Hallo zusammen, mittlerweile bin ich mit meinem Gambio-Shop umgezogen in einen Cloud-Shop. Ich wollte nun im G-Protector über die ip_blacklist.txt einige IPs sperren. Allerdings wird mir die Datei über die Cloud-FTP-Verbindung nicht angezeigt. Wo kann ich im Cloudshop IP-Adressen sperren? Danke!
Das geht nicht, du hast keinen Zugriff darauf. Wir überwachen die Cloud auf diverse Arten von unerwünschten Zugriffen und blockieren die dann zentral. Unerser Einschätzung nach sollte es damit normal keinen Grund geben, warum ein einzelner Shopbetreiber IPs sperren wollen würde. Liegen wir da falsch? Was willst du loswerden?
Es geht um Spammer über das Kontaktformular, die bei mir erst seit dem Umzug in die Cloud auftauchen. Man sieht die IP in Who´s online, könnte sie also aussperren, sofern man Zugriff hätte.
@Wilken (Gambio) Ich hätte da auch ein Beispiel: Die IP 186.93.*.* hat vor wenigen Tagen binnen 100 Minuten rund 30.000 Websiten bei mir abgerufen. Alle 8 Kerne waren zu rund 70% dauerhaft ausgelastet, anstatt meist nur 5%, und der Shop entsprechend langsam. Wenn so eine Adresse nach Bolivien ins Nichts führt, anstatt zu einer seriösen Suchmaschine, die sicher keine 5 Webseiten pro Sekunde aufruft, dann möchte man solche Besucher nicht haben. Bisher habe ich solche Adressen immer direkt in der .htaccess gesperrt
Ich muss das mal eben rekonstruieren, das war ein vielschichtige Diskussion. Ein paar Beispielthemen, die da auf dem Tisch waren: In der Cloud soll der Nutzer so wenig wie möglich mit nötigem technischem Geraffel zu tun haben, das ist eins der erklärten Ziele. Der Anwender soll nichts tun müssen. Wir fahren darum diverse Dinge zum Schutz vor Angriffen und anderen Risiken von unserer Seite aus im Hintergrund. Das endet auch mal darin, dass wir ganze "Landstriche" vorübergehend aussperren, wenn von dort eine ungewöhnliche Anzahl unerklärlicher oder erkennbar böswilliger Requests kommen. Es muss ein klein wenig Menge da sein, damit wir das erstens sehen und zweitens darüber beschliessen, aber wir wollen den Kernjob von uns aus ohne nötige Rückfragen bringen.Das machen wir soweit, das scheint ganz gut zu laufen, es gab da bislang keinen nennenswerten Stress über den doch schon längeren Betriebszeitraum der Cloud. Die nächste Frage wäre dann: Wieviel Zugriff und Eingrifff geben wir der Nutzerschaft zusätzlich selbst und was nützt das, was riskiert das? Es würde nützen, dass der User selbst eben einige Dinge machen kann, klar. Es riskiert, dass der Nutzer glaubt er muss sich erstens doch damit befassen und zweitens Fehlkonfigurationen vornimmt. Wir haben über die Jahre immer wieder Leute im Support gehabt, die aus Fehleinschätzungen der Lage, Misinterpretation von Requests und Missverständnis über die Funktionsweise der Schutzeinrichtungen ihre halbe potenzielle Käuferschaft ausgesperrt haben... Meistens beginnen die Meldungsmails mit "Wann repariert ihr ENDLICH euren Shop? Ich hab seit [Datum vor einigen Monaten] kaum noch Verkäufe und Tool xyz sagt ich hab ernste SEO Probleme!". Das dann erstmal zu analysieren, das wahre Problem zu finden und zu lösen, das ist jedesmal ernsthaft anstrengend für alle Seiten. Da das Risiko, dsas Leute das verbasteln, also real und ernsthaft vorhanden ist, wir aber von uns aus den Elementarschutz sowieso ernsthaft betreiben, ist mehr öffnen eventuell weitgehend über. Wir bringen das von uns aus, was mal der designte Sollnutzen war. Und wIr haben nicht vor, unser Versprechen von Schutz unserer Nutzer in Zukunft zu kassieren, wir haben also was da und versprechen das. Wir haben uns dann entschieden, dass wenn das ganze ein Thema ist, dass der Usecase und zusätzliche Nutzen klein ist, dementsprechend liegt das, ohne gefallenen Beschluss das zu machen, auf dem Stapel von "könnte mal". Was dabei vielleicht interessant ist, im Kontrast: Wir haben inzwischen den GProtector in neueren Shopversionen etwas umgebaut, der holt sich inzwischen regelmässig im Hintergrund eine Regeldatei von uns und wendet die dann an. Sollte uns also eine neue Form von Angriffsvektor bekannt werden, die irgendwie musterhaft ist, dann aktualisieren wir das Regelwerk bei uns und das landet automatisch in allen neueren Shops. Sowohl in der Cloud, als auch selfhosted, in beiden Formen. Wir haben also den Schutz unserer Nutzer weiter gesteigert, ohne dass der Nutzer interagieren müsste. Das geht bis zu dem Punkt wo man sagen kann: Hätten wir den Mechanismus früher gehabt, hätten wir uns ein paar vergangene Sicherheitsupdates sparen können, das was wir jetzt haben hätte allein gereicht um die damaligen Probleme von unserer Seite, ohne Aufwand bei allen, abzustellen. Darin das zu können haben wir echten Mehrwert für komplett alle Nutzer gesehen, und das gebaut.
