phpwcms Support Forum

Im Moment bin ich dabei meine kommerzielle Website - da gilt die Aussage mit dem Schuster und den Leisten - von V. 1.3.9 auf R 402 umzustellen bzw. neu aufzubauen.
(1) Beim Upgrade der Datenbank muß(!) auch für diese Version die ein Upgrade für die Artikelalias gefahren werden - steht, wenn ich mich noch richtig erinnere nicht definitiv im Anleitungstext!
(2) Seit dem Upgrade habe ich ein Problem mit meinem eMailformular, das seit einigen Tagen verstärkt als Junkmailversand genutzt wird. Gibt es da einen Hinweis auf Änderung des eMailformulars oder eine definitve Verbesserung. Das Formular ist mit einem Captchacode ausgestattet - wie schon immer - anscheinend wird das jetzt regelrecht umgangen.

Keine mir bekannte Änderung, ich würde auf jeden Fall anstatt Captcha die Rechenaufgabe verwenden.

Knut

Ich habe heute in Bezug auf oben mir die Datenbankeintragungen noch einmal angeschaut:
Fakt: Das Formularscript hat ein sicherheitsrelevantes Problem: der Captchacode wird umgangen!

So sieht ein Downloadsatz aus:


Kein Captchcode wurde geführt! Warum auch kein Datum? Alles Mülleinträge, die dazu führten, dass gestern mein eMailaccount mit ca 1000 solcher Müll-einträge zu war.

Habe nun heute MATH SPAM hinzugefügt, was bestimmt helfen wird - bis wieder ein pfiffiger Spamer dahinterkommt!

Mit deinem geliebten "Fakt" wäre ich vorsichtig.

Hast du irgendwelche Scripte am Formular hängen?
Oder gar "Muss ausgefüllt werden" nicht gesetzt?

Außerdem verstehe ich den Sinn dieser Übung nicht, ein Postfach blind zuzuspamen.
Wartet dort jemand auf das Kollabieren des Servers, dann muss die Taktrate pro Zeiteinheit extrem hoch gewesen sein?

Was steht denn direkt in der DB dazu?

Knut

Das ist nichts anderes als ein BOT Netz ... sieht man an den IP Adressen. Lass dir einen neuen Server ( oder IP ) verpassen kukki, da wirst du nicht mehr froh.

Hast du deine Sachen auf einem Gameserver laufen ? Die werden gerne so malträtiert .. Botnetze und Denial of Service. Womöglich ist dein gesamter Server gehackt ?!

Ich habe für das Problem Formularspamming vor ein paar Tagen ein weiteres Feature integriert. Damit kann in den Verifizierungs-/Verarbeitungsschritt des Formulars eine PHP Funktion eingebunden werden. Per Default existiert eine Funktion, um auf Link-Post zu testen [url=... und auch wenn mehr als 3 mal http darin vorkommt.

Ich wollte das noch dahingehend ausbauen, dass Akismet angebunden werden kann.

Der integrierte Aufruf lautet für diesen Fall: block_comment_spam[notice] Sind noch 1-2 Dateien mehr dabei, falls sich jemand für zusätzliche Tags bei Bilderlisten interessiert.

Noch etwas: Captcha wird nicht umgangen! Diese Captchas sind leider nicht sicher. Auch hier sollte ich eventuell darüber nachdenken, stattdessen Recaptcha einzubinden, da hier viel zuverlässiger auf solche Umgehungsbemühungen reagiert werden kann und permanent nachjustiert wird.

Allerdings mit oben genanntem Verfahren, gegen alternative Dinge zu prüfen, ist dem Formularspam eher ein Riegel vorzuschieben denn mit lästigen Captchas.

Oliver

Bitte Verzeichnisnamen im zip file korrigieren: Erweiterte Language Datei fehlt.

Knut

Updated!