Sorge um Sicherheit aufgrund von Fake-Konten

[yorgey]

Ich habe sein 7 Woche genau das gleiche Problem. Habe jetzt Captcha aktivier, seitdem ist ruhe.
Interessant ist, das die verwendeten Email Adresse real sind.

[p3e]

p3e, wenn du die Zeit findest versuche doch bitte mal meinen Ansatz aus Antwort #9.
Vielleicht finde ich aber auch vor dir die Zeit und melde mich dann hier nochmal dazu.

Erster!
Ich musste auf den Paketboten warten und habe die Zeit mal schnell damit überbrückt. Dein Ansatz hat Verwendung gefunden und wie ich vermutet habe, geht es auch updatesicher.

Einfach die Datei /includes/extra/application_top/application_top_end/p3e_register_time_check.php
mit folgendem Inhalt erstellen:

Code: PHP  [Auswählen]

<?php

// p3e Zeitstempel Create Account 2019-10-23
// diese Datei sollte im Verzeichnis shop\includes\extra\application_top\application_top_end stehen
// CHK_TIME_MIN entspricht der Zeit in Sekunden, die der Kunde zum Ausfüllen mindestens benötigen soll
// (default=2) - falls Bots durchkommen schrittweise erhöhen
defined('CHK_TIME_MIN') || define('CHK_TIME_MIN', 2);

if (basename($_SERVER["SCRIPT_NAME"], '.php') == 'create_account' || basename($_SERVER["SCRIPT_NAME"], '.php') == 'create_guest_account') {
        if(!isset($_POST['action']) || (isset($_POST['action']) && $_POST['action'] != 'process')) {
                        $_SESSION['timechk'] = time();   // Zeitstempel
                }
                if(isset($_POST['action']) && ($_POST['action'] == 'process')) {
                        if (isset($_SESSION['timechk'])) {
                                if (time() - $_SESSION['timechk'] < CHK_TIME_MIN) {
                                        // stinkt nach Bot - ab auf die Startseite
                                        unset ($_SESSION['timechk']);
                                        xtc_redirect(xtc_href_link(FILENAME_DEFAULT));
                                }
                        } else {
                                xtc_redirect(xtc_href_link(FILENAME_DEFAULT));
                        }
                }
}

Als Minimum-Zeit die der Kunde zum Ausfüllen benötigen soll, habe ich zwei Sekunden vorgegeben.
Ich kann das selber nicht testen, ob es bei Bots funktioniert, da ich erst einmal so eine Fakeanmeldung hatte. Eventuell sind 2 Sekunden zu kurz angesetzt.
Falls Bots direkt mit $_POST['action'] == 'process' ein Konto anlegen wollen (also ohne zuvor in der selben Session das leere Formular aufgerufen zu haben), wird dies ebenfalls ignoriert.

[Timm]

Probier ich Tage auch aus und berichte.

Gruß Timm

[karsta.de]

Ich habe auch für die Registrierungsdateien gute Erfahrungen mit dem Einbau des unsichtbaren Feldes gemacht (Honeypot).
Nachdem ich mir die eingegeben Daten angesehen hatte, war mir aufgefallen, dass alle Felder ausgefüllt wurden, selbst das Bundesland war mit einer eigenen Eingabe versehen, obwohl es für das eingegebene Land keine Bundeslandauswahl gab. Aus diesem Grund hatte ich mich für das unsichtbare Feld entschieden, da das ja nicht ausgefüllt sein darf, um sich anzumelden.

BG kgd

[noRiddle (revilonetz)]

@p3e
Gut, danke, das sollte es erstmal tun.
Die von Fake/Bot-Accounts Betroffenen sollten das mal testen und Feedback geben.

Nebenbei:

Code: PHP  [Auswählen]

basename($_SERVER["SCRIPT_NAME"], '.php')

würde ich der/den software-spezifischen Syntax/Variablen folgend mit

Code: PHP  [Auswählen]

basename($PHP_SELF, '.php')

ersetzen, wo $PHP_SELF in der /includes/application_top.php doch bereits definiert ist.

Gruß,
noRiddle

[p3e]

@noRiddle: Danke für die Antwort.
Ich habe es nicht getestet aber beinhaltet PHP_SELF nicht auch die Parameter der URL?
Bei SCRIPT_NAME bin ich mir auf jeden Fall sicher, dass es funktioniert und sehe auch wenn es mit PHP_SELF gehen sollte keinen triftigen Grund das zu ändern.

Edit: Ich sehe gerade, dass es keinen Unterschied macht ob man in den Fall SCRIPT_NAME oder PHP_SELF nimmt und somit auch keinen Grund das zu ändern.

[noRiddle (revilonetz)]

Natürlich muß man das nicht ändern.
Ich benutze halt immer gerne bereits definierte Variablen um Redundanzen zu vermeiden und Verständlichkeiten zu erhöhen. Ist reine Geschmackssache.

