Uns hat es jetzt auch erwischt. Wir bekommen jetzt Bot-Anmeldungen. Es sind ca 20/Tag, tendenz steigend. Wie kann ich das verhindern?
Danke und Gruss
Die Kundenanmeldung hat aufgehört. Seit heute morgen [EDIT, seit 3 Tagen je 15] habe ich jedoch das Problem, dass ein Bot auf zwei Shops versucht sich in die Newsletterliste einzutragen. Ich bekomme die Mail-Error Kopien. Hat jemand eine Idee?
Selbes Problem hier. Auch ca. 15 (versuchte) Newsletter-Anmeldungen. Auch seit 3 Tagen. Es sind immer gmail.com-Adressen.
Leider keine Lösung 
Wir haben gestern dieses CSRF wieder aktiviet, seit dem ist Ruhe, zumindest was den Versand von Optin-E-Mails angeht.
Die Fehlermails haben wir natürlich immer noch bekommen. Ist aber seit heute Vormittag auch vorbei.
Habt Ihr CSRF deaktiviert?
Ja, also ich habe für das Frontend das CSRF aktiviert. Soweit ich das Blicke, müsste allerdings der Bot/Mensch die Seite neu laden damit der CSRF im Kontext der Seite geladen wird? Und das machen die Leute/der Bot halt nicht. Ich werde wohl den Server neu starten um die aktiven Sessions zu destroyen?
Kommt denn der Bot immer mit der gleichen IP oder zumindest aus dem gleichen IP-Block? Wenn ja => IP für ein paar Tage via .htaccess aussperren.
Hi @sonic . Kannst du mir den Tip geben wo ich die IP eines Users/Newsletteranmelders finde? Danke dir.
In der anmeldung die Uhrzeit raussuchen und mit dem Serverlog vergleichen (irgendwas mit /register); dort die Ip raussuchen.
Wenn unsicherheit besteht was die ip angeht:
1 „Gefällt mir“
Dazu benötigst Du neben dem Errorlog von Shopware noch den Serverlog (ich bekomme die immer nach Mitternacht)
Dann notierst Du Dir die exakte Zeit aus dem Shopware-Log, und suchst nun im Serverlog nach einen Eintrag um diese Zeit (kann ggf. um 1 Sekunde variieren)
Da suchst Du nach einen “POST” auf “newsletter”.
1 „Gefällt mir“
Ich habe auch das Problem. Lässt sich der Newsletter vorübergehend komplett deaktivieren?
Ich glaube da gibt es plugins für.
Auch mal die Forensuche bemühen.
Evtl. wäre es auch ratsam, euren Traffic über Cloudflare laufen zu lassen. Cloudflare sortiert hier schon einmal extrem gut aus. Außerdem wird eure Server IP dann auch noch verschleiert, sodass der Bot gar nicht erst eure IP Adresse des Servers für irgendeinen anderen Mist bekommt. Zusätzlich kann man dann natürlich auch noch ggf. die Firewall & Co einreichten. SSL Zertifikate sind auch über Cloudflare kostenlos - Ähnlich wie Let`s Encrypt und es gibt noch einige andere Features.
Dazu noch die csrf Tokens und dann sollte eigentlich Ruhe sein.
Ich bin jetzt auch endlich mal dazu gekommen, in die Log-Dateien zu schauen und nach den entsprechenden Einträgen zu filtern.
Die IP-Adressen sind leider sehr gestreut. Es gibt nur wenige Doubletten.
Auffällig sind zwei Sachen:
-
Die Browser-Kennung ist immer Firefox 7.0.1
-
Die Aufrufe kommen auch über zusätzliche Domains (schreibweise mit Bindestrich, .com-Endung etc) die nur per htaccess 301 weitergeleitet werden. Sowie über Keyword-Domains die mal als Landing-Pages genutzt werden sollen, derzeit aber nur per Header-Weiterleitung auf den Shop zeigen.
Das sind ca. 15 unterschiedliche Domains. Ich frage mich woher “die” alle unsere Domains kennen?
Insgesamt frage ich mich aber vor allem, was der Zweck der ganzen Sache ist? Ich komme einfach nicht drauf. Hat jemand vielleicht eine Idee?
Edit: Meine Aussage aus dem Beitrag weiter oben muss ich zurück nehmen: Es sind nicht nur Gmail-Adressen.
Außerdem sind die verwendeten Email meistens nicht existent. Aber nicht immer. Wir haben auch schon Auto-Reply Nachrichten zurück bekommen.
Edit2: CSRF ist hier derzeit aus. Aber ich schaue mal, dass wir so schnell wie möglich auf 5.2.21 updaten und die Tokens dann wieder einschalten können.
Klar, Cloudflare - der Anbieter, der Wochenlang Userdaten frei im Netz verteilt - und an den Laden soll man die Domain-Kontrolle abgeben? ;-)
Dürfte ein Botnetz sein, welches das Tor-Netzwerk benutzt.
Seit Sonntag hab ich auch ettliche Zugriffe auf einer Domain auf newsletter. Immer das gleiche Muster: 2x GET und 1x POST innerhalb von eins zwei Sekunden. Das wird sich die Tage auch wieder legen. Da ich auf der Domain eh keinen Newsletter benutze, leite ich aktuell alle POST auf newsletter per 302 nach google um.
Das Problem sind nicht die “Bots”, das Problem ist das grottige Handling von Shopware was “Fehler” betrifft. Keine Konfiguration was man lesen will, und was nicht. Keine Konfiguration, wohin Error-Mails gesendet werden solln. Das Errorreporting von Shopware ist unter aller Sau.
Cloudflare baue ich gerade wieder in einem Projekt raus.
Wer sich da nicht besser mit DNS / MX etc. auskennt sollte ganz normal das Hosting und Domainkonnektierung aufsetzen.
Das Errorreporting von Shopware ist unter aller Sau.
Und im Standard löschbare Logfiles…
Solch ein Bot Problem ist ja erst einmal nicht direkt Sache der Software, sondern des Servers. Wenn Ihr nicht auf Cloudflare setzen wollt, dann wäre etl. ISPProtect ganz interessant: ISPProtect BanDaemon - ISPProtect
ISPProtect analysiert hier die Log Dateien und auch POST/GET Anfragen und sortiert entsprechend aus. Habe es selbst noch nicht ausprobiert, aber schaut ganz interessant aus.