Seit Anfang des Shops haben sich immer mal wieder Fakekunden in die Kundenkonten eingetragen. Meist war bei der Firma dann angegeben: google oder AT&T oder apple oder microsoft. Vor ca. 1 Monat hat aber jemand 40000 Kundenkonten mit der gleichen Firma: Acunetix und immer mit der Emailadresse: sample@email.tst angelegt. Das muss ja ein robot sein…
Wie kann man solche Fakekundenkonteneintragungen verhindern? Durch ein Captcha? Woher bekomme ich ein Captcha bei der Anmeldung?
Und wie kann ich am einfachsten diese 40000 gleichen Kundenkonten löschen?
Vielen Dank schon mal für die Hilfe. Achso: Version ist Shopware 5.1.5
Wie kann es sein, dass es 40000 Kundenkonten mit der gleichen E-Mail Adresse gibt? Die E-Mail Adresse ist eigentlich unique, deshalb würde ich mal prüfen, ob da nicht jemand Daten über einen anderen Weg einschleust.
Unabhängig davon gibt es für die Bots mehrere Möglichkeiten :
Captcha (wobei das für die Usability nicht gerade das Beste ist)
Honeypot (gut für die Usability, funktioniert aber nicht immer)
Clean-Pipe (heißt bekannte Bot-Netze werden blockiert, z.B. cloudflare.com)
Einmalkonten halt. Das was angelegt wird, wenn man einen Kauf ohne Kundenkonto vornimmt. Das Konto wird ja dann vor dem Abschluß des Kaufs angelegt. Da darf ja nicht geprüft werden, ob die Adresse schon vorhanden ist.
so als temporäre Lösung, je nachdem welche Version du gerade einsetzt, kannst du auch ein Captcha bei der Regisrierung einsetzen.
Dazu gibt es was kostenlos und kann daher auch so getestet werden.
Gibts nicht von Netinventors ein Plugin zum Kunden sperren, anhand Name, Email etc ? In irgendeinem Shop haben wir das.
Gruss.
Ahoi Zusammen,
unser Plugin AccessManager http://store.shopware.com/detail/index/sArticle/161505 könnte da gut helfen, da man hier E-Mailadressen mit bestimmten Domains bei der Regisitrierung aussschließen (oder auch erlauben) kann.
Viele Grüße
Tobi
Wie kann das Plugin verhindern, dass sich ein Neukunde 40000 Mal einträgt?
Löschen dürfte das einfachste sein wenn immer die gleiche emailaddi benutzt wird.
In der tabelle s_users stehen die drin. Wenn die allerdings auch noch eine fakeadresse angeben haben steht dieser vermutlich auch in der s_user_adresses tabelle.
Die Tabellen sind über ID bzw. userID verknüpft. Mit einem SQL Befehl sind die schnell weg. Wenn aber verschiedene emailaddi verwendet werden artet es in Arbeit aus.
Man sollte auch prüfen wie sie es geschafft haben. Nicht das jemand Zugriff auf die DB hat. Wenn Du weißt wann das passierte schau Dir die access.log an und achte auf post Einträge. Dann schau Dir die IPs an. Zur Zeit kommen viele Hackversuche von anonymen Servern aus Africa, Asien.
An der aktuellen shopware soft scheitern sie kläglich wie ich gesehen hab
Captchas waren noch nie, sind nicht und werden auch nie eine angemessene Lösung für dieses Problem sein. Derjenige, der sich das Ding ursprünglich ausgedacht hat, war ein geistig umnachteter Autist. Captchas sind ein gutes Beispiel, wie die ganze Welt einer hirnrissigen technischen Idee hinterherrennt, ohne es zu merken. Gibt noch mehr Dinger von der Sorte. Android-Smartphones zum Beispiel. Hört auf, die Leute mit so nem Mist zu quälen!
Wenn man lediglich Menschen von Bots trennen will, gibt es andere Möglichkeiten wie Sand am Meer, einige sind schon genannt worden. Gerne genommen wird auch die Messung der Ausfüllzeit des Formulars oder, wenn alles nix hilft, das Beantworten einer simplen Spamschutzfrage, deren Darstellung über ASCII-Codes bzw. HTML-Entities verschleiert wird. Ich hab die Frage „Wie heißt die Haupstadt von Frankreich?“ auf einer anderen Website schon über 6 Jahre im Einsatz, bisher hat es noch kein Bot geschafft, in das passende Feld „Paris“ einzutragen.
Ein Captcha-freier spamsicherer bzw. -armer Registrierungsprozess ist meiner Meinung nach eine Funktionalität, die bei einem Shopsystem dieser Größe (bzw. bei jeder Webanwendung mit Formularen) zum Standardumfang gehören sollte. Soo kompliziert ist der Einbau auch wieder nicht. Aber gut zu hören, dass wenigstens ein Einfallstor für Spam anscheinend in den neueren Versionen geschlossen wurde.
Die Fake Anmeldung sind bei mir über einen Crawler gekommen, den habe ich in der .htaccess Datei im rot Verzeichniss des Severs - nicht im Hauptordner des Shops -gefunden.
Falls die Datei dort nicht existiert, dann sollte man eine anlegen. Mir ist aufgeffallen dass eine bestimmte IP Adresse den Server NONSTOP 24 Stunden lang crawlt. Nach dem ich die IP gesperrt habe, sind die Anmeldungen verschwunden und die Webseite baut sich schneller auf. Der Crawler IP Adresse kommt von einem deutschem Server aus und gehört einem “Shop”.
Übrigens, die Shopversion hat nichts damit zur tun. Die Fake Anmeldungen waren bei mir auch noch in der 5.2.18 Version