Seit wenigen Tagen jede Menge Fakeregistrierungen in ähnlicher Machart

Ist dieses Problem hier schon bekannt? Hat jemand eine Idee dazu oder Hintergrundinformationen?

Seit knapp einem Monat stelle ich fest, dass auf zwei der von mir betreuten Webseiten* ein Haufen Fakeregistrierungen vorgenommen wurden - trotz Google reCaptcha!

Die Fakes ähneln sich insoweit, als dass am Ende des Nutzernamens immer zwei Großbuchstaben stehen. Beispiel: DonaldneadoYQ . Heute fast 100 Fakeregistrierungen!

*) Gemeinsamkeit der beiden Webseiten: Sie haben den Begriff "jung" im Domainnamen (es geht um C.G.Jung).

Offenbar werden dabei aber reale Mailadressen eingetragen. Eine missbrauchte Mailadresse hatte sich gemeldet und glaubt, dass das Problem am Betreiber der Webseite liegt. Deshalb habe ich jetzt gerade die Selbstregistrierung deaktiviert und muss mir etwas anderes ausdenken, denn es geht um Abos.

Ich kann noch keinen Sinn darin erkennen, denn auf all diese Registrierungen erfolgte niemals eine Aktivierung in der Bestätigungsmail und dementsprechend auch kein Besuch der Webseite. Was mir dazu einfällt, ist nur: Der Betrieb der Webseiten bzw. ihre eigentliche Aufgabe soll gestört bzw. verunmöglicht werden. Ich frage mich, ob das möglicherweise auch Störaktionen der Russen sind ... ? (Russen auch deshalb, weil einige C. G. Jung-Gesellschaften u. a. auch Kontakte in den russischen Raum pflegen - aber vielleicht verdächtige ich sie ja zu Unrecht).

Zitat von Elwood

Ist dein Joomla aktuell?

Vielleicht interessant: ECC+

Ja, Version 3.10.11. In beiden Fällen ist noch kein Upgrade auf J4 möglich, weil wichtige Extensions (z. B. Seminarmanager komplett und SOBI Pro - SobiSort-Template) noch nicht unter J4 laufen.

ECC+ und etliche andere Captchas habe ich früher bereits ausprobiert. Google reCaptcha war bisher am zuverlässigsten.

Aber ich werde ECC+ auf der einen Webseite noch einmal testen. Vielleicht wirkt es ja gegen diese Übeltäter. Auf der anderen Webseite habe ich die Selbstregistrierung gerade deaktiviert und werde sie durch ein Onlineformular ersetzen, das zusätzliche Abfragen enthält.

Zitat von Indigo66

Wenn Du die Benutzerregistrierung nicht unbedingt benötigst, dann deaktiviere sie in der Benutzerkonfiguration.

[...]

Auf der einen Seite habe ich das bereits getan und muss jetzt eine andere technische Lösung implementieren.

Bei der anderen Seite kann ich die Registrierung nicht so einfach deaktivieren ...

Zitat von Re:Later

Damit hast du dir doch selbst den Grund gegeben. Versenden von Spam-Emails. Gelegentlich ist es möglich in den Benutzerdaten Zeugs wie Links zu hinterlegen, die dann das Besitzer der Email oder je nach Einstellungen auch Administratoren zugesandt bekommen.

Die Benutzerdaten sind unverändert. Da steht nur der Kram drin, der für die Bestätigungsmail nötig ist. Deshalb: Kein Spam. Nur Zukleistern der Benutzerverwaltung.

Zitat

Puuh. Dann doch eher Paranoia. Die paar Registrierungen werden wohl nicht den Betrieb der Seite beeinträchtigen. Da würden dann schon härtere Kaliber aufgefahren., wenn "die Russen" oder andere Organisierte eine Seite auf dem Kieker haben.

Gesunde Paranoia ist in einer Welt des galoppierenden Wahnsinns unverzichtbar. (Mein Leitspruch seit der Jahrtausendwende).

