Seite 2 von 9 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 90

Thema: Die derzeitige Gästebuch-Spam-Attacke ...

  1. #11
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    Das ist eine sehr interessante Theorie, wiederspricht aber eindeutig meinen bisherigen Erfahrungen.
    In Bezug auf Gästebücher mag das stimmen, bei Mailformularen ist das an der Tagesordnung.
    Zitat Zitat von Spastispam
    ... Was Du da beobachtet hast sind mit Sicherheit keine Bots sondern Hacker gewesen, die versucht (untersucht) haben ob man da was mit deinem netten Mail Skript anfangen kann.
    Anhand der Logfiles sieht man, daß das Bots waren, die u.a. auch versteckten Links zu Spamtraps gefolgt sind und sich dort verfangen haben. Ma sieht auch am "Ausfüllverhalten" des Formulars, daß hier kein Mensch am Werke ist.

    Wenn Deine Maßnahmen bisher helfen: gut. Ich wollte bloß darauf hinweisen, daß die nächste Stufe der Bots bereits existiert, wenn sie vielleicht auch noch nicht gegen Gästebücher eingesetzt wird.

  2. #12
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    Ich verstehe auch nicht, was Du in diesem Falle mit "aulesen" meinst...

    Ein (menschlicher) Nutzer kann ohne weiteres die Variablen "auslesen", ja. Nämlich indem er z.B. mal testweise auf den "Submit" Button klickt und dann die HTTP Variablen aus der gesendeten URL ausliest.
    Geht aber nur, wenn die GET-Methode verwendet wird. Die empfiehlt sich aber aus diversen Gründen sowieso nicht mehr.

    Zitat Zitat von Spastispam
    Ein Bot hat diese Möglichkeit nicht. Die meisten PHP Gästebücher sind komplett in PHP gecodet. Da ist kein Formular, was man vorher anfordern könnte um irgendwelche Variablen zu sehen. Auch hat ein Bot keine Möglichkeit mal testweise auf einen Button zu drücken um an diese Informationen heranzukommen.

    Wenn ein Bot das PHP Skript nicht gleich mit den richtigen HTTP Variablen bestückt und es direkt aufruft, ist da keine Möglichkeit irgendwas auszulesen, da das Skript dann wohl in 90% der Fälle garnicht erst ausgeführt würde sondern eine Fehlermeldung generieren würde oder einfach abbrechen würde.

    Daß Bots so umfangreiche und teilweise intelligente aktionen durchführen und dann doch selbständig Untersuchungen anstellen, halte ich zunächst (heute) vorläufig für Utopie.
    Der Bot braucht doch nur die (HTML-)Seite aufrufen, die das Formular bereitstellt. Da sieht er dann:

    <form action="/geheimerPfad/gb.php" method="POST">
    <input name="comment" ...>
    <input type="hidden" name="GeheimeVariable" value="BinIchSchlau0815">

    </form>


    und schon "weiß" er, daß er das Skript /geheimerPfad/gb.php mit den Parametern "comment", "GeheimeVariable" mit Inhalt "BinIchSchlau0815" mit der POST-Methode aufrufen muß.
    Und wenn er ganz schlau ist, dann besucht er jedes Mal die HTML-Seite und kann so den Inhalt von GeheimeVariable immer richtig setzen.

  3. #13
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Zitat Zitat von heinerle
    Der Bot braucht doch nur die (HTML-)Seite aufrufen, die das Formular bereitstellt. Da sieht er dann:

    <form action="/geheimerPfad/gb.php" method="POST">
    <input name="comment" ...>
    <input type="hidden" name="GeheimeVariable" value="BinIchSchlau0815">

    </form>


    und schon "weiß" er, daß er das Skript /geheimerPfad/gb.php mit den Parametern "comment", "GeheimeVariable" mit Inhalt "BinIchSchlau0815" mit der POST-Methode aufrufen muß.
    Und wenn er ganz schlau ist, dann besucht er jedes Mal die HTML-Seite und kann so den Inhalt von GeheimeVariable immer richtig setzen.

    Nein. Geht auch generell nicht wenn das Formular vorher aufgrund unserer versteckten Variable erst mittels PHP gültig generiert werden muß. SELBST DIE BEZEICHNUNG DIESER VARIABLE KANN BEI DER EINRICHTUNG DES GB ADMINISTRIERT WERDEN. Das ist genau der Punkt.

