Fake Kundenkonten per Robot???

Hallo,

Seit Anfang des Shops haben sich immer mal wieder Fakekunden in die Kundenkonten eingetragen. Meist war bei der Firma dann angegeben: google oder AT&T oder apple oder microsoft. Vor ca. 1 Monat hat aber jemand 40000 Kundenkonten mit der gleichen Firma: Acunetix und immer mit der Emailadresse: sample@email.tst angelegt. Das muss ja ein robot sein…

Wie kann man solche Fakekundenkonteneintragungen verhindern? Durch ein Captcha? Woher bekomme ich ein Captcha bei der Anmeldung?

Und wie kann ich am einfachsten diese 40000 gleichen Kundenkonten löschen?

Vielen Dank schon mal für die Hilfe. Achso: Version ist Shopware 5.1.5

 

Wie kann es sein, dass es 40000 Kundenkonten mit der gleichen E-Mail Adresse gibt? Die E-Mail Adresse ist eigentlich unique, deshalb würde ich mal prüfen, ob da nicht jemand Daten über einen anderen Weg einschleust.

Unabhängig davon gibt es für die Bots mehrere Möglichkeiten :

  • Captcha (wobei das für die Usability nicht gerade das Beste ist)
  • Honeypot (gut für die Usability, funktioniert aber nicht immer)
  • Clean-Pipe (heißt bekannte Bot-Netze werden blockiert, z.B. cloudflare.com)

Eine Kombination aus 2 und 3 sollte Dir gute Dienste erweisen. Und wenn es ein Captcha sein soll, nimm bitte Google´s ReCaptcha - https://www.google.com/recaptcha/intro/index.html

Hallo,

Einmalkonten halt. Das was angelegt wird, wenn man einen Kauf ohne Kundenkonto vornimmt. Das Konto wird ja dann vor dem Abschluß des Kaufs angelegt. Da darf ja nicht geprüft werden, ob die Adresse schon vorhanden ist.

1 Like

Wird es auch ohne Kaufabschluss angelegt? Sonst müsste es ja für jedes Konto auch eine Bestellung geben…

@Synonymous schrieb:

Wird es auch ohne Kaufabschluss angelegt? Sonst müsste es ja für jedes Konto auch eine Bestellung geben…

Es wird auch ohne Kaufabschluss angelegt… Bestellungen liegen hier nicht vor…

Dann wie gesagt würde ich Dir meinen ersten Vorschlag nahelegen…

1 Like

@Synonymous schrieb:

Dann wie gesagt würde ich Dir meinen ersten Vorschlag nahelegen…

Das Google Recaptcha wäre gut. Aber wie baut man das ein, wenn man jetzt nicht der Überprogrammierer ist… :wink: :slight_smile:

Obwohl… Ist ja nur ein widget…

Wie heisst der Dateiname des Formulars, in das man seine Daten eingibt? Und wie ist der Dateipfad?

Gibts nicht von Netinventors ein Plugin zum Kunden sperren, anhand Name, Email etc ? In irgendeinem Shop haben wir das. 

Gruss.

2 Likes

@brettvormkopp schrieb:

Gibts nicht von Netinventors ein Plugin zum Kunden sperren, anhand Name, Email etc ? In irgendeinem Shop haben wir das. 

Gruss.

Das Problem ist, dass sich über Nacht dieser neue Kontakt 40000 mal eingetragen hat und vorher nie… :wink: :slight_smile: :-)))))

Hi,

so als temporäre Lösung, je nachdem welche Version du gerade einsetzt, kannst du auch ein Captcha bei der Regisrierung einsetzen.
Dazu gibt es was kostenlos und kann daher auch so getestet werden.

Sebastian

1 Like

@uli schrieb:

@Synonymous schrieb:

Dann wie gesagt würde ich Dir meinen ersten Vorschlag nahelegen…

Das Google Recaptcha wäre gut. Aber wie baut man das ein, wenn man jetzt nicht der Überprogrammierer ist… :wink: :slight_smile:

Es gibt ein kostenloses Plugin wenn du nur das Google reCaptcha für Kundenregistrierung brauchst von Mittwald > http://store.shopware.com/mittw23595958593/mittwald-security-tools.html?c=1001

Geht aber leider nur bis 5.1.6 , aber vieleicht funktioniert es auch für die 5.2.

Uwe

1 Like

Ups das Plugin meinte ich. Hatte den Link vergessen…

1 Like

@brettvormkopp schrieb:

Gibts nicht von Netinventors ein Plugin zum Kunden sperren, anhand Name, Email etc ? In irgendeinem Shop haben wir das. 

Gruss.

 

Ahoi Zusammen,

unser Plugin AccessManager http://store.shopware.com/detail/index/sArticle/161505  könnte da gut helfen, da man hier  E-Mailadressen mit bestimmten Domains bei der Regisitrierung aussschließen (oder auch erlauben) kann. 

Viele Grüße
Tobi

@Net Inventors GmbH schrieb:

@brettvormkopp schrieb:

Gibts nicht von Netinventors ein Plugin zum Kunden sperren, anhand Name, Email etc ? In irgendeinem Shop haben wir das. 

Gruss.

 

Ahoi Zusammen,

unser Plugin AccessManager http://store.shopware.com/detail/index/sArticle/161505  könnte da gut helfen, da man hier  E-Mailadressen mit bestimmten Domains bei der Regisitrierung aussschließen (oder auch erlauben) kann. 

Viele Grüße
Tobi

 

Wie kann das Plugin verhindern, dass sich ein Neukunde 40000 Mal einträgt?

 

 

unser Plugin EmailBlacklist tut dies auch :slight_smile:
http://store.shopware.com/pixel00693/email-blacklist-fuer-shopware-4/5.html

Löschen dürfte das einfachste sein wenn immer die gleiche emailaddi benutzt wird.
In der tabelle s_users stehen die drin. Wenn die allerdings auch noch eine fakeadresse angeben haben steht dieser vermutlich auch in der s_user_adresses tabelle.
Die Tabellen sind über ID bzw. userID verknüpft. Mit einem SQL Befehl sind die schnell weg. Wenn aber verschiedene emailaddi verwendet werden artet es in Arbeit aus.
Man sollte auch prüfen wie sie es geschafft haben. Nicht das jemand Zugriff auf die DB hat. Wenn Du weißt wann das passierte schau Dir die access.log an und achte auf post Einträge. Dann schau Dir die IPs an. Zur Zeit kommen viele Hackversuche von anonymen Servern aus Africa, Asien.
An der aktuellen shopware soft scheitern sie kläglich wie ich gesehen hab :slight_smile:

mit der neuen Shopware Version ab 5.2.16 kommen bei mir jetzt keine Fake Anmeldungen mehr… :wink: :slight_smile:

Captchas waren noch nie, sind nicht und werden auch nie eine angemessene Lösung für dieses Problem sein. Derjenige, der sich das Ding ursprünglich ausgedacht hat, war ein geistig umnachteter Autist. Captchas sind ein gutes Beispiel, wie die ganze Welt einer hirnrissigen technischen Idee hinterherrennt, ohne es zu merken. Gibt noch mehr Dinger von der Sorte. Android-Smartphones zum Beispiel. Hört auf, die Leute mit so nem Mist zu quälen!

Wenn man lediglich Menschen von Bots trennen will, gibt es andere Möglichkeiten wie Sand am Meer, einige sind schon genannt worden. Gerne genommen wird auch die Messung der Ausfüllzeit des Formulars oder, wenn alles nix hilft, das Beantworten einer simplen Spamschutzfrage, deren Darstellung über ASCII-Codes bzw. HTML-Entities verschleiert wird. Ich hab die Frage „Wie heißt die Haupstadt von Frankreich?“ auf einer anderen Website schon über 6 Jahre im Einsatz, bisher hat es noch kein Bot geschafft, in das passende Feld „Paris“ einzutragen.

Ein Captcha-freier spamsicherer bzw. -armer Registrierungsprozess ist meiner Meinung nach eine Funktionalität, die bei einem Shopsystem dieser Größe (bzw. bei jeder Webanwendung mit Formularen) zum Standardumfang gehören sollte. Soo kompliziert ist der Einbau auch wieder nicht. Aber gut zu hören, dass wenigstens ein Einfallstor für Spam anscheinend in den neueren Versionen geschlossen wurde.

Die Seite von Ingo Turski zum Thema ist schon uralt aber immer noch aktuell: WebDesign - Tips und Tricks: Captcha-Alternativen

Meine Lössung für das Problem ganz ohne Captcher

Die Fake Anmeldung sind bei mir über einen Crawler gekommen, den habe ich in der .htaccess Datei im rot Verzeichniss des Severs -  nicht im Hauptordner des Shops -gefunden.

Falls die Datei dort nicht existiert, dann sollte man eine anlegen. Mir ist aufgeffallen dass eine bestimmte IP Adresse den Server NONSTOP 24 Stunden lang crawlt. Nach dem ich die IP gesperrt habe, sind die Anmeldungen verschwunden und die Webseite baut sich schneller auf. Der Crawler IP Adresse kommt von einem deutschem Server aus und gehört einem “Shop”.

Übrigens, die Shopversion hat nichts damit zur tun. Die Fake Anmeldungen waren bei mir auch noch in der 5.2.18 Version