Die Fakeregistrierungen beeinträchtigen die Lebensqualität des Admins (also meine), sie kosten mich unnötige Lebenszeit, von der ich im letzten Lebensoktil statistisch gesehen nur noch etwa 85.000 Stunden habe. Und wenn man berücksichtigt, dass die Zeit im Alter zunehmend schneller verrinnt (zur Zeit etwa 4mal so schnell wie in meiner Jugend), dann sind es subjektiv nur noch etwas mehr als 20.000 Stunden. Einmal aufstehen, Zähneputzen, Umdrehen - und zack! das war's gewesen! R.I.P.

Wenn es nicht die Russen sind, dann eben die Ukrainer, die Amis oder die Rechten, die Linken, gelangweilte Scriptkiddies oder die Trumpisten oder irgendeine andere abartige Gruppierung, welche den normalen Alltag einer demokratischen Gesellschaft stören will - mit der Absicht, Unruhe zu schüren, Umstürze vorzubereiten und einen diktatorischen Führer an die Macht zu bringen. Hatten wir ja alles schon mal ...

Zitat

Ich habe gestern eine Seite geputzt, wo sich 120.000 solche Registrierungen über ca. 3 Jahre angesammelt hatten. Die Muster wechseln je nach "Saison". Interessant ist für die nur, dass

Bitte verrate mir wie das ohne Zeitaufwand geht (ohne die realen Benutzer mit zu löschen). Gibt es da eine Joomla-Erweiterung, die das automatisch macht? Bisher habe ich mühsam jeden einzelnen Faker von Hand angehakt und dann gelöscht. Das kostet Lebenszeit - also das Kostbarste, was mir noch verblieben ist.

Zitat

[...]

Schon lange bekanntermaßen nicht mehr der Fall.

Sorry, das war mir bisher noch nicht bekannt, aber ich verbringe auch nur noch die unbedingt nötige (Lebens-)Zeit mit Webseiten und ihren Captchas.

Welches Captcha ist denn heutzutage noch nicht besiegt - also empfehlenswert?

Zitat

Auch ECC+-Pro wird bei mir gelegentlich übertölpelt, trotz maximaler Schutzeinstellungen. Man darf sich nur nicht über jeden Popel-Kram aufregen. Ganz normal, dass mal was durchgeht.

Schraube auch die Passwort-Kriterien in Joomla hoch.

Die realen Nutzer*innen verdrehen ja schon jetzt die Augen, wenn sie sich nur mindestens 8 Zeichen (2 Groß-, 2 Kleinbuchstaben, 2 Ziffern und 2 Sonderzeichen) ohne Sinn (und Verstand) ausdenken und zuverlässig merken sollen. Es sind überwiegend ältere Menschen, die an Psychologie interessiert sind, nicht an Technik und Internet. Beides passt so ganz und gar nicht zusammen - entweder Psycho oder Techno. Aber nicht beides.

Nein. Wenn ich keine vernünftige Lösung finde, dann geht's eben wieder back to the roots: Dann müssen Interessent*innen eben wieder per Email oder Telefon einen Account beantragen, der dann administrativ durch die Geschäftsstelle eingerichtet wird. Aber nicht durch mich! Da müssen dann andere (Jüngere!) ihre Lebenszeit für opfern!

Zitat von firstlady

Die jüngeren schreiben ein script oder machen es mit sql oder schreiben gleich eine sicheres Registrierungsformular. Wobei jung .. definiere mal jünger und älter.

Ja ist denn das Joomla-eigene Registrierungsformular nicht sicher?

Ich bin kein Programmierer. Scripte schreiben kann ich nicht - nur bereits vorhandene Scripte in gewissen Grenzen modifizieren. Ich kann nur HTML, CSS und Grundlagen von PHP. Zum Bau diverser auch sehr komplexer, individueller und gestalterisch ansprechender Webseiten hat es in den letzten 12 Jahren aber gereicht.

Definiere "jung/jünger": Jung ist einfach alles, was jünger ist als ich, also <72 Jahre. Oder anders gesagt: Alles was (statistisch gesehen) noch mehr Leben vor sich hat als ich.

