Russische Spammer registrieren Kundenkonten

Thema wurde von Anonymous, 11. März 2018 erstellt.

  1. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    So ganz schrecklich viel kann man da nicht tun. In den Logs zu den Angriffen die ich gesehen hab, kamen die Registrierungsversuche von einem bunten Blumenstrauss von IP Adressen von überall. Die auszuschliessen schafft man dann nicht. Man kann im GProtector Log (security....) jetzt mal schauen ob da jetzt Muster sind, aber ich schätze eher nicht. Dann bleibt nur aussitzen.
     
  2. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Als normaler Kunde in einem kleinen Standard Webhosting hat man da wenig Möglichkeiten. Das kann man machen, wenn man einen eigenen Server betreibt.
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    22. September 2011
    Beiträge:
    894
    Danke erhalten:
    84
    Danke vergeben:
    131
    @Wilken (Gambio)
    ich habe mir gerad mal den Ordner logfiles angesehen da sind Massen an zip Dateien drin.
    Dort liegen auch die (Link nur für registrierte Nutzer sichtbar.) einträge.
    Kann ich den komplet leer machen oder sind da Dateien drin die erhalten bleiben müssen?
     
  4. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.675
    Danke erhalten:
    878
    Danke vergeben:
    288
    Grundsätzlich weiss ich ja erstmal nicht, wer hier was für ein Hosting hat und was der Provider bereit ist, gegen dieses Problem zu tun. Getreu der Devise: "Versuch macht klug" und "Fragen kostet erstmal nix". (Meistens jedenfalls)
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    24. Mai 2011
    Beiträge:
    134
    Danke erhalten:
    8
    Danke vergeben:
    34
    @holgernernn
    ..mein logfiles Ordner hat bereits eine Größe von über 30MB ...und wird immer mehr.
     
  6. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Die jeweils nicht mehr aktuellen Dateien werden gezipped um sie kleiner zu machen. Man kann da alles löschen, der Shop nimmt das nicht übel. Man hat dann nur keine Historie mehr um nachträglich irgendwas zu debuggen.

    30MB? Bringt niemandem um.
     
  7. stefan_ulrich

    stefan_ulrich Erfahrener Benutzer

    Registriert seit:
    13. März 2016
    Beiträge:
    62
    Danke erhalten:
    10
    Danke vergeben:
    17
    Ich habe einen Versuch gemacht und den Shop von gestern 18.46 Uhr bis heute 7.06 Uhr komplett von der Domain genommen. Das Log spricht Bände:

    Genau von 18.46 bis 7.07 Uhr war Ruhe, sofort nach der Reaktivierung setzten wieder wütende Angriffe ein. Von "die ziehen weiter, wenn es sich nicht mehr lohnt" keine, aber auch gar keine Spur! Nur was soll das noch, wenn der Protector blockt?

    MfG

    Stefan Ulrich
     
  8. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    16. August 2011
    Beiträge:
    308
    Danke erhalten:
    44
    Danke vergeben:
    77
    Hmm ... es handelt sich doch ganz offensichtlich um eine Bot, der diesen Angriff steuert.
    Vielleicht gibts ja auch so was wie "defekte Bots", der einfach nicht registriert, dass am gewählten Angriffspunkt nicht voran zu kommen ist und trotzdem seine Versuche fortsetzt.
    Klingt doch, als wenn da eine Maschine arbeitet, die jemand vergessen hat abzuschalten.
    Oder - der Bot tut Dinge, die man nicht erkennen kann ... in dem er vielleicht permanent seinen Angriff modifiziert, um nach hunterttausend Versuchen doch einbrechen zu können, oder um einen Moment des Ausfalls des Protectors abzupassen.
    Nur mal ein paar spontane Gedanken dazu ...
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    16. August 2011
    Beiträge:
    308
    Danke erhalten:
    44
    Danke vergeben:
    77
    #249 Anonymous, 27. April 2018
    Zuletzt bearbeitet: 27. April 2018
    Hatt diese Permamant-Attacke noch andere Auswirkungen? In dem das z.B. die Performance anderer Shop-Besucher beeinträchtigt?
     
  10. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    2. Dezember 2012
    Beiträge:
    598
    Danke erhalten:
    69
    Danke vergeben:
    243
    @Wilken (Gambio) - Verschwinden nach der Installation des Security Updates von dieser Woche die Einträge im Security Log des Shops?
     
