Seite 1 von 9 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 90

Thema: Die derzeitige Gästebuch-Spam-Attacke ...

  1. #1
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard Die derzeitige Gästebuch-Spam-Attacke ...

    Entgegen einiger Gerüchte und enormer Verwirrung bezüglich der derzeitigen Gästebuch-Attacken selbst hier im Forum möchte ich hier mal einiges klarstellen, bzw. meine Erfahrungen damit kund tun.

    Erhaltet Ihr auch solche oder ähnliche Einträge in Eurem Gästebuch:
    Code:
     vtcjfm 
     10.02.06 um 15:22 Uhr  
     
     
    Visit 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]
    oder
    Code:
    cialis schrieb: 
     06.03.2006 | 22:37 Uhr  
     
    buy cialis buy cialis
    cheap cialis cheap cialis
    cialis soft tabs cialis soft tabs
    buy cialis buy cialis
    cialis generic cialis generic
    cheap cialis cheap cialis
    oder eben Ähniches?

    Nunja.
    Es handelt sich dabei nicht etwa um Personen oder "Tätergruppen" wie von diversen Leuten hier immer wieder behauptet wird, sondern höchstwahrscheinlich um servergesteuerte Computerprogramme (bots) die in stupider und automatisierter Form ihr Unwesen treiben. Eventuell sogar einer gewissen neuen Art von Viren.

    Es nützt daher recht wenig, diese zu verwarnen, Verbote auszusprechen, zu versuchen diese per IP-Logging zu identifizieren zu wollen und somit ausfindig machen zu wollen - um sie rechtlich belangen zu können oder sogar mit dem Staatsanwalt zu drohen. Ihr macht Euch damit nur lächerlich und verwundert vermutlich Eure "realen" Gäste umsomehr.

    Es hilft hier bloss eines: Überprüft Eure Gästebücher und Login Skripte auf Sicherheit und Individualität und modifiziert sie dementsprechend wirksam.

    Wenn Ihr die Open Source PHP Skripte ohne Veränderungen der Variablen und deren Dateinamen auf Euren Servern installiert habt, so wird es mit größter Wahrscheinlichkeit irgendwann der Fall sein daß euere Gästebücher, Blogs und Foren mit diesem Spam zugemüllt werden. Auch wenn alle den "gleichen" Trick benutzen, werden diese Blockaden vermutlich auf kurtz oder lang wieder umgangen werden können. Es dauert nur eben manchmal eine gewisse Zeit, bis die Bots euch gefunden haben...

    Ich persönlich habe diese Missere oder etwas Ähnliches mit der ganzen massenhaften Verwendung von Open Source PHP Skripten schon vor einigen Jahren sehen kommen...

    Mir ist im Moment noch unklar, wie "intelligent" oder "lernfähig" diese - ihr Unwesen treibenden Computerprogramme - eigentlich sind oder welchen Zweck sie nun wirklich verfolgen bzw. wem sie letzlich dienen und wer seinen Nutzen davon hat. Aber eines dürfte recht klar sein: Seid Ihr einmal auf der Liste der Adressen dieser Umtriebe, so könnt Ihr Euch schon bald nicht mehr retten vor lauter "Spamm rauslöschen müssen" ...

    Wenn es ganz dicke kommt, so können diese Biester sich auch noch selbsttätig reproduzieren...


    Ich habe verschiedenen Untersuchungen und Tests angestellt und entdeckt, daß sehr einfache Veränderungen an den übermittelten Variablen in den Login Skripten diese Bots definitiv lahmlegen. Wie lange das wirksam sein wird, ist hier nur leider die Frage...

    Da aber die Quelltexte der meisten Gästebücher im Netz auf ein und denselben unveränderten PHP Skripten beruhen, haben die Bots-Programmierer natürlich ein leichtes Spiel sich in Eure Gästebücher per Programm einzuloggen und Euch dann zuzuspammen. Das was jetzt läuft, sind vermutlich nur erste sporadische Tests.

    Das Phänomen tritt zur Zeit verschärft bei einer bestimmten (und sehr beliebten und daher weit verbreiteten) Art von Gästebüchern auf, die allesamt auf den gleichen oder ähnlichen Login und Submit - Mechanismen beruhen.

    Desshalb: Lasst Eure Gästebücher von PHP Programmierern schleunigst *individuell* bearbeiten oder tut dies selbst. Vermutlich ist die Spitze des Eisberges mit dieser ganzen Geschichte noch längst nicht erreicht.

  2. #2
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard Hier gleich kongrete Lösungen für das Problem ...

    Vorschlag 1: Nennt die PHP Login Skripte einfach um und ändert alle Verweise auf sie dementsprechend ab.

