Gästebuch-Spammer: Wie stoppen ?

Beitrag von **Garfield** » 01.04.2006, 15:14

Hallo,

auf einer Kundendomain habe ich ein kostenloses Gästebuch-Script (Freeware) im Einsatz, das auch prima funzt.

Allerdings hat das in den letzten Tagen wohl ein Spambot gefunden und stürzt sich munter drauf. Das Komische ist, daß es als Mailprog benutzt werden soll.

Ich habe jetzt bestimmt schon 25 solcher Einträge gelöscht :

Datum : Saturday, 01. April 2006 02:06

Name : anny Content-Type: multipart/alternative; boundary=6e79ad3764f8a3a4a29d8ae393e67c66 MIME-Version: 1.0 Subject: must have a apoleon, who can give their something bcc: tlcc00perfamily@aol.com This is a multi-part message in MIME format. --6e79ad3764f8a3a4a29d8ae393e67c66 Content-Type: text/plain; charset=\"us-ascii\" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit to itsilf do so hope they ll win, if they can. ut don t know which wan it was. t first thought it was ngland. hiniver ye hear iv anny counthry helpin us, ye think it is ngland. hat s because ngland has helped --6e79ad3764f8a3a4a29d8ae393e67c66-- . email homepage

Nachricht :

bowed3973@kundendomain.de

Ich habe jetzt mal eine abgewandelte Version von CBack's CrackerTracker für phpBB in die guestbook.php eingebaut (die ich schon vorsorglich in gaeste-book.php umbenannt habe, hat aber auch keinen Erfolg gebracht), folgender Code :

Code: Alles auswählen

//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $REQUEST_URI;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"multipart", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"boundary", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"Encoding", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"Subject", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//

&#91; Hier folgt der normale GB-Code &#93;

<?php

//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $REMOTE_ADDR;
    $cuseragent = $HTTP_USER_AGENT;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du elender Wurm, du ! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//

?>

Gibt es noch eine Möglichkeit, diesen Mist-Bot effektiv zu stoppen ?

Ich weiß ja nicht, auf welche Weise der versucht, das Script zu nutzen, ob der das über die URL macht (etwa gaeste-book.php?anweisung1=blabla&anweisung2=blabla)...

Danke für Hinweise

von **Anzeige von ABAKUS** »

Beitrag von **Metaman** » 01.04.2006, 15:23

versuch es doch mal anstelle von
$cbackcracktrack = $REQUEST_URI;
mit

$cracktrack = $HTTP_POST_VARS;
GET dann am besten komplett blocken..

Beitrag von **Hasso** » 01.04.2006, 15:31

Versuche mal z.B. mit einer Zahl/Wortkombination aus einem generierten Bild, welche der Besucher eintippen muss, erst dann sollen die Daten überhaupt gesendet werden.

Grüsse
Hasso