ABER BEI DER GELEGENHEIT NOCH EINE FRAGE (die ich mir auch nicht selbst beantworten kann)*:

Ein Entwickler schlug vor, dass ich ihm eine gedumpte Testseite mit Superuser-Rechten erstelle, um Probleme bei einer Erweiterung zu beseitigen. Blöderweise erlaubt mir Joomla nicht, einen weiteren SU oder Admin zu erstellen und auch nicht, einen bestehenden SU aus der Mailbenachrichtigung zu nehmen.

Ich kenne es nur so, dass ich solche Blockaden in der "RSFirewall" einstellen kann, aber da ist gar nichts eingestellt. Wo - in Joomla selbst? - wird das Neuerstellen, Verändern oder Löschen von Superusern eigentlich noch verhindert?

*) Du siehst: Es geht deutlich bergab mit mir.

Zitat von firstlady

[...]

Du kannst so viele super user anlegen wie du willst. Es sind einfach user in der Gruppe Super User.

Mailberechtigung bei super user kannst du mit dem button "mails empfangen" auf "nein" stellen.

Super user können alles, auch andere super user löschen. Sonst niemand.

Ja, genau so kannte ich es bisher (auf allen betreuten Seiten) auch! Und einen speziellen Userschutz konnte ich nur in "RSFirewall" konkret (namentlich) einstellen.

Aber diese (verdammte) Webseite, die ich vor 3 Jahren von einem anderen Erbauer/Betreuer übernahm, bringt mich noch zum Wahnsinn. Sie hält immer wieder neue Überraschungen bereit.

Egal was ich (selbst SU) bei einem anderen SU ändern will, ich erhalte stets:

"Es ist ein Fehler aufgetreten! 403 Zugriff verweigert!"

Und dann kann ich nur noch zurück zum Kontrollzentrum. Desgleichen, wenn ich einen neuen Admin oder SU anlegen will.

(Ich werde es gleich mal an der Originalseite testen. Das hier war ja die mit Akeeba gedumpte Seite.)

Zitat von Shuffle

Moin Kallle,

hast du noch irgendwelche Tools installiert, die auf die Rechteverwaltung Einfluss nehmen?

Normalerweise kann man jeden User durch Klick zum Super_Benutzer befördern und diesem ebenso einfach das Recht wieder entziehen.

Gruß Shuffle

OT: Bin auch nicht mehr der Jüngste und kann das o.G. mit dem Beschleunigen der Lebenszeituhr nur bestätigen.

Alles anzeigen

Außer "RSFirewall" gibt es da (m. E.) nichts anderes. Und in der Firewall ist kein Userschutz eingestellt.

Zitat von Kallle

[...]

(Ich werde es gleich mal an der Originalseite testen. Das hier war ja die mit Akeeba gedumpte Seite.)

NACHTRAG: Oh Schei**! Gleiches Verhalten auf der Originalseite, und ich weiß nicht wo es her kommt und seit wann es besteht!

Höchste Zeit die ganze elende Webseite zu löschen und durch eine komplett neu installierte Joomla 4 zu ersetzen. Geht aber dummerweise noch nicht, weil die wichtigste Erweiterung, der Seminarmanager, immer noch nicht mit J4 kooperieren kann.

Wahrscheinlich wird jetzt wieder jemand "Verschwörungstheorie..." rufen, aber in mir verstärkt sich - egal wo ich hinschaue - immer mehr der Eindruck (Rundum - nicht nur Joomla betreffend), dass es gerade mit der Menschheit den Bach runter geht - aber sowas von ...

Zitat von WM-Loose

Ich finde es schon seltsam, wie lange man nun auf den neuen Seminarmanager warten muss. Es wird immer wieder verschoben und ehrlich gesagt, zeugt dies nicht unbedingt von verlässlicher Entwicklungsarbeit. Immerhin reden wir bereits von Joomla 5 und J4 gibt es ja nicht erst seit gestern.

Eventuell Zeit sich von OSG endgültig zu verabschieden und anderweitig zu orientieren.

https://extensions.joomla.org/…s/booking-a-reservations/

Ja, das denke ich schon lange!

Offenbar war nicht nur die deutsche OSG GmbH nicht in der Lage den Seminarmanager weiterzuentwickeln und ist deshalb vor ca. 3 jahren in die Insolvenz gegangen, sondern auch die schweizerische Webtribute GmbH hat sich damit wohl übernommen.

Man muss aber auch zugeben, dass das Dingens verdammt komplex ist! Jetzt haben Sie gerade die Betaversion von Seminarmanager 4.0.1 beta herausgegeben - aber das ist irreführend: Sie läuft auch noch nicht unter Joomla 4!

Schon seit vielen Jahren suche ich - durchaus verzweifelt! - nach einem Ersatz dafür, habe aber nur "Matukio" gefunden, lange Zeit getestet, viel Zeit damit verschwendet und dann festgestellt, dass es (für die Zwecke meines Kunden) noch weniger geeignet ist, als der Seminarmanager.

Auch die anderen Eventmanager habe ich getestet: Erst wenn man ganz tief in die Details geht, stellt man (nach viel verschwendeter Zeit!) fest, dass sie bestimmte, wichtige Dinge nicht können!

In meiner Verzweiflung rate ich dem Kunden bereits, sich entweder eine externe Firma zu suchen, die Online-Seminarbuchungen als Dienstleistung anbietet (davon gibt's schon eine Menge) oder aber auf Wordpress umzusteigen - und einen entsprechenden Wordpress-Entwickler. Dann geht mich das Thema nichts mehr an. Ich bin dann raus. In WP will ich mich auf meine alten Tage nicht mehr einarbeiten!

**************

Auf https://extensions.joomla.org/…s/booking-a-reservations/ gibt's ne ganze Menge Extensions, die aber ALLE nicht zur Seminarbuchung taugen, sondern meist für Hotel- oder Restaurantreservierungen gedacht sind und ähnliches. Seminare stellen ganz spezielle Anforderungen, die sehr komplex sind, und offenbar gibt es einfach zuwenig potenzielle Kunden für Seminarmanager. Ein Dilemma!

Zitat von Kallle

NACHTRAG: Oh Schei**! Gleiches Verhalten auf der Originalseite, und ich weiß nicht wo es her kommt und seit wann es besteht! ...

Gott sei Dank, der Übeltäter ist gefunden. Es waren die Akeeba Admintools!

Leider habe ich die spezifische Einstellung nirgends gefunden, so dass ich das Teil komplett deaktivieren musste (Komponente und alle Plugins).

Jetzt kann ich wieder Admins und SUs anlegen. Freu!

Zitat von Elwood

Wie so oft. Ich würde sowas nicht nutzen.

Zitat von firstlady

Danke für die Rückmeldung. Ich hätte gleich danach fragen sollen, denn das Ding ist so oft die Ursache für derartige Fehler.

Ich habe es bisher eigentlich nur für Manipulationen an der Datenbank genutzt (z. B. prefix oder collation ändern) weil ich SQL nicht drauf habe. In Zukunft werde ich es für solche Fälle nur temporär installieren und danach gleich wieder rauswerfen.

Ich meine, dass in früheren Versionen (oder waren es die Free-Versionen?) diese Admin-Schutzfunktionen gar nicht in den Admintools enthalten waren. Wahrscheinlich wurden sie irgendwann eingeführt und waren standardmäßig vorausgewählt. Mein Fehler: Englische Erläuterungen lese ich nur sehr ungern, weil ich die Feinheiten der Sprache nicht so beherrsche, und beim groben Überfliegen geht das eine oder andere dann einfach am A**** vorbei.

Glücklich gemacht haben die mich noch nie; eher in die Bredouille gebracht: Z. B. war ich auch schon mal als Admin ausgesperrt, weil ich den .htaccess-Generator unbedacht genutzt hatte. Das heutige Erlebnis nehme ich zum Anlass, mich davon zu verabschieden.

Seltsam: Die Akeeba-Backupsysteme sind für mich schon seit vielen Jahren unverzichtbar. Aber ich habe den Fehler gemacht, zu denken: Wenn eine Extension eines Entwicklers super ist, dann sind's die anderen auch ...