    Viele programmieren Ihre Schutzmaßnahmen einfach an der falschen Stelle. Es darf (wie schon erwähnt) auf keinen Fall möglich sein, daß der Bot irgendein Formular vorher "zu sehen" bekommt, aus dem er dann gemütlich die Variablen auslesen kann. UND JEDES GB SOLLTE DESHALB INDIVIDUELL EINGERICHTET WERDEN. Keine stereotypen Übernahmen von vorgefertigten Skripten also.

    Dann bliebe nur noch eins: Der Boot muß alle möglichen Webseiten auf Deinem Server parsen um alle möglichen versteckten Variablen zu finden dann eventuell für den Zugang zum Gästebuch Verwendung finden könnten - mit den entsprechenden Inhlten der geheimen Variablen ...

    Wenn dann Deine ganze Webseite mittels PHP erstellt ist (also keinerlei HTML Formulare) vorhanden sind, ist es schier unmöglich ohne extremen manuellen Aufwand vorher an den Mechanismus ranzukommen. Eher was für Hacker aber mit Sicherheit nicht für die Bots die momentan unterwegs sind.


    Übrigens (für ganz paranoide Gästebuchspambekämpfenwoller): Man kann seine Dateien bei der Einrichtung auch umbenennen. Somit müsste der Bot dann ganz aussenvor stehen, da er keinen Anhaltspunkt für den Zugang zum GB mehr hat.

    Die ganze Sache gibt es ja überhaupt nur deshalb, weil alle GBs, Bloggs und Foren nahezu die gleichen Verzeichnisstrukturen und Dateinamen und Skriptvariablen benutzen.
    Geändert von Spastispam (07.03.2006 um 18:02 Uhr)

  4. #14
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    Nein. Geht auch generell nicht wenn das Formular vorher aufgrund unserer versteckten Variable erst mittels PHP gültig generiert werden muß. SELBST DIE BEZEICHNUNG DIESER VARIABLE KANN BEI DER EINRICHTUNG DES GB ADMINISTRIERT WERDEN. Das ist genau der Punkt ...
    Ich fürchte jetzt stehe ich auf dem Schlauch:
    • Spätestens auf der Seite, auf der ich (als Mensch) den Submit-Knopf anklicke muß diese Variable doch gesetzt sein (egal, wie ihre Bezeichnung ist).
    • Sie darf aber nicht vorher irgendwo anders gesetzt werden, denn dann setzt das voraus, daß ich das Formular nur nach vorherigem Besuch anderer Seiten dieser Website ausfüllen kann.
    • Aber wenn ich Mensch die Seite mit dem Formular aufrufen kann dann kann das ein Bot auch. Und dann kann er die Variablen dieses Formulars alle genauso auslesen als wenn ich auf "Ansicht-Seitenquelltext" klicke.

    Falls Du das anders siehst oder ich Dich ganz falsch verstehe - werd doch mal etwas konkreter: wo sollen welche Variablen "versteckt" generiert werden, wie werden sie wem übergeben und wer fragt sie wo wie ab?

  5. #15
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Zitat Zitat von heinerle
    Ich fürchte jetzt stehe ich auf dem Schlauch:
    • Spätestens auf der Seite, auf der ich (als Mensch) den Submit-Knopf anklicke muß diese Variable doch gesetzt sein (egal, wie ihre Bezeichnung ist).
    • Sie darf aber nicht vorher irgendwo anders gesetzt werden, denn dann setzt das voraus, daß ich das Formular nur nach vorherigem Besuch anderer Seiten dieser Website ausfüllen kann.
    • Aber wenn ich Mensch die Seite mit dem Formular aufrufen kann dann kann das ein Bot auch. Und dann kann er die Variablen dieses Formulars alle genauso auslesen als wenn ich auf "Ansicht-Seitenquelltext" klicke.

    Falls Du das anders siehst oder ich Dich ganz falsch verstehe - werd doch mal etwas konkreter: wo sollen welche Variablen "versteckt" generiert werden, wie werden sie wem übergeben und wer fragt sie wo wie ab?

    Ein Mensch kann das nur durch Anklicken eines speziellen Buttons oder eines Links. Der Bot kann das nicht (ja der hat nicht mal einen Monitor oder eine Maus).

    Dann müßte also der Bot:

    1. Alle Deine Seiten mit den Verweisen zu den eventuellen Gästebücherlinks aufrufen und PARSEN.

    2. Dann entscheiden/untersuchen bei welcher Variablen und Link es sich um den Zugang zum Gästebuch handelt.

    3. Auch auf alle möglichen Links "klicken" um eventuell erst die PHP generierten Seiten zu erstellen die den Zugang zum Gästebuch enthalten.