  11. stefan_ulrich

    stefan_ulrich Erfahrener Benutzer

    Registriert seit:
    13. März 2016
    Beiträge:
    62
    Danke erhalten:
    10
    Danke vergeben:
    17
    #251 stefan_ulrich, 2. Mai 2018
    Zuletzt bearbeitet: 2. Mai 2018
    Habt Ihr (vom Angriff betroffenen User) dieser Tage auch einen Werbeanruf bzw. Post von "Löwenstark Digital Solutions" bekommen, die Euren Shop für 39 Euro prüfen wollen? Ist doch ein netter Zufall, gell?

    Jedenfalls haben die Spammer die Aktivität noch etwas angezogen. Ich habe jetzt bis zu 4 Anmeldeversuche in 90 Sekunden und 30 - 48 in der Stunde. Derart kompromittiert ist der Shop fast tot.

    MfG

    Stefan Ulrich
     
  12. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    24. Mai 2011
    Beiträge:
    134
    Danke erhalten:
    8
    Danke vergeben:
    34
  13. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.675
    Danke erhalten:
    878
    Danke vergeben:
    288
    Wenn dein Server das nicht mit einem Schulterzucken wegpackt, würde ich das Hostingpaket wechseln.
     
  14. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    24. Mai 2011
    Beiträge:
    134
    Danke erhalten:
    8
    Danke vergeben:
    34
    ..glaube geht eher darum das es seit 7 Wochen einfach nur nervt ... ....und man "das" nicht los wird.
     
  15. stefan_ulrich

    stefan_ulrich Erfahrener Benutzer

    Registriert seit:
    13. März 2016
    Beiträge:
    62
    Danke erhalten:
    10
    Danke vergeben:
    17
    Das kann aber nicht die Lösung sein, denn vor diesen Attacken lief mein Shop auch dann ordentlich, wenn er gut frequentiert war. Und soo schlecht ist das 1&1 unlimited auch nicht.

    Ich wäre glücklicher, wenn man seitens Gambio das Problem löst, denn offensichtlich hat die Software an der Stelle einen Schwachpunkt.

    MfG

    Stefan Ulrich
     
  16. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.309
    Danke vergeben:
    2.208
    Das sehen wir jetzt nicht so. Ich wüsste auch nicht, was wir da jetzt tun könnten, denn wir werfen die Anfragen nach Mustererkennung ziemlich früh in der Verarbeitung einfach weg. Für mich, für uns, existiert da keine Schwachstelle.

    Wenn man ein klein wenig in der Materie steckt, kann sich auch mit Tools wie Postman einfach mal einen bösen Request wie in den Logs gezeigt zusammenbauen und an seinen Shop senden, sich dann ansehen wie schnell die Verarbeitung fertig ist, da ist wenig Luft.

    Wir sind da raus...
     
  17. stefan_ulrich

    stefan_ulrich Erfahrener Benutzer

    Registriert seit:
    13. März 2016
    Beiträge:
    62
    Danke erhalten:
    10
    Danke vergeben:
    17
    Deshalb hast Du auch meine beiden Hilferufe via PM ignoriert?

    Das ist mir zu wenig.
     
  18. Anonymous

    Anonymous Beta-Held

    Registriert seit:
    22. März 2015
    Beiträge:
    2.381
    Danke erhalten:
    640
    Danke vergeben:
    414
    @stefan_ulrich,

    ich kann Wilken bzw. Gambio verstehen. Was sollen die noch machen wenn irgendwelche Spammer es auf eurere Server abgesehen hat.

    Wilken hat übrigens in seinem Footer stehen das er nicht auf PM antwortet. Eröffne ein Ticket dann wird das auch bearbeitet.
     
  19. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.675
    Danke erhalten:
    878
    Danke vergeben:
    288
    Das ist ein Billigstangebot mit Minileistung, bei einem Hoster der keine Shops vernünfig hosten kann.


    Wenn Dir jemand regelmässig mit dem Schraubendreher den Lack am Auto verkratzt, verlangst Du dann auch vom Autohersteller ein Update gegen Lackkratzer?
     
  20. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.675
    Danke erhalten:
    878
    Danke vergeben:
    288
    Wilken steht in der vordersten Reihe bei Gambio. Jeder kennt ihn und am liebsten will jeder von ihm direkt bedient werden.
    Ist ungefähr so wie mit Marcel Davis bei 1&1. Der kommt auch nicht persönlich bei Dir vorbei.

    Bei über 20.000 Shops, kannst Du Dir mal ausrechnen, wieviel Zeit Wilken bleibt, wenn er jedem einmal im Jahr 5 Minuten gönnt. Da muss er noch einige Überstunden einlegen...