ANLEITUNG: SPAM über die Kontoerstellung verhindern

[kumpelmagnet]

Hallo,
seit neuestem werden wir gespammt, das sieht dann so aus :

Nachname: http://www.example.com/ra.asp?url=http://www.example.com

kann man das verhindern bei Version 1.06 SP4 ?

Grüsse

Anton

[EDIT Tomcraft 29.05.2019: Hier geht es direkt zur Anleitung von p3e.]

Linkback: https://www.modified-shop.org/forum/index.php?topic=40268.0

[p3e]

Das habe ich seit gestern auch. Das Blöde ist, dass der Shop das nicht abfängt und der Mailempfänger eine Willkommensmail vom Shop mit der SPAM-URL erhält. Hier eine schnelle Lösung:

Ich habe den Vor- und Nachnamen nicht nur auf die Länge sondern zusätzlich noch auf vorkommen von http überprüft:

In den Dateien create_account.php UND create_guest_account.php
suche nach:

Code: PHP  [Auswählen]

if (strlen($firstname) < ENTRY_FIRST_NAME_MIN_LENGTH) {

ersetzte durch:

Code: PHP  [Auswählen]

if ((strlen($firstname) < ENTRY_FIRST_NAME_MIN_LENGTH) OR (preg_match("/http/",$firstname))) {

und suche nach:

Code: PHP  [Auswählen]

if (strlen($lastname) < ENTRY_LAST_NAME_MIN_LENGTH) {

ersetzte durch:

Code: PHP  [Auswählen]

if ((strlen($lastname) < ENTRY_LAST_NAME_MIN_LENGTH) OR (preg_match("/http/",$lastname))) {

Kann sein, dass die Stelle in der Version 1.06SP4 etwas anders aussieht aber wichtig ist, dass jeweils auch nach http gesucht wird.

[EDIT Tomcraft 29.05.2019: Anleitung in Beitrag 1 verlinkt]

[kumpelmagnet]

Hallo,

danke für die schnelle Hilfe, ich habe es gleich eingebaut, mal sehen wie lange es dauert bis ihnen was neues einfällt.

Grüsse

Anton

[Timm]

Ich hab dafür Ticket #1637 angelegt, damit es nicht untergeht.

Gruß Timm

[Herr_Bert]

Auch von mir 
habe das seit gestern auch 

[GTB]

Hi,

wir haben bereits die Registrierung mit einem möglichen Captcha versehen.

Gruss Gerhard

[p3e]

[...] bis ihnen was neues einfällt.
[...]

Deshalb hatte ich ursprünglich vorgehabt statt die shopinternen Fehlermeldung zu nutzen eine erfolgreiche Registrierung vorzugaukeln. Aus Zeitmangel, habe ich mich dann doch für die schnelle und einfache Lösung entschieden und will jetzt mal schauen, ob da noch was kommt.

Ich habe das gestern direkt eingebaut um zu verhindern, dass mein Shop zum Spammen missbraucht wird und seitdem ist bei mir auch Ruhe.

[Timm]

@p3e
Passierte es bei dir trotz Captcha bei der Registrierung? Oder hast du eine Version, wo das noch nicht integriert ist?

Gruß Timm

[p3e]

Hallo Timm, ich wollte die Registrierung nicht zusätzlich durch ein Captcha verkomplizieren. Bisher hatte ich da auch noch keine Probleme. Sollte die "http-Sperre" auf Dauer nicht fruchten, werde ich es zunächst mit einem Zeitstempel versuchen. Das hat bei dem Kontaktformular prima geholfen.

[HaldOn]

Danke p3e!

Wäre es nicht auch Sinnvoll den Ort, Straße und den Firmennamen (B2B) so zu schützen?

[Haketing]

Danke für die schnelle Code-Copy-Paste Hilfe.


Gruß
Thomas

[p3e]

Danke p3e!

Wäre es nicht auch Sinnvoll den Ort, Straße und den Firmennamen (B2B) so zu schützen?

Ich vermute, dass es dem Spammer darum geht, seine Links zu verbreiten. Da in der E-Mail, die der Shop an die angegebene Mailadresse verschickt nur der Name vorkommt, gehe ich nicht davon aus, dass die anderen Felder interessant sind. Damit die angezeigt werden, müsste der Bot eine Bestellung auslösen. Soweit sind die wohl noch nicht.

[viza]

Das habe ich seit gestern auch. Das Blöde ist, dass der Shop das nicht abfängt und der Mailempfänger eine Willkommensmail vom Shop mit der SPAM-URL erhält. Hier eine schnelle Lösung:

Ich habe den Vor- und Nachnamen nicht nur auf die Länge sondern zusätzlich noch auf vorkommen von http überprüft:

In den Dateien create_account.php UND create_guest_account.php
suche nach:

Code: PHP  [Auswählen]

if (strlen($firstname) < ENTRY_FIRST_NAME_MIN_LENGTH) {

ersetzte durch:

Code: PHP  [Auswählen]

if ((strlen($firstname) < ENTRY_FIRST_NAME_MIN_LENGTH) OR (preg_match("/http/",$firstname))) {

und suche nach:

Code: PHP  [Auswählen]

if (strlen($lastname) < ENTRY_LAST_NAME_MIN_LENGTH) {

ersetzte durch:

Code: PHP  [Auswählen]

if ((strlen($lastname) < ENTRY_LAST_NAME_MIN_LENGTH) OR (preg_match("/http/",$lastname))) {

Kann sein, dass die Stelle in der Version 1.06SP4 etwas anders aussieht aber wichtig ist, dass jeweils auch nach http gesucht wird.

[EDIT Tomcraft 29.05.2019: Anleitung in Beitrag 1 verlinkt]

Eine noch genauere Prüfung kann man mit untenstehendem Ausdruck hinbekommen. Hierbei werden Web-Adressen mit und ohne http(s) geprüft. Die PHP-eigene Filtermöglichkeit mit filter_var und FILTER_VALIDATE_URL funktioniert leider auch nur bei URLs mit http(s) voran.

Hier der Ausdruck (z. B. für die Prüfung des Nachnamens):

Code: PHP  [Auswählen]

preg_match("!^(http|https)?(://)?(www\.)?([a-z0-9\.-]{3,})\.[a-z]{2,4}(/)?$!i", $lastname)

Ich habe zudem gesehen, daß in den genannten Kontoeröffnungen als Vorname immer auch Spam-Text in Form von Beträgen in $ und dergl. angegeben wurde. Hier hilft es auch noch auf unerlaubte Zeichen zu prüfen, z. B.:

Code: PHP  [Auswählen]

!preg_match("#^[a-zA-ZäöüÄÖÜßÈÉÁÀéèà'`´ \.]+$#", $lastname)

hierbei sind alle Zeichen von A-Z, Umlauten, Akzenten, Punkt und Leerzeichen erlaubt. Die erlaubten Zeichen können beliebig erweitert werden. Bitte hier auf das "!" vor preg_match achten, da in der Fehlerprüfung ja festgestellt wird, ob Zeichen enthalten sind die den Vorgaben nicht entsprechen.

Bei der Prüfung sollte man vielleicht dann auch noch den Fehlertext verallgemeinern. Der ist ansonsten immer z. B. "Der Nachname muss aus mindestens xy Zeichen bestehen".

[HaldOn]

[...]
Ich vermute, dass es dem Spammer darum geht, seine Links zu verbreiten. Da in der E-Mail, die der Shop an die angegebene Mailadresse verschickt nur der Name vorkommt, gehe ich nicht davon aus, dass die anderen Felder interessant sind. Damit die angezeigt werden, müsste der Bot eine Bestellung auslösen. Soweit sind die wohl noch nicht.

Danke für die Erläuterung!

[MasterChief]

Hallo, vielen Dank für die Tips.
Ich habe für den Vornamen folgendes eingebaut. Mit der Änderung hinten dran zu $firstname funktioniert das dann auch wenn ein $ im Vornamen vorkommt (beispielsweise), es darf da also nicht $lastname lauten, sicher ein Flüchtigkeitsfehler aber ich wollte es hier bekanntmachen.

Code: PHP  [Auswählen]

if ((strlen($firstname) < ENTRY_FIRST_NAME_MIN_LENGTH) OR (!preg_match("#^[a-zA-Z0-9äöüÄÖÜßÈÉÁÀéèà'`´ \.]+$#", $firstname))) {

Insgesamt scheint das gut zu funktionieren, ich habe die Prüfungen für Vor- und Nachnahme kombiniert und kann micht testweise mit den Spamangaben die versucht wurden, nicht mehr anmelden. Danke