    6. Logisch entscheiden ob es sich bei den gefundenen Links eventuell um ein individuelles Gästebuch mit den typischen (und bekannten) Submit-Variablen habndelt.

    5. Mit diesen Informationen dann das Gästebuch Formular aufrufen und gültig ausfüllen...

    Ja in welchem Film bin ich denn jetzt? Bist Du sicher, daß wir über die selben Dinge reden hier?


    Ich versuche die ganze Zeit klarzumachen, daß es darauf ankommt in erster linie alle bekannten "Patterns" für diese Bots irgendwie zu verbauen. Ich rede nicht davon irgendwo wieder ein neues (angeblich sicheres) vorgefertigtes GB runterzuladen und zu installieren mit der Variable: "GeheimeVariable" - Die unschlagbare Waffe gegen Gästebuch Bots.

    Alles klaro?
    Geändert von Spastispam (07.03.2006 um 18:34 Uhr)

  6. #16
    Neues Mitglied
    Registriert seit
    06.03.2006
    Beiträge
    41

    Standard

    Eines sei hier nochmal klargestellt: Keines der Bots (wenn es überhaut richtige Bots sind) über die wie hier reden hat je irgendwo Websiten geparst um dann irgendwelche "komplexe Logik" oder so anzuwenden um Eure Gästebücher vollzuspammen.

    Wer das glaubt, sieht wahrscheinlich zu viel SciFi Channel...

    Die kommen alle über sehr sehr simple "vorgefertigte" Patterns. Wenn Ihr da auch nur eine Stecknadel ins Getriebe werft, sind sie außer Gefecht gesetzt. So einfach ist das.

    - Sie suchen alle nach den bestimmten Dateibezeichnungen für die Skripte
    - Sie verwenden alle den selben Submit-Mechanismus via HTTP Variablen und Methoden (je nach Typ des gefundenen GBs)
    - Euer GB einmal entdeckt kommen sie wie die Angestochenen immer wieder und spammen Euch sinnlos und stupide mechanisch zu.

    Das ist alles.

    Es gibt die verschiedensten Möglichkeiten diese Stecknadel ins Getriebe dieser Bots zu werfen. Welche Methode Ihr letztlich benutzt bleibt Euch überlassen. Letztlich ist es aber auch eine Frage der Zeit und des Aufwandes, die Ihr dafür ver(sch)wenden wollt.

    Nur eines ist wichtig zu wissen: Wenn Ihr das vorgefertigte PHP Material ohne Änderungen auf Euren Webservern installiert, seht Ihr auf kurz oder lang vermutlich ziemlich alt aus.


    Ihr braucht dabei nicht einmal den hier beschriebenen Tip mit der ominösen "geheimen Variable" auzuführen. Es reicht sogar schon aus, irgendeine der vorhandenen Variable individuell umzubenennen und alle Verweise im Skript darauf abzuändern. Ihr werdet sehn, es funktioniert.

    Es gibt keine "magisch intelligenten Bots". Auch müsst Ihr nicht immer glauben, was Euch hier aus so manchem vermeindlichen Erfahrungsschatz bezüglich dieser Sache berichtet wird.
    Nein. Diese priimitiven Pseudo-Bots wurden möglicherweise lediglich von minderbemittelten 9-jährigen Script-Kiddies (oder Leuten, die sich geistig offenbar auf dieser Stufe befinden) mit irgendeinem Baukastensystem zusammengebastelt...

    LOL
    Geändert von Spastispam (07.03.2006 um 19:19 Uhr)

  7. #17
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    ...
    Ja in welchem Film bin ich denn jetzt?
    Du bist mittlerweise im Jahr 2006 angekommen.
    Zitat Zitat von Spastispam
    Bist Du sicher, daß wir über die selben Dinge reden hier?
    Ja. Aber erstens unterschätzt Du offenbar die Intelligenz bzw. Programmierkünste der Bothersteller. Und zweitens braucht der Bot nur
    1. Google aufrufen mit "sign guestbook"
    2. munter den angebotenen Links folgen
    3. allen gefundenen "a href=" 1 Ebene zu folgen (das geht ohne Klicken ganz einfach via "GET") - evtl. nötige PHP-Seiten werden vom Server automatisch generiert, da sie nicht zwischen Bot und Browser unterscheiden
    4. überprüfen, ob sich ein <form ...> </form> auf der Seite findet
    5. wenn vorhanden alle <input...> Felder mit Inhalt füllen
    6. die Form-Action aufrufen


    Zitat Zitat von Spastispam
    Ich versuche die ganze Zeit klarzumachen, daß es darauf ankommt in erster linie alle bekannten "Patterns" für diese Bots irgendwie zu verbauen. Ich rede nicht davon irgendwo wieder ein neues (angeblich sicheres) vorgefertigtes GB runterzuladen und zu installieren mit der Variable: "GeheimeVariable" - Die unschlagbare Waffe gegen Gästebuch Bots.
    "Ich versuche" ist der richtige Ausdruck. Dadurch, daß Du 50x wiederholst, daß die Bots nur nach bekannten Skripten suchen wird das auch nicht wahrer. Ich bezweifle ja nicht, daß das so geschieht (ähnlich den formmail.cgi-Attacken), aber an meinem mailto-Skript (das einen obskuren Namen hat und komplett selber programmiert ist) sehe ich, wie die Attacken laufen. Es gibt dumme Bots, die es trotz POST-Methode mit GET versuchen, es gibt aber auch bessere, die ich nur dadurch blocken kann, daß sie irgendwelche BCC in die Felder mit einschmuggeln wollen.
    Zitat Zitat von Spastispam
    Alles klaro?
    Leider nein, da Du immer noch nicht konkreter wirst, an welcher Stelle Du mit Deinen geheimen Variablen einen Bot von einem Browser unterscheiden willst, ohne Cookies, Javascript o.ä. einzusetzen

  8. #18
    Mitglied Avatar von heinerle
    Registriert seit
    07.09.2005
    Beiträge
    776

    Standard

    Zitat Zitat von Spastispam
    Eines sei hier nochmal klargestellt: Keines der Bots (wenn es überhaut richtige Bots sind) über die wie hier reden hat je irgendwo Websiten geparst um dann irgendwelche "komplexe Logik" oder so anzuwenden um Eure Gästebücher vollzuspammen.

    ...

    Es gibt keine "magisch intelligenten Bots". Auch müsst Ihr nicht immer glauben, was Euch hier aus so manchem vermeindlichen Erfahrungsschatz bezüglich dieser Sache berichtet wird.

    ...
    Woher beziehst Du eigentlich Dein absolutes Wissen, das Du hier so wortreich wiederholst?
    Erwartest Du wirklich, daß man allein wegen Deiner Ausführungen, die kein einziges Mal auch nur etwas in die Tiefe gehen, als einzge Vorsichtsmaßnahme alle Variablennamen in Gästebuchskripten umbenannt werden?

  9. #19
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Ich schätze, dass die Forms einmalig von einem Menschen katalogisiert werden.

    Gegen die vollautomatische Befüllung spricht meiner Meinung nach, dass ich in meinem Gästebuch (selbst programmiert, nix von der Stange) immer wieder Werbeeinträge hatte, die sich an die Regeln hielten. Man musste in einem Feld z. B. eine E-Mail-Adresse eingeben (wurde gegen einen reg. Ausdruck geprüft) und in dieses Feld wurden von dem Bots tatsächlich immer "E-Mail-Adressen" eingegeben. Ein Bot kann dies anhand der Input-Tags nicht erraten. Weiterhin wurden in meinem Gästebuch nur die Felder aufgefüllt, welche von mir erzwungen wurden. Weitere Felder wie z. B. Stadt, Land oder ICQ-Nummer wurden nie mit Daten befüllt. Weiterhin trägt das Skript einen ungewöhnlichen Namen. Ich habe auch beobachtet, dass auf einer anderen Seite, wo ich das identische Skript, mit identischen Feldnamen benutzt habe, der Spam immer in anderer Form abgeladen wurde. In einem Gästebuch wurden 15 Werbeeinträge angelegt, im anderen Gästebuch wurden alle 15 Einträge in einem Eintrag getätigt. Dies war regelmäßig so der Fall.

    Die Indizien sprechen also dafür, dass zumindest einige Gästebuchspammer scheinbar die Forms händisch analysieren bevor der Mist abgeladen wird.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  10. #20
    Neues Mitglied
    Registriert seit
    20.02.2006
    Beiträge
    16

    Standard

    Zitat Zitat von Spastispam
    Der Aufruf eines eventuell PHP generierten Eingabeformulars müsste bereits mit einer (der) für jedes GB individuellen Variablen geschützt sein.
    Sorry, das war's bei mir nicht.
    Mein Gästebuch ist vollständig individuell erstellt und dennoch hatte ich Spam.

    Also nehme ich an, dass Menschen das Web nach Gästebüchern absuchen, sich den HTML-Code anschauen und einen Bot darauf "trainieren".

Seite 2 von 9 ErsteErste 1234 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen