Spam im Gästebuch

[erpe]

Hallo

habe seit gestern trotz eingeschaltetem Spamschutz (zuerst Rechentext, dann Rechenbild) Spam im Gästebuch (neueste Version) bei wb 2.7.
Kann man da etwas unternehmen (ausser Gästebuch wegmachen)?

Gruss

erpe

[thorn]

Hallo,

du könntest das hier probieren: http://www.websitebaker2.org/forum/index.php/topic,7920.msg63851.html#msg63851
(Gästebuch mit honeypot-Feldern).

Du benutzt für das Rechenbild das alte Captcha-Bildchen - das können die Spambots inzwischen genauso flüssig lesen wie Klartext. Kannst du stattdessen mal das neue Rechen-Captcha (ttf) versuchen?

thorn.

[erpe]

Klar, probier ich mal aus.

Danke für den Tip.

Gruss

erpe

[Hans>NULL]

Eine Alternative scheint das zu sein:
http://www.websitebaker2.org/forum/index.php/topic,10297.msg60474.html#msg60474
Eine automatisierte Antwort ist prinzipiell nicht möglich (wenn keine technische Lücke vorliegt), und eine manuelle Eingabe ohne Kenntnis der deutschen Eigenheiten bringt auch nichts. Wenn dann noch Dialekt dazu kommt ist wohl "Ruhe im Karton". Keine der bisher installierten Gästebücher bei den Kundenwebsites hat bisher SPAMeinträge bekommen. Bei uns läuft's sogar ohne Honeypots.
Gruß, Hans>NUL

[erpe]

Ja, das wäre dann nochmal eine Alternative.

Ich probiere jetzt erstmal das Modul von Thorn (eben auch gleich ein Test) und berichte dann mal nächsten Monat.
Wenn es dann nicht geholfen hat, bleibt ja immer noch die Textgeschichte.

Trotzdem Danke für den Tip.

So und jetzt geh ich nachn Bett hin...........

Gruss

erpe

[erpe]

Hallo,

leider hat es keinen Monat gedauert.
Habe das so installiert, wie es von Thorn beschrieben wurde.
Leider ebensoviel Spam wie sonst, nur die Spameinträge wurden größer.
Und auch keine manuellen Einträge (3 Stück zu identischer Zeit), selbst bei versteckter Seite, aber das spielt wohl für die Spammer keine Rolle.
Versuche es jetzt mal mit den Texten............. .......

Gruss

erpe

[Hans>NULL]

Auch mal die IP's festhalten=Wer macht denn Sooowas ? 
Gruß, Hans>NUL
p.s. Kannste mal die Website (per PM) durchgeben?!
Edit: Auf dem Server ist HTTP TRACE aktiviert. Ob's damit zu tun hat (ist noch von anderen Kriterien abhängig), wissen wir noch nicht.

Noch ein Edit: http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf

Also auf jeden Fall HTTP TRACE deaktivieren (lassen), solange nicht geklärt ist ob dadurch die Sicherheit von WB gefährdet ist!

[thorn]

Hallo,

leider hat es keinen Monat gedauert.
Habe das so installiert, wie es von Thorn beschrieben wurde.

Nein, das hast du eben nicht.
Sieh dir http://www.websitebaker2.org/forum/index.php/topic,7920.msg63851.html#msg63851 noch mal genauer an --> du musst auch ASP einschalten.

thorn.

[Hans>NULL]

Upps, hadder nich?
Da wird er bestimmt morgen -wenn die Verzweiflung nicht mehr so groß ist - nachbessern.
Gruß, Hans>NUL

[erpe]

Hallo Thorn,

das ist nicht richtig was du sagst, oder verstehe ich da was nicht richtig?

Gruss

erpe

[thorn]

Hallo,

hmpf, die Honeypot-Felder werden aber nicht erzeugt, daher meine Annahme dass ASP nicht aktiviert sei.
Welche Version des Gästebuch benutzt du? (Was sagt Erweiterungen->Module->Details zum Modul ?)

thorn.

EDIT: ich sehe gerade an dem Link den das Gästebuch auf AMASP für "Sign guestbook" erzeugt, das es nicht v2.7.4.4 [EDIT: meine natürlich 2.7.02] sein kann. Der Link wäre anders.
Hat vielleicht das update nicht richtig funktioniert?

Edit2: Du kannst auch mal überprüfen ob in modules/guestbook/gstbk_save.php ziemlich am Anfang dies steht:

Code: (gstbk_save.php)

// Validation:        Check if details are correct. If not navigate to main.
if(!(isset($_GET['sid']) && is_numeric($_GET['sid']) && isset($_GET['pid']) && is_numeric($_GET['pid'])
  && ((defined('ENABLED_ASP') && ENABLED_ASP && isset($_POST['me55age_'.date('W')]) && $_POST['me55age_'.date('W')] != '')
    || (((defined('ENABLED_ASP') && !ENABLED_ASP) || !defined('ENABLED_ASP')) && isset($_POST['message']) && $_POST['message'] != ''))
    || isset($_POST['reset']))) {
    exit(header('Location: '.WB_URL.PAGES_DIRECTORY));
}

[Hans>NULL]

Ich sehe gerade, daß ich wohl etwas verpaßt habe. Meine Suche nach Version v2.7.4.4 läuft in's Leere. Wo ist sie? Meine letzte ist 2.7.02

Gruß, Hans>NUL

[thorn]

Hallo,

ja, stimmt. 2.7.02 ist beim Gästebuch die richtige Version.
Hab das mit dem erweiterten WYSIWYG-Modul verwechselt, das ist bei 2.7.4.4 
Danke für den Hinweis

thorn.