Die Spamflut über das Kontaktformular (Cloudshop) wird immer größer. "Finanzroboter" ohne Ende. Ich krame daher nochmal diesen alten Vorschlag heraus: ip_blacklist.txt des G-Protectors in den Cloudshops freigeben. Alternative: Im Cloudshop die Möglichkeit geben, bei Bedarf ganze Länder/Regionen auszusperren. Wir brauchen zB keine Kontaktformular-Anfrage aus Russland. Dorthin haben wir noch nie geliefert - dennoch täglich Spam
.. und ich hatte mir aus dem Grund Anti-Spam im Kontaktformular und Callback-Formular - Gambio GX4 gekauft, das installiert werden sollte, aber leider nicht geht, weil es ein Cloud-Shop ist und Gambio das nicht als Modul im Cloudshop haben möchte. Habs wieder stornieren müssen Ich bekomme über das Kontaktformular ca. alle 5 Min eine Spam-Nachricht. Leider muss ich alle einzeln löschen, weil auch inzwischen meine Bestellungen, alle Schreiben von Amazon usw. im Spamordner landen. Ist es nicht irgendwie möglich, die Spamnachrichten von den seriösen E-Mails zu trennen, dass sie nicht erst in meinem Briefkasten landen?
Hallo Barbara, danke für den guten Tipp. Natürlich filtere ich schon lange und sie gelangen ja auch in den Spamordner. Trotzdem muss ich ständig die E-Mails im Spamordner durchgehen, da leider auch normale E-Mails, Bestellungen, die ich lesen sollte, in letzter Zeit verstärkt in diesem Ordner ankommen. Ich möchte deshalb, dass diese Spam-Mails gar nicht erst zu mir gelangen. Sie kommen ja fast komplett aus dem Formular für Kontakte im Gambio Shop und sollten nicht erst weitergeleitet werden. Ich finde es nicht richtig, dass ein Modul das verhindern könnte, aber nicht im Shop installiert werden kann, weil es jetzt ein Cloudshop ist. So hatte ich mir das nicht vorgestellt, als ich in die Cloud gewechselt bin. Ich muss auch feststellen, dass erst seit dem Wechsel die Spamflut so enorm zugenommen hat. Vorher waren es bis zu 20 am Tag, jetzt das fünffache.
Ich habe das gleiche Problem mit Spam übr das Kontaktformular. Da hilft derzeit nur ein gut eingestellter Junk-Filter, klappt bei mir gut.
