht mehr nach. Edit: nun spammer auch entfernt. dazu SQL Befehle benutzt wie hier https://www.gambio.de/forum/threads/russische-spammer-registrieren-kundenkonten.35193/page-8 beschrieben. es waren zwischen 07.03 und 12.03 um die 1000 "Neukunden" angelegt. die IP Adressen stammten wohl von weltweit,
Super Punkt, dazu hatte ich hier schon was geschrieben: So entfernt man die Kundenkonten der Spammer.
Wo sind die Logeinträge gespeichert? Im Ordner Logs ist nichts zu sehen. Da müsste dann auch mal aufgeräumt werden, derzeit sind die ja immernoch aktiv
Update eingespielt, doch obwohl Italien noch gesperrt ist, jetzt aber LOG-Eintrag: "GPROTECTOR ERROR: "Die Regel "URL anti-spambot-mechanic" hat einen unerwarteten Variablenwert erkannt und erfolgreich gefiltert." in /homepages/42/d116729054/htdocs/GelFli_2016/includes/application_top_main.php:39" Die Meldung kommt wieder, wenn ich den Eintrag als gelesen markiere. Ist das so richtig? MfG Stefan Ulrich
Wenn die Attacke noch läuft, werden protokollarisch solche Meldungen geschrieben, bei jedem Versuch von aussen eine. Das sagt: Es gab einen Versuch, ich habe ihn abgewehrt. Solange immer neue Meldungen geschrieben werden, wird das Protokoll auch immer wieder ungelesen markiert. Das soll so. Das wird aufhören, wenn der Angriff vorbei ist.
Ja. Nochmal: protokolliert wird der eingehende Versuch im Moment der Ausfilterung. Wenn du das Update installiert hast, solltest du Italien aber auch getrost wieder aktivieren können, das ändert nichts.