[erpe]

Hallo,
ja Thorn, du hast recht, es ist guestbook 2.7.
Aber nur, weil das update tatsächlich nicht funktioniert hat.
Habe jetzt noch mla die Version 2.7.02 runtergeladen und installiert (successfull).
Trotzdem hat er nicht upgedated. Es ist immer noch 2.7 und ind der o.a. Datei steht auch ein anderer Text.

Was kann ich jetzt machen?
Die Dateien per ftp hochschieben?
Stimmt an der Installationsroutin e etwas nicht?

Gruss

erpe

Die IP Adresse ist übrigens aus NL (wenn es denn stimmt):  94.102.49.14

[thorn]

Aber nur, weil das update tatsächlich nicht funktioniert hat.
Habe jetzt noch mla die Version 2.7.02 runtergeladen und installiert (successfull).
Trotzdem hat er nicht upgedated. Es ist immer noch 2.7 und ind der o.a. Datei steht auch ein anderer Text.

Gibt es auf deinem Server unterschiede zwischen FTP-User und WWW-User? Welche Rechte haben die Dateien in modules/guestbook?

Versuche es mal per FTP.

thorn.

[erpe]

Habe ich jetzt per ftp hochgeladen, und Gästebuch funtkioniert.

Seltsamerweise zeigt er unter Erweiterungen->Module->Details zum Modul nach wie vor noch 2.7 an 

Na mal schauen, ob es jetzt hinhaut.

Gruss

erpe

[thorn]

Hallo,

unter AdminTools->Reload addons->Module  sollte helfen was die Versionsnummer angeht.

Dir fehlt allerdings nun noch im CSS eine Klasse:

Code:

.nixhier {
   display:none;
}

um die Honeypot-Felder unsichtbar zu machen.

thorn.

[erpe]

Nein, die steht schon drin   

/*** Don't remove the class nixhier, this is required for ASP ***/
.nixhier {
    display:none;
}

Gruss

erpe

[thorn]

Hallo,

Nein, die steht schon drin   

Huch, stimmt. Da hatte ich noch die alte CSS im Cache - ich sollte auch mal auf reload drücken 

Aber nachdem nun alles läuft sollte das Gästbuch endlich Spam-frei bleiben.

thorn.

[erpe]

Wäre schon prima........

[escpro]

Wäre schon prima........

Hi @ll
ist den im übrigen mit einer Lösung Seitens der Entwickler des GBs dazu zu rechnen ?

Gruss esc

[ruebenwurzel]

@escpro

WB 2.7 mit aktiviertem ASP und Guestbook 2.7.0.2 laufen absolut SPAM frei. Und wenn man dann noch die neuen Captcha Dateien vom SVN einsetzt (Danke an thorn) sollte man auf jeden Fall auch künftig Ruhe haben. Was soll da also noch entwickelt werden?

Matthias

[erpe]

Hi Matthias

dann solltet ihr aber auch die addon-Seite entsprechend updaten.

Gruss

erpe

[escpro]

@escpro

WB 2.7 mit aktiviertem ASP und Guestbook 2.7.0.2 laufen absolut SPAM frei. Und wenn man dann noch die neuen Captcha Dateien vom SVN einsetzt (Danke an thorn) sollte man auf jeden Fall auch künftig Ruhe haben. Was soll da also noch entwickelt werden?

Matthias

hmm dem sehe ich leider nicht so ... (lass mir ja fleissig die mails senden sobald die gästebücher verwendet werden
und das sind derzeit nicht wenige.)

Basieren auf: WB CHANGELOG 836 2008-04-21 18:24:08Z doc
GB Release History:

v2.7 Jul 04, 2008
 - fixed a bug from 2.6
v2.6 Jun 29, 2008
 - fixed some security-issues (thorn)


Ein Abgleich der aktuellen Version bringt auch keine Neuigkeit..siehe oben!

Mal so zwischendurch gefragt:
bei mir gabs am 3.10 nen richtigen ansturm ...
zwischen 13:37 und 14:22 Uhr
so in die runde gefragt .. bin ich damit alleine ? War richtig lustig 

Gruss escpro

EDIT: ASP aktiviert - klar

[Stefek]

Das kann ich nicht bestätigen.

Auf einer Domain hatte ich richtig "Ärger", bis ich das neuste update genommen habe. Seit dem ist Ruhe im Karton. Und es waren über 120(!) Spams pro Monat (Von A wie Arseen bis Z wie Zickenalarm ). 

Es kann aber sein, dass es nicht für alle zutrifft. Jedenfalls sind Gästebücher nach wie vor "in Mode" und ich will nicht darauf verzichten.

In den Punkt, dass die Addons Seite entsprechend upgedatet werden sollte, hat Erpe recht.

Stefek