    Somit können die Bots diese Skripte nicht mehr lokalisieren. Die suchen ja nur nach solchen Skripten, die ihnen auch als potentielle "logins" und "submits" einprogrammiert wurden.

    Vorschlag 2: Fügt eine zusätzliche (versteckte) Variable - deren Namen nur Ihr kennt und der für Eure Webseite einzigartig ist - in das Loginverfahren ein und modifiziert alle per Maus ausgeführten abhängigen Submit-Aktionen dementsprechend zur Übertragung dieser Variable.

    Wenn dan der Bot wieder versucht sich mithilfe seines "vorgemerkten" Patterns bei Euch einzuloggen und die Daten per HTTP Variablen an das Skript zu übergeben, fehlt eben diese zusätzliche Variable und der Submitversuch schlägt fehl.

    Es sei zu erwähnen, daß Ihr schon einschlägige PHP Programmiererfahrungen haben solltet, um solcherart Aktionen erfolgreich zu meistern.

    Es bleibt nur zu hoffen, daß die Open Source PHP Programmierer zukünftig bessere Schutz- und Konfigurationsmaßnahmen in ihre Installationsskripte einbauen werden. Oder die Nutzer zukünftig etwas bedachter mit Ihren Installationen von Open Source Code auf öffentlich zugänglichen Servern umgehen werden.

  3. #3
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Hier mal einige Beispiele, wie drastisch sich das ganze im lauf kurzer Zeit auswirken kann:

    [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]

    Dabei wird man ja verrückt...

  4. #4
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Ach ja: Wenn jemand sich fragen sollte: Wozu dient der ganze Wahnsinn überhaupt?

    Vielleicht ist ja "page ranking" das Schlüsselwort.

    Dann braucht man auch nur noch eins und eins zusammenzuzählen und weis von wem die ganze Sache ursprünglich ausgeht und zu welchem Zweck sie eigentlich dient ...
    Geändert von Spastispam (07.03.2006 um 03:52 Uhr)

  5. #5
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Mein Gästebuch und die einiger meiner Kumpels ist individuell vom Betreiber gecoded worden. Spricht Bots die nach bekannten Büchern suchen schlagen hier niemals durch. Ich bin mir mittlerweile sicher, dass die Gästebuchseiten manuell katalogisiert werden und danach erst den Bots übergeben werden. Ich hätte (neben sicheren Skripten) auch noch ein paar mehr Ideen um das Problem zu bekämpfen:

    - Feldnamen zufällig erzeugen
    - Captchas
    - Cookie setzen und prüfen
    - Sessions
    - Blacklists

    Mir kommt da noch eine andere Idee. Wie wäre es wenn wir die Jungs dort anpacken wo es weh tut? Sie wollen Page-Rank, dann sollen sie ihn bekommen. Man könnte die Seite so massiv verlinken, dass es nur so kracht. Danach reported man das Ding an Google als Index-Spam. Wenn der Plan aufgeht sollte der Kollege aus dem Index fliegen. Vielleicht könnte man viel beworbene Seiten auch direkt an Google und die anderen Suchmaschinenbetreiber melden. Wäre zwar vielleicht nur ein Tropfen auf den heißen Stein, aber ärgern könnte man die Jungs so schon, wenn ihre mühevoll gerankte Site aus dem Index fliegt.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  6. #6
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Blacklists bringt vermutlich nicht viel.
    Cookies schränkt den Betrieb der GBs nur zu sehr ein (man muß sich immer erst über die Eröffnungsseite einloggen um auf das GB zuzugreifen).
    Bei sessions bin ich mir nicht sicher, ob das nicht auch einfach umgangen oder manipuliert werden könnte.

    Die anderen vorgeschlagenen Sachen sind da schon eher nützlich.
    Ich halte jedoch das administrative Setzen einer beliebigen und individuellen zusätzlichen Variable für das Submit auf jeder persönlichen Website für das einfachste, komfortabelste und sicherste. Sollte so ein Bot mal zufälligerweise die Kennung rausbekommen, so kann man sie mit ein par Admin-Klicks einfach umbenennen.


    Ja, Du hast natürlich recht. Die schwulen "Väter" dieser Bots haben sich natürlich zunächst mal die gängigen PHP Scripts mal etwas genauer unter die Lupe genommen um ihre Babies dann mit den entsprechenden Patterns zu versorgen. Aber wer weis, vielleich kommunizieren die Biester auch noch irgendwie untereinander, um so neu gewonnene "Erfahrungen" untereinander auszutauschen.


    Bei einem bin ich mir ziemlich sicher: All das Zeug kommt wohl ursprünglich aus ein und derselben Schmiede und wurde dann von verschiedenen Promoter-Gruppen übernommen. Es sind auch verschiedene Dinge recht auffällig:

    - Es betrifft grösstenteils immer ein und dieselben Gästebücher und Arten von Gästebüchern.