Gruß,
noRiddle

[Timm]

Bei 2 Sekunden hat es heute jemand geschafft. Habs in 2 Shops eingebaut. Vorher waren es aber 10 pro Tag.

Gruß Timm

[p3e]

Hallo Timm, dann Versuch doch Mal 3 sec.

[Timm]

Stell ich morgen ein. Bin grad auswärts.

Die Zeit beginnt aber auch nach einer Fehlermeldung neu zu zählen, oder? Heißt man kann da nicht zu hoch rangehen. Wenn man normal die gesamte Registrierung in ca 30s durchlaufen kann, dann kann man bei einem einfachen fehlerhaften Feld  plus neu einzutragendem Passwort das vielleicht in 5s lösen.

Gruß Timm

[Kawabiker]

Ich habe die Zeit auf 5 Sekunden eingestellt.
Trotzdem hat sich wieder einer angemeldet.

Gruß
Mike

[sEdeMi]

Seit ihr schon mal auf die Idee gekommen diese Sache anders anzugehen? Das Problem über einen Timer anzugehen, halte ich nämlich für nicht sehr intelligent.

[hpzeller]

Hallo sEdeMi,

ja hättest du denn noch eine Idee wie man das Problem lösen könnte ausser dieser -> Spam-Bots erstellen Kundenaccounts im Shop Antwort #27 bei der man ev. den Hosting-Provider wechseln muss? Meiner Meinung nach sollte man mehrere Strategien Anwenden um das Problem zu reduzieren. Zum Beispiel könnte man sowohl die zeitbasierte Methode von p3e als auch eine Honeypot-Methode wie hier, plus ev. ein Captcha einsetzen, wobei man das Captcha nicht jedem zeigen müsste sondern z.B. nur denen die das Registierungsformular direkt aufrufen und/oder nichts im Warenkorb haben, für letzteres könnte man die Session des Sitebesuchers auswerten.

Gruss
Hanspeter

[sEdeMi]

Also wenn ich davon betroffen wäre, was ich noch nie war, würde ich zunächst mal versuchen herauszufinden, ob da wirklich ein Bot zugange ist oder jemand mit einem Gesicht vor dem Monitor sitzt. In Anlehnung an Wordpress Betreiber, die von dem Problem wirklich und noch viel mehr geplagt sind, verhält es sich bei Wordpress zumeist so, dass tausende von Bots den ganzen Tag nichts anderes machen als nach Hosts Ausschau halten, die beim Aufruf der wp-login.php keinen Fehler zurückgeben. Überträgt man das jetzt auf den Modified Shop übertragen, müsste man testweise die create_account.php umbennen, aber dabei nicht vergessen die filenames.php entsprechend zu ändern. Sofern dieses Script mit dem Timer im Einsatz ist, würde ich dieses vorzugsweise deaktivieren, weil das grad nicht weiterhilft, um das mit dem Umbennen der create_account.php testen zu können.

Wenn das schon mal zur Lösung beiträgt, ist es schon mal gut. Wenn nicht, würde ich dazu tendieren, dass hier kein Bot im Einsatz ist, sondern ein realer Bösewicht zu Werke geht. Bevor man dann aber was konkretes unternimmt, bräuchte man erstmal Feedback dazu. In Abhängigkeit dazu kommen dann schon noch vergleichsweise einfache, aber wirkungsvollere Vorschläge das zu lösen. Es liegt also an den Betroffenen das mal zu testen.

[p3e]

Ich hatte nur einen dieser Aufrufe und das war definitiv ein Bot, da er gar nicht erst das Formular sondern direkt die Inhalte per Post übertragen hat. Ein solche Registrierung wird durch meine Erweiterung ebenfalls geblockt.
Wenn das bei Timm kein Zufall war, wären es immerhin schon mal eine Reduktion von ca. 90%. Timm, halte uns da mal bitte auf dem Laufenden.

Ohne die Logdateien zu kennen, halte ich es für eine gewagte Aussage, dass es sich um Personen handelt, die die Registrierungen vornehmen. Man bedenke, dass man in der Zeit, in der man 10 Registrierungen manuell schreibt schon fast den Bot entsprechend programmiert hat.

Dennoch wäre es spannend die Logdateien zur Verfügung zu haben.
Dabei reicht es aus, die IPs die Zugriffe auf die create_account.php hatten rauszusuchen und dann alle Zugriffe, die von diesen IPs erfolgt sind rauszufiltern (auch die eventuellen Zugriffe vor dem create_account.php Zugriff). Sollte sich herausstellen, dass die IPs wechseln, müsste man über die Session filtern.

Das Umbenennen des Dateinamens kann helfen. Das habe ich damals zunächst beim Kontaktformular so gemacht. Das hatte leider nur temporär geholfen. Zumindest der Bot für das Kontakformular ist lernfähig was den Link auf das Kontaktformular angeht. Langfristig geholfen hat da nur die (laut sEdeMi unintelligente) Zeitkomponente.