Wir planen ein größeres Upgrade der Forensoftware. Weitere Infos: Upgrade der Forensoftware + Downtime. Sobald die neue Version veröffentlicht wurde werde wir euch erneut informieren.

Spam über Formulare

    Spam über Formulare

    Seit ein paar Tagen beobachten wir massives Spamming über ungeschützte Formulare Beispielweise über die Kontaktformulare.
    Solche Fomulare dürfen niemals eine Funktion beinhalten, die es Spammern ermöglicht an beliebige eingegebene Emailadressen zu versenden. ("Kopie der Email an Absender" etc.). Leider eine Standardfunktion bei vielen Fomularen, die man aber deaktivieren kann.

    Die aktuellen Aktionen sind derart massiv, das Mailserver und Webserver in die Knie gehen können, weil hier tatsächlich tausende Mails inerhalb weniger Minuten generiert werden. Offenbar hat sich ein Botnetz momentan darauf "spezialisiert".

    Also: Diese unselige Funktion "Kopie der Email an Absender" immer deaktivieren, und immer ein wirksames Captcha benutzen. Es ist ja wirklich einfach im Joomla das ReCapchta einzubinden.
    Was ich nicht begreife ist, das dieses Spammer-Relay (anders kann ich es nicht mehr bezeichnen) bei Joomla standardmäßig aktiv ist. Als wenn es nicht reicht, das ein Kontaktformular bei dem Versenden einen Meldung auf der Seite darstellt.

    Die Attacken sind extrem agressiv aktuell. Momentan täglich muss ich deswegen Webs sperren.
    Hi Zusammen,

    flotte schrieb:


    Die aktuellen Aktionen sind derart massiv, das Mailserver und Webserver in die Knie gehen können, weil hier tatsächlich tausende Mails inerhalb weniger Minuten generiert werden. Offenbar hat sich ein Botnetz momentan darauf "spezialisiert".


    flotte schrieb:

    Was ich nicht begreife ist, das dieses Spammer-Relay (anders kann ich es nicht mehr bezeichnen) bei Joomla standardmäßig aktiv ist. Als wenn es nicht reicht, das ein Kontaktformular bei dem Versenden einen Meldung auf der Seite darstellt.

    Die Attacken sind extrem agressiv aktuell. Momentan täglich muss ich deswegen Webs sperren.


    Kann ich nur bestätigen. Webs deaktivieren ist ein Fass ohne Boden da immer mehr dazukommen.
    Ich bin momentan am Filtern und ich denke das es möglich sein wird diverse IP-Ranges zu blocken damit man das eindämpfen kann.
    Wie mit Uwe gerade besprochen ... ich melde mich sobald ich Ergebnisse habe.

    Gruß
    Micha
    Moin

    Man muss dort an zwei Stellen drehen damit der Haken wirklich verschwindet. Einmal im Formular selbst, und dann noch beim Menüpunkt der das Kontaktformular verknüpft. Wobei der Menüpunkt aber das letzte Wort hat und die Einstellungen im Kontakt selbst übergeht. Nur falls sich jemand wundert warum der Haken bleibt, obwohl man den Kontakt doch geändert hat. ;)

    Gruß Jan

    flotte schrieb:


    Die Attacken sind extrem agressiv aktuell. Momentan täglich muss ich deswegen Webs sperren.


    Schwarzkuenstler schrieb:


    Kann ich nur bestätigen. Webs deaktivieren ist ein Fass ohne Boden da immer mehr dazukommen.


    Nun heult mal nicht rum ihr beiden. So selten wie ihr aus euren Büros herauskommt, würdet ihr bei der Sonne jetzt eh sofort verbrennen und zu Staub zerfallen, wenn ihr einen Schritt vor die Tür wagt. :D

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Pest“ ()

    Pest schrieb:

    Moin

    Man muss dort an zwei Stellen drehen damit der Haken wirklich verschwindet. Einmal im Formular selbst, und dann noch beim Menüpunkt der das Kontaktformular verknüpft. Wobei der Menüpunkt aber das letzte Wort hat und die Einstellungen im Kontakt selbst übergeht. Nur falls sich jemand wundert warum der Haken bleibt, obwohl man den Kontakt doch geändert hat.


    Ich weiß nicht genau, ob das als Antwort auf meine Frage gedacht war. Auf jeden Fall zielte meine Frage darauf ab, ob diese Funktion missbraucht werden kann, auch wenn die Unterdrückung der Checkbox-Anzeige erfolgreich ist.
    Gruß!
    JoomlaWunder

    JoomlaWunder schrieb:

    Lässt sich die Deaktivierung der Funktion denn durchführen, indem man einfach nur die Checkbox "Kopie an Absender" deaktiviert?
    Oder bleibt dann dennoch eine Hintertüre offen?


    Ich denke mal es gibt keinen Anreiz mehr für die Spambots, wenn die "Kopie an Absender" Funktion deaktiviert ist - kann dann nicht mehr missbraucht werden.

    Ein umswitchen der Einstellung beim nächsten Update wäre genial, abhängig davon ob ein Captcha konfiguriert ist(?).
    Hallo JoomlaWunder

    Glaube ich nicht, der Formularsatz wird bei der Übergabe ja noch einmal gefiltert und der Haken beeinflusst nur die interne Verarbeitung. Genau genommen ist das im Moment ja auch keine Sicherheitslücke, sondern einfach nur Scripte die die Formulare automatisch ausfüllen und sich dabei geschickt einen Konstruktionsfehler zu Nutze machen. Ausschließen kann man aber letztlich nie etwas. Darum würde ich mir im Moment aber keine Gedanken machen.

    Gruß Jan

    AliBlech schrieb:

    Ich würde das Kontaktformular ganz löschen, macht einfach keinen Sinn!

    Das ist eine zu pauschlate Antwort und ist zudem schlechte Usabillity. Vom Besucher wird ein Kontaktformular erwartet und der Seitenbetreiber muss darauf reagieren. Natürlich sollte im Vorfeld betratet werden ob ein Kontaktformular überhaubt benötigt ist. Der Handwerksbetrieb mit seiner Leistungswbeseite braucht es vielleicht nicht, aber spätestens wenn Zudatzfelder abgefragt werden müssen, geht kein Weg daran vorbei.
    Gruß Tom - JUG-München
    Keinen privaten Support

    "Wir werden nicht größer, wenn wir andere kleiner machen." Phil Bosmans
    Ich halte die Option eine Anfragekopie zu bekommen nicht für unsinnig.
    Gerade bei längeren Anfragen oder komplexeren Anfragen reicht die generierte Seite haben Anfrage bekommen nicht. Ich weiss dann nicht mehr genau, was ich geschrieben habe. Da ich glaube, dass es vielen Menschen so geht, finde ich die Funktion gut. Sie erst anhaken zu müssen und Tools wie ECC+ sollten Spam so erschweren.
    Ja natürlich kann so eine Funktion Sinn machen, das wird nicht bezweifelt. Aber leider ist es so das die potentiellen Nachteile extrem überwiegen können. Heutzutage müssen solche und andere Formulare gegen Mißbrauch geschützt werden, daran führt einfach kein Weg vorbei. Spätestens wenn Du hundertausend Spammeremails in Deinem Postfach findest und EMail wegen Blacklisting blockiert wird, weisst Du was ich meine.

    Weil die Schutzfunktion wie Captchas auch nerven und die Kommunikation behindern - ich höre immer wieder von Kunden, das sie das Ihren Usern "nicht zumuten möchten"- , tendiere ich auch dafür solche Formulare einfach wegzulassen, sofern die Formulare keine Zusatzfunktionen haben, wo noch andere Dinge abgefragt werden. Jeder kann heute eine EMail schreiben und daher ist die Angabe einer Emailadresse eigentlich das einfachste für Standardkontakte.

    AliBlech schrieb:

    Ich würde das Kontaktformular ganz löschen, macht einfach keinen Sinn!

    Warum?
    du hast SPAM Probs, du musst deine Datenschutz Hinweise extra Anpassen und die die Variablen im Kontakt Formular können vuln sein.

    Jeder hat heute ein Email Account und sollte in der Lage sein so Kontakt aufnehmen zu können!


    Das ist höchst unseriös auf Homepageseiten wenn nur eine E-Mail Adresse statt einem Kontaktformular vorhnden ist.

    Roesi schrieb:

    Das ist höchst unseriös auf Homepageseiten wenn nur eine E-Mail Adresse statt einem Kontaktformular vorhnden ist.

    wieso ist das unseriös? Meistens gibt es ja ein Kontakt-Menü mit den erforderlichen Daten.

    schreibe deswegen, weil ich finde, dass es vom eigentlichen Thread-Eingangs-Thema abweicht.
    Es gibt eben Seiten, welche ein Kontaktformular integrieren - oder auch nicht. Ev. auch dann, (wurde auch schon erwähnt) wenn Zusatzfelder benötigt werden. Ein Top Hotel z.B. wird (wahrscheinlich) keines in dieser Form brauchen, weil es sicher ein eigenes Reservierungssystem etc. hat. Egal - kann jeder Seiteninhaber halten, wie er möchte und will.

    Es geht hier um "Spam über Formulare" - sicher ein sensibles Thema bzw. um Informationen darüber, was damit so geschieht oder geschehen kann.

    Liebe Grüße, Christine

    SniperSister schrieb:

    Der @zero24 war fleißig und hat für 3.8 einen PR gebaut, der die Copy-Funktion für neue Installationen per Default deaktiviert:
    github.com/joomla/joomla-cms/pull/17848


    Vielleicht noch als Hinweis bis dahin:

    Bei mir wollte das Feld beim ersten Kontakt nicht verschwinden. Habe unter:

    Kontakte-Optionen-Formular-Kopie an Absender auf 'Verbergen'

    und unter

    Kontakte-'Angelegter Kontakt' (Titel)-Formular-Kopie an Absender auch auf 'Verbergen' gestellt.

    Dennoch wurde das Feld beim menüverlinkten Kontakt angezeigt.
    Das war das Stw: Menülink.

    Auch beim Menülink 'Kontakt-Einzelner Kontakt' gibt es noch die Möglichkeit Kopie an Absender zu verbergen.

    Danach klappte es.

    Nur als Info, falls es nicht klappen sollte.
    Gruß Elwood

    Neu

    Also mich hat es zu diesem Thema auch erwischt und da ich in Joomla nicht so versiert bin wollte ich die Profis unter euch fragen ob ich alles richtig gemacht habe:
    So hat mich der Provider informiert:
    Über das Skript wird Spam versandt: "/home/www0985/www.grinningskull.at/component/contact/contact/4-main-contact/1/index.php" Beispiel: To: info@beispiel.at Subject: =?utf-8?B?VEVBTSBHUklOTklORyBTS1VMTDog5aSq6Ziz5Z+O6ZuG5Zui5byA5oi3?= =?utf-8?B?5Y2z6YCBMjjlvanph5E=?= X-PHP-Originating-Script: 1798:class.phpmailer.php Date: Sun, 28 Jan 2018 10:53:49 +0100 From: GRINNINGSKULL <franz@beispiel.at> Reply-To: =?utf-8?B?55m95ruh5LiB?= <419785529@qq.com> Message-ID: <b110091723da179b8bd925997ece97ec@www.grinningskull.at> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit Return-Path: franz@beispiel.at X-User: 1798 X-Uri: L2luZGV4LnBocA== X-Path: L2hvbWUvd3d3MDk4NS93d3cuZ3Jpbm5pbmdza3VsbC5hdC9jb21wb25lbnQvY29udGFjdC9jb250YWN0LzQtbWFpbi1jb250YWN0LzE= X-Remote: NTkuMzQuMjAzLjExNw==

    Nachdem mich mein Provider informiert hat das mein Joomla spamt und deshalb gesperrt wurde hab ich auf das Stammverzeichnis einen Verzeichnisschutz gegeben und ein Backup zurück gespielt.

    Dann hab ich unter Erweiterungen - Module das Modul Contact deinstalliert.
    Dann hab ich unter Komponenten - Kontakte (hab nur einen Main Contact) unter dem Reiter Formular folgendes eingestellt:
    Kontaktformular: verbergen
    Kopie an Absender: verbergen

    Ich hoffe ich hab da nichts vergessen - vielen Dank für eure Hilfe!

    Neu

    Sorry wenn ich das so direkt sage, aber du wurdest gehackt.

    Erstes Indiz dafür ist der Ordner contact innerhalb von components. Alle Erweiterungen die regulär dort installiert werden fangen mit com_ an.

    Das Abschalten der Core-Komponente hilft da nicht weiter. Auch das Deinstallieren des Modules ist hinfällig.

    Wann und wie das passieren konnte, muss nun über die Server-Logs geprüft werden, außer der Ordner contact ist noch vorhanden, dann kannst du mal schauen welches Erstellungsdatum Dieser hat und dann in den Server-Logs prüfen wie bei dir eingebrochen wurde. Solange dieser Ordner noch existiert, bist du aber auch weiterhin gehackt.

    Möglicherweise nutzt du auch eine Erweiterung, die unsicher ist oder du hast die Aktualisierungen der Erweiterungen/Joomla!-Core zu lange vor dich hin geschoben.

    Es ist auch nicht ausgeschlossen, das noch woanders Dateien im System sind, die da nicht hingehören und dich wieder angreifbar machen.

    Sorry für die schlechte Nachricht.

    Neu

    Ja schon klar - ich hab ja den ganzen Inhalt des Stammverzeichnisses gelöscht nachdem es mit dem Spamversand losgegangen ist und ein Backup rückgesichert welches einige Zeit vor dem Angriff erstellt wurde.
    Danach hab dich vorher genannte Massnahmen durchgeführt und da gibt es auch dieses von dir genannte nachfolgende Verzeichnis nicht mehr:
    grinningskull.at/component/con…-main-contact/1/index.php

    So sollte dann doch die Version vor dem Hack hergestellt sein oder sehe ich das falsch.
    Danach hab ich halt die oben beschriebenen Maßnahmen durchgeführt oder sollte ich da noch etwas machten außer natürlich alle Updates?

    Neu

    Der Spamversand erfolgte nicht über Joomla sondern über ein auf deinem Webspace abgelegtes Script.
    Offensichtlich dieses:
    ..component/contact/contact/4-main-contact/1/index.php

    Durch die Rücksicherung des Backups ist das Script gelöscht. So mit wird im Moment vermutlich erstmal kein Spam versendet.

    Was bleibt ist die Frage: Wie ist es einem Angreifer gelungen auf deinen Webspace zuzugreifen und dort ein Script abzulegen?
    Diese Frage musst du klären - sonst hast du nächste Woche das gleiche Problem wieder.

    Hast du Zugriff auf Log-Dateien?

    Neu

    Schau mal, irgendwie konnte doch der Hacker die Dateien auf deinem Server platzieren. Solange das nicht klar ist, kannst du dir auch bei deinen Backups nie sicher sein.

    Also wenn du auf Nummer Sicher gehen willst, empfehle ich dir eine komplette neue Installation mit Joomla 3.8.5 und Stück für Stück die Übertragung deiner Inhalte. Die Maßnahmen, die du getroffen hast sind nicht relevant, da die Core-Erweiterungen sehr wahrscheinlich nicht die Sicherheitslücken sind, zumindest wenn du immer zeitnahe aktualisiert hast (davon will ich mal ausgehen). Es ist also sehr wahrscheinlich, das eine zusätzliche Erweiterung hier eine Lücke ermöglicht hat. Das kannst du über die Server-Logs herausfinden, wenn sie lange genug zurück gehen und du ungefähr den Zeitpunkt des Einbruchs kennst.

    Da das jetzt wohl nicht mehr möglich ist, bleibt dir also nur eine professionelle Prüfung ohne Garantien, oder eben die Neuinstallation mit der aktuellen Version und die genaue Prüfung der zu installierenden, zusätzlichen, Erweiterung.
    Wie auch im verlinkten Post s.o. steht.

    Das ist meine Einschätzung dazu.

forum.joomla.de is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.