    - Bist Du einmal entdeckt worden (Dein GB), dann kommen die fast *TÄGLICH" und führen immer wieder dieselben Aktionen durch. Also vermutlich suchen die zwar selbständig nach neuen Opfern, aber wenn sie keine finden können (aufgrund ihrer zu priimitiven Arbeitsweise), dann lassen sie all den Frust bei ihren bisherigen Opfern ab...

    - Mann kann da, wie gesagt, auch zwischen "Gruppen" unterscheiden. Die einen promoten gewisse Sexual-Pharmazeutika, die anderen sogenannte Livestyle-Pharmazeutika und andere dann wieder diese Online Casinos.

    - all diese "Gruppen" sind inzwischen (auch bei Google) sehr wohl bekannt. Bennoch tauchen sie im Ranking immer wieder und ohne Unterlass auf.

    - vermutlich hat sich der ganze Sachverhalt auch inzwischen schon verselbständigt, sodaß das Zeugs auf gewissen Servern eben läuft und läuft und läuft ... Ich meine, da ist vielleicht letztlich schon garniemand mehr, der das ganze irgendwann einmal abschalten könnte...

    Was die Vermutung mit den individuell untersuchten Homepages angeht, so glaube ich nicht, daß da ernsthaft Leute sitzen die jede noch so popelige Website erst untersuchen um die Bots zu speissen. Dies wäre ja lächerlich.
    Die halten mit Sicherheit lieber Ausschau nach hochfrequentierten Gästebüchern.

    Somit sind Großbetreiber sicherlich eher im Visier dieser geistig behinderten Wichser.

  7. #7
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    ... Ich halte jedoch das administrative Setzen einer beliebigen und individuellen zusätzlichen Variable für das Submit auf jeder persönlichen Website für das einfachste, komfortabelste und sicherste. Sollte so ein Bot mal zufälligerweise die Kennung rausbekommen, so kann man sie mit ein par Admin-Klicks einfach umbenennen ...
    Die Bots, die ich bisher beim (versuchten) Mißbrauch von Mail-Formularen beobachtet habe (isch 'abe gar keine Gästebuch) lesen die POST-Variablen direkt aus dem HTML-Quellcode des Formulars aus und sind somit relativ leicht zu erkennen, da sie die Variablen zufällig (meist mit eMail-Adressen) füllen. Bereits vorbelegte Variablen können sie aber übernehmen, daher wird die vorgeschlagene Methode nicht lange helfen.

  8. #8
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Wie funktioniert das mit den Bots nun eigentlich konkret?

    PHP und HTTP Variablen sind für viele normalen Gäastebuchbetreiber eher ein kryptisches Rätsel als verständlich.

    Aber die Bots (welche ja nichts anderes als kleine, auf Servern und Fremdrechnern laufende Programme sind) benutzen ganz einfach das HTTP - Protokoll um Einträge in Euren Gästebüchern zu hinterlassen.

    Ich glaube, da gibt eventuell auch eine gewisse Art von "Arbeitsteilung" unter den Bots. Die einen halten ständig Ausschau nach neuen Opfern, die die begehrten Gästebuch-, Blog- und Foren-Skripte auf ihren Servern insztalliert haben (das sind die eigentlichen Bots) und die anderen nehmen dann die Eiträge vor. Es wäre allerdings auch denkbar, das ein Bot (je nachdem wie er implementiert ist) auch beides zusammen erledigt. Also daß der Bot gleich, sobld er ein Gäastebuch im Netz gefunden hat dieses dann auch gleich noch mit dem eigentlichen Spam "bestückt".

    Es ist theoretisch auch möglich, daß es Computerviren gibt, die so programmiert sind, daß sie sich auf x-beliebigen PCs installieren, dann mit bekannten Bots im Internet Verbindung aufnehmen, sich die Listen ausfindig gemachter potentieller Opfer von diesen Bots besorgen und dann die Spam-Attacken von Jedermanns Personalcomputer aus starten. (Ich will sehr hoffen, daß die Intelligenz der Spam Programmierer bisher nicht soweit reichte...)

    Was tut nun eigentlich diese Programm oder wasauchimmer zu meinem Gästebuch senden?

    Wie gesagt, die benutzen ganz einfach das HTTP Protokoll wie jeder andere Nutzer auch. Ein typischer Eintrag könnte nun so aussehen:

    Code:
    www.yourdomain.com/guestbook/gerGuestbookData.php?action=submit&message=Here comes the Spam text&http=http://spam.com&name=spammer name&icq=spammer icq&location=spammer location
    ... etwas deutlicher (mit Zeilenumbrüchen und Erkärungen) :

    Code:
    http://www.yourdomain.com/guestbook/gerGuestbookData.php
    ?action=submit
    &message=[der Text des ganzen Spams hier]
    &http=[der Link des Spammers]
    &name=[der (fiktive) Name des Spammers]
    &icq=[ja, die schreiben zuweilen auch ICQs hinein]
    &location=[der (fiktive) Sitz des Spammers]
    Wie man sieht, senden sie ihre HTTP Anforderung ganz einfach an das entsprechende Skript und fertig ist der Brei.

  9. #9
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Zitat Zitat von heinerle
    Die Bots, die ich bisher beim (versuchten) Mißbrauch von Mail-Formularen beobachtet habe (isch 'abe gar keine Gästebuch) lesen die POST-Variablen direkt aus dem HTML-Quellcode des Formulars aus und sind somit relativ leicht zu erkennen, da sie die Variablen zufällig (meist mit eMail-Adressen) füllen. Bereits vorbelegte Variablen können sie aber übernehmen, daher wird die vorgeschlagene Methode nicht lange helfen.

    Das ist eine sehr interessante Theorie, wiederspricht aber eindeutig meinen bisherigen Erfahrungen.

    1. Wenn die Bots das tun würden, müßte das ja an den Logs irgendwie zu sehen sein. Die rufen aber nicht erst das Formular zur Übertragung (was ja mittels PHP erst auf den Server generiert werden müßte) auf.
    Nein, die tätigen meist einen einzigen Aufruf: Das ist der Call des entsprechenden Skriptes mit dem vollständigen Set von Variablen.

    2. Mein Vorschlag funktioniert bis jetzt tadellos. Würden Sie "auslesen", dann könnten sie es ja sehr einfach umgehen.

    3. Ich glaube nicht, daß die überhaupt schon so weit sind, erst rumzuprobieren bzw. das Formular abrufen, dieses dann zu parsen und ihre Aktion dann dementsprechend anzupassen. Die wäre ja schon ein erstaunlich intelligentes Vorgehen...

    Die derzeitige Praxis zeigt jedoch ganz deutlich, daß diese Bots oder was auch immer das sind ziemlich bekloppt agieren. Geschrieben von Leuten mit ziemlich begrenztem "know how" in Sachen Programmierung. LOL

    Ich will nur hoffen, daß wir denen nicht noch die Ideen hiermit liefern. Aber letzlich würde das nur dazu beitragen noch sichere Methoden zu finden sich davor zu schützen.


    Was Du da beobachtet hast sind mit Sicherheit keine Bots sondern Hacker gewesen, die versucht (untersucht) haben ob man da was mit deinem netten Mail Skript anfangen kann.
    Geändert von Spastispam (07.03.2006 um 15:24 Uhr)

  10. #10
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Ich verstehe auch nicht, was Du in diesem Falle mit "aulesen" meinst...

    Ein (menschlicher) Nutzer kann ohne weiteres die Variablen "auslesen", ja. Nämlich indem er z.B. mal testweise auf den "Submit" Button klickt und dann die HTTP Variablen aus der gesendeten URL ausliest.

    Ein Bot hat diese Möglichkeit nicht. Die meisten PHP Gästebücher sind komplett in PHP gecodet. Da ist kein Formular, was man vorher anfordern könnte um irgendwelche Variablen zu sehen. Auch hat ein Bot keine Möglichkeit mal testweise auf einen Button zu drücken um an diese Informationen heranzukommen.

    Wenn ein Bot das PHP Skript nicht gleich mit den richtigen HTTP Variablen bestückt und es korrekt aufruft, ist da keine Möglichkeit irgendwas auszulesen, da das Skript dann wohl in 90% der Fälle garnicht erst ausgeführt würde sondern eine Fehlermeldung generieren würde oder einfach abbrechen würde. Auf keinen Fall würde es mit vielen der besagten Gästebüchern ohnehin nicht möglich sein vorher ein Formular aufzurufen, das die gesuchten Variablen enthält.

    Daß Bots so umfangreiche und teilweise intelligente Parsing-Aktionen durchführen und dann doch selbständig Untersuchungen anstellen und Entscheidungen treffen, halte ich zunächst (heute) vorläufig für Utopie. Zumindestens sind diese Spammer wahrscheinlch (und Gott sei Dank) viel zu "einfach gestrickt" um sowas zu fabrizieren.


    Somit ist es sehr wichtig, Gästebücher so zu coden, daß es für ein Bot auf keinen Fall möglich ist vorher irgendwie machinell an die gültigen Variablennamen ranzukommen.

    Der Aufruf eines eventuell PHP generierten Eingabeformulars müsste bereits mit einer (der) für jedes GB individuellen Variablen geschützt sein.
    Geändert von Spastispam (07.03.2006 um 16:27 Uhr)

Seite 1 von 9 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen