Massiv viele Spam Beiträge seit gestern

Stefan

Bekanntes Mitglied
Lizenzinhaber
Registriert
9. Juni 2013
Beiträge
458
Punkte
108
Seit gestern bekommen wir viele Spam Beiträge sogar von ganz alten Usern mit diesem Text

Verifpro.net - paypal, ebay, stripe, banks, crypto, docs and more!
Follow channel Verifpro.net to get more info

Wenn ich das Google gibt es viele Webseiten die davon betroffen sind. Was ist da los? Ich habe die neueste Version installiert. Wurden User mit einfachen Passwörtern geknackt und dann sich eingeloggt?
 
Wir haben 2 Faktor Anmeldung ermöglicht, hat aber fast keiner aktiviert. Wie kann man denn Länder aussperren in xenforo?
 
Hy,
Wie kann man denn Länder aussperren in xenforo?
ich denke, er meint die "IP-Sperren"
Du kannst im ACP => Benutzer => Benutzerdisziplin => ausgegrenzte IP-Adressen
IP-Blöcke sperren, welche dann eben keinen Zugriff auf das Forum mehr haben.

Gruß Chris
 
Gibt es da seriöse funktionierende IP Blöcke, die man nicht ständig aktualisieren muss?
 
Hi Otto, wie bekomme ich denn die Kennungen heraus und dann gesperrt? Hast du dafür auch ein Addon im Einsatz oder direkt über .htaccess gemacht?

Danke für die Tipps mit den zwei anderen Addons!
 
Geht aber freilich auch auf Server Ebene bzw. per .htaccess z.B. - ich bin aber ne faule Socke und hab den bequemen Weg gewählt.
 
Das mit dem Ländercode ist schon mal sehr cool. Das wäre aber gut, wenn es auch für das Schreiben im Forum geht. Weil bei mir sind ja die User schon regstriert gewesen vor vielen Jahren ... und die IP war immer 5.61.55.218 vom Angriff gestern. Also auch eine 5 am Anfang. Daher könnte man schon fast die 5 sperren, oder?
 
Daher könnte man schon fast die 5 sperren, oder?
Kommt drauf an, wer dein Board noch besuchen können soll.
Bei mir im Board sind mehrere User mit einer IP-Adresse registriert, die mit "5.18***" beginnen.
Das sind aber User, die ich persönlich kenne, der eine kommt aus Köln, der andere aus Düsseldorf.

Interessanter bei dir wäre erstmal, wie der User Zugriff auf die ganzen Accounts bekam!

Gruß Chris
 
Zur Zeit werden alte Account wieder aktiv, weil deren EMailadresse gehacked wurde.

Wenn Du das ultimative Tool haben willst, dann rate ich Dir zu:

Signup abuse detection and blocking

Da kommt nichts mehr durch.

Und ein paar andere Tipps kann ich Dir auch noch schicken, wenn Du willst. :)
 
Das bezweifle ich massiv. ;-)
Da kommt mit Passwort und Email immer noch jeder Spamer durch der die Zugangsdaten hat. Oder wie will Xon das verhindern?
Das bezweifele ich auch dass das Add-on in diesem Fall etwas bringt.

Wer hatten in den vergangenen Tagen auch etliche Fälle auf mehreren Foren - gleich Spam-Text, gleiche IP-Adresse; auffällige Requests von der IP gab es im Grunde keine.

Betroffen waren
  • durchweg alte Accounts (tlw. ungenutzt, tlw. vor vielen Jahren mit realen Beiträgen )
  • verschiedenste Domains bei den E-Mail-Adressen der User
  • unterschiedliche Systeme (XenForo 1,5, 2.2 und vBulletin 4)
  • unterschiedliche, nicht miteinander in Verbindung stehende Server
Welche Schlussfolgerungen kann man daraus ziehen:

Da es ein globales Problem zu schein scheint würde ich einmal ausschließen dass ein individuelles Sicherheitsleck die Ursache ist, wäre das der Fall gäbe es IMHO nicht zeitgleich soviele betroffene Websites.
Da verschiedene Systeme betroffen sind scheint mir eine Sicherheitslücke der Forensoftware auch eher unwahrscheinlich, wenn das der Grund wäre sollten die betroffenen Systeme nicht so "bunt gemischt sein".
Ein Problem auf tieferer Ebene (Webserver, Datenbank, etc.) würde ich auch eher als abwegig ansehen, dafür sind es je Website viel zu wenige betroffene Accounts.
Dass es so wenige Accounts pro Forum betroffen sind spricht für mich auch dagegen dass da in großem Stil Daten der Foren abgegriffen wurden.

IMHO lässt das nur den einen naheliegenden Schluss zu dass der Angreifer gültige Zugangsdaten für dutzende Accounts verschiedenster Websites hat und diese nutzt.

Die Frage ist also: Woher?

Da würde ich davon ausgehen dass bei einem "externen" Datenleck E-Mail-Adressen und Plaintext-Passwörter (oder ausreichend Informationen um diese zu rekonstruieren) erbeutet wurden.
Diese Daten wurden /werden wiederum genutzt um die Mailboxen anzugreifen, bei erfolgreichem Login alle E-Mails auf Website-Verweise gescannt und protokolliert.
Diese Website-Listen werden /wurden mit dem erbeutetet / rekonstruierten Passwort geprüft - wurde dieses mehrfach verwendet (soll man nie tun aber wie wir wissen machen das viele ...) sind da sicherlich Websites (wie z.B. Foren) dabei welche ebenso einen Zugriff erlauben.
Diese Logindaten wurden / werden auch protokolliert und verkauft oder selbst für Spam-Zwecke genutzt.
 
Zuletzt bearbeitet:
/countryregistrationcheck/ an die Forums-Adresse dran hängen.
Ich hab mir ein Control-Panel Menü dafür und für anderes gebastelt
Danke für den Link, habe den mal in meine ACP-Registerkarte eingefügt ;-)


Ich hatte das auch schon überlegt weil gerade die Doppel-Account Erkennung nice ist. Aber 45 Flocken, für 3 Foren also 135... plus Verlängerungen ist viel Geld für mich.
Ich nutze das AddOn von Andy, funktioniert ziemlich zuverlässlich:
Duplicate account check

Gruß Chris
 
Andy hat auf die neue SPAM-Flut reagiert, und neben dem AddOn für die Registrierungssperre auch ein AddON für eine LogIn-Sperre nach Ländern raus gebracht:
Country log in check

Eine dt. Übersetzung findet ihr hier als auch auf xenforo.com

Gruß Chris
 
Wo kann ich den den "Countrylog Link" eintragen das ich den in dem PopUp Fenster von mewinem Profil sehe wie zb. unten rechts e-mail log?

Könnt Ihr mir da bitte weiter helfen, Danke!

conntry.jpg
 
Hy,
das PopUp ist nicht „deins“, das hat jeder User.
Wenn du den Link da einträgst, wird er bei jedem User im PopUp angezeigt.

Evtl kann man das per User-ID regeln … ob das an der Stelle geht, kann ich dir abhoc nicht beantworten.

Für diese Frage solltest aber mal ein eigenes Thema erstellen, das macht’s grundlegend übersichtlicher

Gruß Chris
 
Zurück
Oben