Hallo zusammen, ich kann Sylvia W. nur beipflichten. Auch bei mir begann die große Spamwelle mit der Umstellung auf den Cloudshop. Zuvor war dies eher eine Randerscheinung. Seit längerem leite ich Anfragen über das Kontaktformular an eine gesonderte Email-Adresse mit extra scharf eingestelltem Spamfilter. Natürlich kommen im normalen Postfach dadurch nur wenige Spams an. Einige kommen trotz Filter durch, warum auch immer. In letzter Zeit zunehmend mehr, und auch die Gesamtzahl erhöht sich massiv. Mittlerweile ist der Arbeitsaufwand hoch: - Man muss regelmäßig den Spamfilter anpassen und optimieren - Täglich muss ich mittlerweile auch den Spamordner durchgehen, um echte Anfragen herauszupicken - sehr nervig. Alles in Allem absolut verschenkte Lebenszeit Das ist nur ein nervzehrendes Herumdoktern an den Symptomen. Viel besser wäre es, wenn man das Problem an der Wurzel packen könnte und die Spams von Vornherein gar nicht erst zuließe. Z.B. durch - G-Protector im Cloudshop freigeben und/oder - Im Cloudshop die Möglichkeit geben, bei Bedarf ganze Länder/Regionen auszusperren und/oder - Eine Art Captcha shopspezifisch, wie es hier im Forum schon einmal beschrieben war: Bilder aus dem Shop anzeigen mit shopinterner Frage, z.B. "welche Farbe hat das Produkt?" und/oder... Alles, was Kontaktformular-Spams vor dem Email-Versand im Shop verhindert, wäre äußerst willkommen VG, Wellisa
Wird denn das Kontakt-Formular bei Euch auch von Kunden genutzt? Wenn das nur selten genutzt wird, würde ich es entweder deaktivieren (im Content-Manager), oder im Theme in der Datei contact.html den ganzen Formular-Block "{block name="contact_form"}" auskommentieren. Bzw. in der eigenen Theme-Kopie eine eigene Datei erstellen und dort den Block weg lassen. Das geht auch im Cloudshop, wenn man das ganze Theme runter lädt, die Datei laut Anleitung einfügt und das Theme wieder im StyleEditor hoch lädt. Wie man das macht steht hier: (Link nur für registrierte Nutzer sichtbar.)
also ich hatte auch im Cloudshop auch massive Probleme mit Spammails, habe dann auf anraten von Gambio das ReCaptcha aktiviert und seit dem kommt keine Spam mail mehr.
Hallo Barbara, danke für Deinen Vorschlag. Leider ist er für mich auch keine praktikable Lösung. Ja, das Kontaktformular wird auch von echten Kunden für echte Anfragen genutzt (mittlerweile sind diese, bezogen auf die Gesamt-Anfragen, leider in der deutlichen Minderheit), besonders für das Anfordern von Produktmustern. Bei der ganzen Problematik kann ich die Argumentation von Gambio nicht ganz nachvollziehen: Aufgrund der Spamflut MUSS sich der Nutzer in der Cloud mit dem "Geraffel" auseinander setzen. Man muss sich irgendwelche Email-Umleitungen und Filter zusammenbasteln, um mit der Sache irgendwie klar zu kommen. Von "Der Anwender soll nichts tun müssen" kann bei dieser Thematik keine Rede sein. Ganz im Gegenteil: Weil der Cloudshop hier kein Aussperren erlaubt, MUSS man etwas anderes tun. Und das ist dann eine Laien-Bastel-Lösung. Schade.
ich habe das Kontaktformular deaktiviert, seither kam keine Spam-email mehr. ich habe in meinem Shop unter Kontakt: WA, Telefon und E-Mail verlinkt. Klappt super. Du könntest auch "Frage zu Produkt" umbenennen, in "Produktmuster anfordern". aber ich bin ganz bei dir. da sollte definitiv etwas von Gambio gemacht werden!
Ich kann das Kontaktformular definitiv nicht abschalten, im B2B und techn. Bereich ist es zwingend nötig. Zudem können die Kunden bei mir ein Angebot über den Warenkorb anfordern. Viele meiner Kunden können/dürfen nicht über Onlineshop bestellen und benötigen ein Angebot. LG Elke
Mit dem Gedanken, das wegzulassen, habe ich auch schon gespielt. Doch ich bin eigentlich auch froh, dass Kunden einen ganz einfach über das Kontaktformular im Shop erreichen können. Habe schon eine Foto-Sicherheitsabfrage eingerichtet, die eigentlich automatische Nutzung ausschließen soll. Aber das ärgert nur die echten Kunden, auf die Spamdichte hat es keinen Einfluss. Da ich auch Direktverkauf anbiete, fragen Kunden manchmal vor dem Kauf nach der Verfügbarkeit einzelner Artikel oder manche möchten einen Besuchstermin ausmachen. Manche finden es eben einfacher, eine kurze Mitteilung zu schreiben als anzurufen. Und mir ist es auch lieber, ich muss nicht ständig ans Telefon. Also ein Kontaktformular empfinde ich als MUSS und je einfacher zu handhaben, um so besser. Wenn nur die Spams draußen bleiben würden, dazu braucht es einen Türsteher. Grüße an alle und eine Kühle Ecke für heute und morgen Sylvia