Spam im Kundenservice

[Lemonhead]

Liebe Community...

Seit diesem Wochenende wird unser Presta Shop mit Mails bombardiert.
Ca. 3 Mails pro Minute und die meisten Mails mit der berüchtigten Endung @qq.com

Der Inhalt besteht aus chinesischen Schriftzeichen und einer URL.

Die Mails laufen unter Kunden/kundenservice ein.



Wie bekomme ich das in den Griff ?



Presta 1.6.1.4  -   Standard Theme

Edited May 10, 2017 by Lemonhead (see edit history)

[rictools]

Auch wieder einmal ein Thema, das wir dieser Tage gerade hatten. Ich würde als erstes unter SEO & URLs die Friendly URL der Kontaktseite ändern. Dann kannst du natürlich über die .htaccess bestimmte IP-Bereiche aussperren (wenn du also sowieso keine Kunden aus China hast ...). Schließlich gibt es die Möglichkeit, ein Captcha oder ähnliches einzubauen, was dann aber auch normale Kunden von einer Nutzung des Kontaktformulars abhalten kann.

[Lemonhead]

Hallo rictools...

Vielen Dank für Deine Antwort.
Aus heiterem Himmel haben die Spam Mails aufgehört.
Wir werden aber ein Capatcha in den Kontakt einbauen.

[BagHira]

Servus,

 

schau mal nach dem Modul Ei Captcha, das könnte dir weiter helfen:

https://github.com/nenes25/eicaptcha

 

Ferner hab ich die Blacklist von https://myip.ms/browse/blacklist per Cronjob in die .htaccess eingebunden.

[Lemonhead]

Danke an BagHira und rictools,

Ich habe das Topic wieder eröffnet.

Der Spam geht weiter...

Wir haben zwar bisher kein Captcha eingebaut, aber vorübergehen die Kontaktseite durch Umbenennung
auf dem Server komplett deaktiviert.
Dennoch läuft der Spam weiter in den Kundenservice...

Wir denken, wenn der Spam eine Deaktivierung der Zielseite übersteht, nützt auch kein Captcha...
Oder lkiegen wir da falsch?

Alle Links und Ratschläge sind willkommen.

[rictools]

Dann müßte die Funktion zum Versenden der Kontaktmails direkt genutzt werden, da sollten aber normalerweise Schutzmaßnahmen greifen. Ich kenne mich mit so etwas nicht gut genug aus, aber aus den Logdateien sollten sich Schlüsse auf die Vorgehensweise schließen lassen, wie bereits geschrieben würde ich auch schauen ob es sich um IPs aus einem Land handelt, wo du sowieso keine Kunden hast und die sich dann leicht global per htaccess aussperren lassen.

[Claudiocool]

Versendest du über PHP-sendmail?

[BagHira]

Wir denken, wenn der Spam eine Deaktivierung der Zielseite übersteht, nützt auch kein Captcha...

Oder lkiegen wir da falsch?

 

Ich denk schon das Ihr da Falsch liegt.

 

Der Spambot hat die IP / URL von Eurer Seite und weiß das er Spam hier Positionieren kann. Nur allein das Ändern der URL zum Kontaktformular wird den Bot mit Sicherheit nicht aufhalten. Kommt der einmal mit seinem Spam nicht durch, wird er eben Eure Seit solange durchsuchen bis er den "neuen Namen" des Formulars gefunden hat - dann geht der Spaß von vorne los.

 

Das Captcha von Google ist nicht schlecht, und auch nicht Kunden abschreckend.

 

Ich würde versuchen es über das Modul einzubauen und abwarten was passiert. Zusätzlich die Blacklist in die .htaccess einbinden...

 

Bis Heute hatte ich noch nicht eine einzige Spammail im Kundenservice.

 

Edit:

Sorry, kann sein das ich mich da verlesen hab. Was verstehst du darunter "aber vorübergehen die Kontaktseite durch Umbenennung

auf dem Server komplett deaktiviert."?

Nichts desto trotz würde ich es einmal mit den beiden aufgeführten schritten versuchen.

Edited May 11, 2017 by BagHira (see edit history)

[Lemonhead]

Vielen Dank für eure Antworten. Ich arbeite das ab und melde mich zurück. Wünsche euch schonmal ein sonniges Wochenende !!!
 

[RPohlen]

Auch mich hat es heute erwischt. Irgend ein Russe oder Pole meint wohl, das es ganz toll wäre, seinen unleserlichen Müll bei mir abzuladen.

Ich habe mir das mal mit Ei Captcha angesehen. Leider keine Installationsanleitung dabei und einfach drüber kopieren traue ich mich nicht, da gerade die index.php im Hauptverzeichnis deutlich anders aussieht, als die index.php auf dem Ei Captcha Download.
Tja, und meine PHP Kenntnisse sind da auch eher bescheiden.

Das mit der IP in .htaccess sperren habe ich erst mal auch gemacht, aber es wird halt nur diese eine IP gesperrt. Das sollte für einen richtigen Spamer aber ja kein Hinderniss sein, in wenigen Sekunden kann der über eine ganz andere IP Spamen.

Als Absender Email steht bei mir immer ein (diverse Zeichen)@mail.ru. Wäre doch schon mal ein Anfang, wenn man diese Email, also @mail.ru, sperren könnte. Aber da finde ich leider gar nichts zu. Weder im Presta Shop noch bei Google. 
Ich weiß, neue Absender Email kann man sich auch jederzeit besorgen, aber wäre ja auch schon mal ein Anfang.

Zitat

Ferner hab ich die Blacklist von https://myip.ms/browse/blacklist per Cronjob in die .htaccess eingebunden.

Das klingt ja schon mal Interessant. Kannst Du uns Anfängern mal genau erklären, wie Du das gemacht hast ?

 

[Whiley]

vor 40 Minuten schrieb RPohlen:

Irgend ein Russe oder Pole meint wohl, das es ganz toll wäre, seinen unleserlichen Müll bei mir abzuladen.

Müll bei dir abzuladen ist ein (eher unerwünschter) Nebeneffekt. Die Spammer verschicken mit deinem Absender Mails an eben die russischen Adressen die du als vermeintliche Absender siehst!

 

Grüsse

Whiley

[RPohlen]

Hmmm, ok, ist schwer zu sagen, obs nun der Absender ist oder der Empfänger. Tatsache ist aber, das diese mein meinem Provider hängen geblieben sind mit dem Vermerk SPAM. Sie haben also mein System zumindest schon mal nicht verlassen.

Taucht dann aber die Frage auf, wie die es machen, das mein Shop eine Mail an andere versendet und wie kann man es verhindern.

Interessanterweise komme ich seit kurzem nicht mehr an den Kundenservice in meinem Shop im Admin bereich dran. Der lädt sich tot. Alles andere geht, nur nichts aus dem Kundenbereich.

Edited February 15, 2018 by RPohlen (see edit history)

[Whiley]

Na, ich zweifle daran, daß die Mail die rausgegangen sind bei deinem Provider hängengeblieben sind, wie sollte der Filter aufgebaut sein?

Aktuell ist gerade die Methode über das Kontaktformular zu gehen. Am besten schaust du dir mal die access-log deines Servers an dort müßtest du soetwas wie

GET /kontaktieren-sie-uns HTTP/1.1

finden, davor siehst du die IP des Zugreifers, häufgig sind das dann aber keine russischen Server sodaß die oft empfohlene Methode die Länderkennung .ru zu sperren nicht greift.

Eine Kopie der Nachricht wird in diesem Fall unter Kunden/Kundenservice abgelegt.

Auch ein Captcha (zumindst der "ich bin ein Roboter" kann den Zugriff kaum verhindern, da das Feld das angeklickt werden muß, sich immer an der gleichen Stelle befindet und so über ein einfaches Script ausgehebelt werden kann.

Grüsse
Whiley

 

 

[RPohlen]

vor 5 Minuten schrieb Whiley:

Na, ich zweifle daran, daß die Mail die rausgegangen sind bei deinem Provider hängengeblieben sind, wie sollte der Filter aufgebaut sein?

Tja, ich habe zumindest die Info von meinem Provider bekommen, das diese Mail nicht versendet wurde.

Zitat

<[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550 spam message

    rejected.

Ja, das es über das Kontaktformular kommt, habe ich auch gerade festgestellt. Leider kann man das wohl nicht deaktivieren, zumindest habe ich im PrestaShop noch nichts gefunden.

Es gibt imServerlog zwar kein GET /kontaktieren-sie-uns HTTP/1.1, aber immerhin ein GET /kontakt HTTP/1.0
Ich denke aber nicht, dass es das ist, was DU meinst, weil diese Einträge zeitlich erst nach den ersten SPAM Mails auftauchen.

Ich habe jetzt auf jeden Fall erst mal ein Captcha installiert und mal das Admin Passwort geändert. Bisher ist Ruhe.

Aber vom Grundsatz her bleibt natürlich die Frage, wie kann man sich davor schützen,ohne das Kontaktformular ganz abschalten zu müssen.
Ich denke, wenn man bei der Eingabe der Email Adresse Filtern könnte, wäre das doch schon mal eine weitere Möglichkeit, den Spamern das Leben schwer zu machen.
Ich z.B. will gar keine Geschäfte mit Russen machen, also wäre eine Email Adresse im Kontaktformular alla @xyz.ru die erste, die ich in einen solchen Filter eingeben würde. Kennt jemand so einen Filter oder weiß, wie man den implementieren könnte ?

 

 

[jschm]

15 minutes ago, RPohlen said:

 

Ich habe jetzt auf jeden Fall erst mal ein Captcha installiert und mal das Admin Passwort geändert. Bisher ist Ruhe.

 

 

 

Welches Captcha hast Du denn installiert?  Ich kann es kaum glauben, dass so ein Basic Feature nicht schon im Core enthalten ist und sogar noch kostenpflichtig angeboten wird

SEO Url habe ich geändert, die Mails aus Russland flattern fleißig weiter rein... Habe Version 1.6.1.12

Edited February 15, 2018 by jschm (see edit history)

[Whiley]

vor 1 Stunde schrieb RPohlen:

ch denke, wenn man bei der Eingabe der Email Adresse Filtern könnte, wäre das doch schon mal eine weitere Möglichkeit, den Spamern das Leben schwer zu machen.
Ich z.B. will gar keine Geschäfte mit Russen machen, also wäre eine Email Adresse im Kontaktformular alla @xyz.ru die erste, die ich in einen solchen Filter eingeben würde. Kennt jemand so einen Filter oder weiß, wie man den implementieren könnte ?

 

da gibts viele Möglichkeiten wie du das lösen kannst.

Wenn du generell in keinem deiner Eingabeformulare (Newsletter, Kundenanmeldung, Kontaktformular) eine email Adresse mit ".ru" erlauben willst, machst du das am einfachsten in der Validate.php. Dort wird die email Adresse auf Gültigkeit untersucht. Du machst die email Adresse z.B. dadurch daß du das .ru abschneidest ungültig,

also, du öffnest die

/classes/Validate.php

dort findest du ca bei Zeile 48 so etwas:

    public static function isEmail($email)    
    {
		return !empty($email) && preg_match(Tools::cleanNonUnicodeSupport('/^[a-z\p{L}0-9!#$%&\'*+\/=?^`{}|~_-]+[.a-z\p{L}0-9!#$%&\'*+\/=?^`{}|~_-]*@[a-z\p{L}0-9]+(?:[.]?[_a-z\p{L}0-9-])*\.[a-z\p{L}0-9]+$/ui'), $email);
    }

dann zerstörst du z.B. so durch Einfügen der replace-Zeile die .ru Adresse

    public static function isEmail($email)    
    {
		$email=str_replace ('.ru','',$email);
        return !empty($email) && preg_match(Tools::cleanNonUnicodeSupport('/^[a-z\p{L}0-9!#$%&\'*+\/=?^`{}|~_-]+[.a-z\p{L}0-9!#$%&\'*+\/=?^`{}|~_-]*@[a-z\p{L}0-9]+(?:[.]?[_a-z\p{L}0-9-])*\.[a-z\p{L}0-9]+$/ui'), $email);
    }

Fals dochmal ein echter .ru-Kunde mit dir Kontakt aufnehmen will bekommt der dann natürlich auch die Meldung "Email-Adresse ungültig"

 

Grüsse
Whiley

[RPohlen]

vor 4 Stunden schrieb jschm:

 

Welches Captcha hast Du denn installiert?  Ich kann es kaum glauben, dass so ein Basic Feature nicht schon im Core enthalten ist und sogar noch kostenpflichtig angeboten wird

SEO Url habe ich geändert, die Mails aus Russland flattern fleißig weiter rein... Habe Version 1.6.1.12

Das von Google angebotene. 

Google recaptcha

Momentan ist Ruhe. Weiß aber nicht, obs mit dem recaptcha zusammenhängt oder der Typ schlafen gegangen ist.

[RPohlen]

Seit dem SPAM Problem kann ich den Kundenservie nicht mehr aufrufen. Er nudelt ewig lange rum und kommt dann mit einem ERROR 503 Service Temporarily Unavailable
Auch das deaktivieren des EiCaptcha brachte keine Änderung. Gerade mal deinstalliert, auch keine Änderung.

Jemand ne Idee, wie es zu dem Fehler kommen kann und wo ich ansetzen muß, um den Fehler zu finden ?

[Claudiocool]

Dein Mailer wird verstopft sein...

[RPohlen]

Danke für deine Antwort Claudiocool, aber von 6 Mails verstopft ? Glaub ich ja eher nicht dran.
Aber wie kann man es überprüfen bzw. beheben, wenn man nicht an das Kundencenter dran kommt ?

[Claudiocool]

Ein guter Spammer wird nicht nur 6 Mails platzieren. In so einem Fall helfen Serverlogs weiter, entweder kannst du die selber einsehen oder aber dein Hoster

[RPohlen]

Sorry, aber das hilft mir nun überhaupt nicht weiter. Tatsache ist, das 6 Mails im Kundenservice hängen und ich die nicht bearbeiten kann, weil ich den Kundenservice nicht aufrufen kann. Das es 6 Mails sind wird mir ja im Dashboard angezeigt.
Ich habe die jetzt mal per Hand aus der Datenbank entfernt, aber den Kundenservice kann ich immer noch nicht aufrufen.
 

[RPohlen]

So, das Problem wurde gefunden. 

Im Bereich Kundenservice -> KUNDENSERVICE-OPTIONEN kann man Einstellungen für IMAP vornehmen. Das hatte ich mal versucht, klappte aber nicht ganz und irgendwann dann konnte ich das Menü gar nicht mehr aufrufen, also auch die Einstellungen nicht mehr ändern. Geholfen hat dann nur ein direkter Eingriff in die Datenbank.

Da EiCaptcha habe ich nun auch einige Tage im Einsatz und seitdem keinen SPAM mehr.
Claudiocool, scheint so, als wenn es auch noch dumme Spamer gibt.

 

[Shad86]

Ist bei uns auch so. Seitdem der Captcha von Google im Kontaktformular ist kam bisher nichts mehr durch. Mal sehen ob es weiter so bleibt.

[SliderFlash]

in Foren software kann man Captcha aktivieren/deaktivieren und Email Adressen sperren, wundere mich das es in PS das nicht gibt.

[SliderFlash]

Am 4.5.2017 um 9:35 AM schrieb BagHira:

schau mal nach dem Modul Ei Captcha, das könnte dir weiter helfen:

https://github.com/nenes25/eicaptcha

habe eicaptcha hochgeladen aber finde es nicht !

[Whiley]

Hast du denn den Ordner in der zip richtig benannt (eicaptcha nicht eicaptcha-master)?

 

Grüsse
Whiley

[SliderFlash]

vor 22 Minuten schrieb Whiley:

Hast du denn den Ordner in der zip richtig benannt (eicaptcha nicht eicaptcha-master)?

 

Grüsse
Whiley

 

ich versuche über Backoffice zu laden klapt auch zeigt geladen an aber finden tut es nicht unter Modulen, habs auch umbenannt aber keine änderung, habe die PSV-1.6

[Whiley]

Und wie heißt der Ordner der unter

/modules

erstellt wurde?

[SliderFlash]

vor 23 Minuten schrieb Whiley:

Und wie heißt der Ordner der unter

/modules

erstellt wurde?

 

war nichts drin habe zip entpackt manuell in Modules hochgeladen dann wurde es unter Module angezeigt Danke.

[Scully]

Meine Bescheidene Meinung:

Kontaktformular URL ändern nützt herzlich wenig. Der Server sendet entweder eine 301 oder 404 Meldung. Beides lässt sich auswerten und damit hat man die Spam nach kurzer Zeit wieder. Captcha haben wir nicht im Einsatz, kann dazu also nichts beitragen. Aber wir haben .htaccess im Einsatz und sperren per Default relativ grosszügig alle Länder-Toplevel-Domains, mit welchen wir nicht wollen. .ru gehört hier ganz weit oben auf die Liste.

Warum einen Shop weltweit zugänglich halten, wenn man eh nur in einem, zwei oder allenfalls einer handvoll Länder wirklich Geschäfte macht?
Vorteil der .htaccess:

- Keien Änderungen am Core
- Schnelles Hinzufügen neuer Länder oder IPs möglich
- Traffic wird beim ersten Request geblockt, Die bekommen also gar nie ein Formular zu Gesicht.

Mit dieser Lösung arbeiten wir seit Jahren und hatten bis dato noch nie eine einzige Spam-Mail gesehen.

[SliderFlash]

ich habe das jetzt auf eigene art gelöst, siehe Bilder, dazu habe ich diesen code in contact-form.tpl eingebaut.

Derjenige muss erst auf "ich bin ein Mensch klicken" Befor man schreiben kann sonst sind die Felder gespert.

 

Ich Bin Ein Mensch : (Alle felder und Button frei gegeben)

 

Ich bin ein Roboter: (alle felder und Button gespert)

Edited February 22, 2018 by SliderFlash (see edit history)

[RPohlen]

vor 52 Minuten schrieb Scully:

Aber wir haben .htaccess im Einsatz und sperren per Default relativ grosszügig alle Länder-Toplevel-Domains, mit welchen wir nicht wollen. .ru gehört hier ganz weit oben auf die Liste.

Und Du glaubst ernsthaft, das hilft ?
Ja, gegen den Standard Dumm Spamer sicher, aber mit einer gefälschten IP aus einem Land meiner Wahl in deinen Shop zu kommen ist das leichteste überhaupt.
Nein, die EiCaptcha Sache ist auch keine gute Lösung, ein richtiges Captcha wäre halt klasse, aber das gibt es nicht kostenlos.
Am besten wäre es, wenn der Kunde zwar im Feld Email eine Email eingeben kann, aber nicht automatisch eine Email dahin geschickt wird, sondern erst nach Freigabe durch den Shopbetreiber. So würde der Spam über das Kontaktformular zumindest nach außen unterbunden. Der Betreiber ist dann leider immer noch der Leidtragende.

[Whiley]

vor einer Stunde schrieb Scully:

Aber wir haben .htaccess im Einsatz und sperren per Default relativ grosszügig alle Länder-Toplevel-Domains, mit welchen wir nicht wollen. .ru gehört hier ganz weit oben auf die Liste.

Na da ich ich auf deine Lösung gespannt!

Die angreifenden Server befinden sich überall auf der Welt (Proxies) die Zielempfänger die über den Shop angemailt werden befinden sich in Rußland.

Wie genau löst du das Problem über die htaccess?

[Scully]

Wie schon beschrieben:

Mit der Sperrung von Top-Level Domains, ausnahmsweise auch mit IP-Ranges. Das hilft vorzüglich. Allenfalls aber gibt es Probleme, wenn eine Seite erstmal bei den Robots als mögliche Spamschleuder bekannt ist. Weil dann genau der von Dir beschriebene Effekt eintritt. Die requesting Server oder PCs sind zu weit verstreut. Trotzdem kann man sich wohl 97% der Probleme mit htaccess vom Leibe halten.

 

[SliderFlash]

hier ist ein schöner text dazu,

Spamschutz im Kontaktformular: Ja oder Nein?

[Shad86]

vor 16 Stunden schrieb RPohlen:

Nein, die EiCaptcha Sache ist auch keine gute Lösung, ein richtiges Captcha wäre halt klasse, aber das gibt es nicht kostenlos.

 

Darf ich fragen was an dem Captcha von Google schlechter ist als bei bezahlten? Wirklich aus interesse weil ic hden von Google iengebaut habe und der soweit in DIESEM Fall funktioniert. Was machen bezahlte Captchas anders?

[RPohlen]

Hallo Shad86. Ich hatte gelesen, das bei dem Google Captcha ja nur die Abfrage "Ich bin kein Robot" kommt und NUR, wenn Google denkt, da ist was faul, kommt eine weitere Abfrage. Sowas wie "Auf welchem Foto ist ein Bus".

Ersteres kann ein Script sicher noch hin bekommen, da einfach einen Haken setzen. Mir wäre es lieber, wenn sofort eine aufwendigere Abfrage käme oder man es so einstellen könnte. Woran entscheidet Google, ob da nun einer, der etwas ins Kontaktformular schreiben will, nur das einfache Captcha machen muß, oder das aufwendigere ?

Ich bin bisher auch zufrieden mit dem Captcha, es kam bisher kein Spam mehr, aber wer weiß, wie lange. Wenn da ein richtiger Spamer kommt, reicht es eventuell nicht mehr.

[Shad86]

Das es irgendwann nicht mehr reicht kann immer sein. Aber ich habe den Captcha so verstanden (und auch getestet) das die "Ich bin kein Roboter" Abfrage IMMER stattfindet. (Wenn du die V2 eingebunden hast)

Anhand des Browserverlaufs und Mausaktivitäten und sicherlich noch anderen Faktoren entscheidet Google dann das ein Risiko besteht und blendet die "alle Bilder mit Autos anklicken" Methode oder irgendwas anderes ein. Das kann dann nciht mehr von einem Bot ausgefüllt werden. (momentan)

Auf dem PC, wo ich die Maus auf der Webseite bewege und auch einen Verlauf habe muss ich z.B. nur den ersten Haken setzen. Auf dem Handy wo ich keine Maus habe und mein Browser im Inkognito Modus läuft muss ich auf sämtlichen Internetseiten die den Google Captcha benutzen, auch das Bilderrätsel erfüllen.

Deshalb finde ich schon das der Captcha von Google ganz vorne mit dabei ist. Ich kann mich bisher nicht beschweren und wüsste vor allem nicht was andere/kostenpflichtige Captchas anders machen sollen. Und auf der google Seite kannst du ja auch eine von 3 Varianten auswählen. Du musst natürlich V2 nehmen um die beschriebenen Funktionen zu haben.

 

Wie immer, korrigiert mich bitte wenn ich Schwachsinn schreibe :-)

[RPohlen]

Ich kann da was auswählen ? Hmpf, ich war wohl zu Oberflächlich.

Wenn es, so wie von Dir Beschrieben, abläuft, wäre es ja ganz ok, bis einer Google knackt. LOL
Nein, ich lass das auch erst mal so weiter laufen und schau mal, wie es sich entwickelt.

 

[Shad86]

Soweit ich es verstanden habe Ist das Modul doch nur um den code von Google ein zu bauen oder? Also du gehst ja trotzdem auf die Google ReCaptcha seite und klickst oben auf "get reCaptcha". Und wenn du dort dann einen Code für deine Seite generieren lässt kannst du etwas weiter unten auswählen welche Variante du möchtest. Siehst du im angehangenen Screenshot.

Und da musst du die V2 nutzen, ist soweit ich weiß das einzige was von dem Modul unterstützt wird.

 

[RPohlen]

Ja, ich erinnere mich dunkel, diese Seite gesehen zu haben.
Ist ja alles schon mehr als 48 Stunden her. Wer soll sich den das alles merken. GRINS

 

[Shad86]

Ja kenn ich... alles was vor dem Mittag war wird zum Mittag gelöscht.

Aber bei der Einstellung müsste (so wie ich es gestet und verstanden habe) eigentlich laufen. Und Google ist ja relativ schnell und wird diesen Captcha sicher aktueller halten als "irgendein" Modulentwickler.

[RPohlen]

Da hast Du sicher auch Recht. Man mag über Google denken, was man will, aber die bieten schon verdammt viel gutes, oftmals kostenlos an.

 

[Whiley]

Spuk vorbei?

Nachdem auf den ersten Blick keine Angriffe in den log-Dateien mehr erkennbar waren, habe ich versuchsweise Freitag Abend die Sperre der .ru-Mails bei einem der betroffenen Shops wieder aufgehoben, und siehe da, auch nach 48 Stunden ist nichts weiter passiert.

Kann das jemand bestätigen?

--------

Captchas,

sind generell nicht unproblematisch weil sie ganz massiv die Usabillity einschränken. Ich hatte selbst vor kurzem das Problem, daß ich etwas in einem Shop bestellen wollte, und nachdem mir Google das dritte Mal Bildchen mit Autos zum Anklicken vorgelegt hatte, habe ichs dann aufgegeben. Also ich hasse die Dinger.

Auch wenn es unterschiedliche Untersuchungen über den Grad der Akzeptanz von Capchas gibt, bei allen Studien gab es immer Personen, die abgebrochen haben (7% bis 50%) und selbst wenn man nur eine Abbruchrate von 7% zugrunde legt, sind das halt Kunden die einem unterm Strich fehlen.

Spiegel-Online hat mal augerechnet, daß durch Captchas weltweit täglich 17 Mann/Frau-Jahre unnütz verbraten werden!

Als Alternative neben dem Sperren ausgehender Mails(so hatte ich es bei der aktuellen Spamwelle bei mehreren betroffenen Shops gemacht) käme ev. noch die ursprünglich  2007 von Phil Haack entwickelte  Honeypot-Methode in Betracht. Man plaziert ein unsichtbares Eingabe-Feld im Formular, ein echter Kunde kann, da er es nicht sieht nichts hineinschreiben, Bots versuchen aber i.d.R. alle Felder zu beschreiben, man kann dann durch eine einfache Abfrage "Feld gefüllt" erkennen ob hier ein Bot oder ein Mensch am Werk war. Vorteil dieser Methode - wenn sie denn anspricht - wäre, daß kein Kunde etwas davon mitbekommt.

Denkbar, aber deutlich schwieriger zu realisieren, wäre auf die Zeit zu reagieren, die zwischen Formularaufruf und Absenden liegt, bei Bots ist die Zeit so klein, daß sie von Menschen nie erreicht werden könnte.

Was man auch machen könnte, wäre das einfache Umbenennen der Eingabefelder, auch Bots müssen ja feststellen in welches Feld die Email eingetragen werden muß, und das  können sie auch nur an Hand der Feldbezeichnung (ev noch an den Eingabestrukturen).

Ich würde gern mal die Methoden mit PS durchtesten - aber im Moment fehlen die Angreifer.

Grüsse
Whiley

 

 

[Shad86]

Ich mag mich täuschen aber ich glaube der Google Captcha möchte immer 3 Bilder markiert haben. Selbst wenn die Motorhaube noch auf ein weiteres Bild ragt, ist das nicht mehr gemeint. Die Honepot Sache ist natürlich eine Überlegung wert. Ist die Frage ob die Bots das nicht mittlerweile umgehen können. Die können im Grunde ja auch sehen das das Feld versteckt ist. (Das sollte man dann zumindest nicht inline machen ;-)

[Lolarella]

Hey,

habe das selbe Problem  

Jede paar Minuten Mails von .ru Email Adressen Emails im Kundenservice....sehr nervig.

Leider kann ich .ru Mails nicht sperren, da ich einige Kunden in Russland habe...

Mein PS Version ist: 1.6.1.2 - Ist das mit dem Spam jetzt ein Problem, das diese PS Version betrifft? Wurde das Problem mit der Version 1.7. behoben?

Hat nur das Captcha bei euch das Problem gelöst oder hat die Deaktivierung des Kontaktformulars auch schon gereicht?

viele Grüße,

Lola

[Claudiocool]

Du kannst ja auch bestimmte Provider sperren. Wenn du z.B. die mail.ru sperren willst, kannst du das explizit machen, dann kommen die anderen Russen immer noch zum Ziel. Wenn natürlich mail.ru darunter sind, dann funktioniert das auch nicht.

Ein Captcha ist zumindest eine kleine Hürde, 100% Schutz gibt es nur, wenn man die Seite vom netz nimmt

[Shad86]

ALSO es ist ja kein Problem von Prestashop sondern es wird immer Menschne geben die versuchen deine Website oder deinen Shop an zu greifen und/oder für ihre Zwecke zu missbrauchen.

Bei uns (1.5) hat der Captcha bisher super funktioniert. Kontaktformular deaktivieren wird dir hier niemand empfehlen. Erstens können dich deine Kunden dann nicht mehr kontaktieren und zweitens ist es keine Garantie das der Spammer das Formular nicht trotzdem findet und benutzt.

Und bei 1.7 hättest du das selbe Problem und müssten geauso wie bei 1.5 oder 1.6 irgendeinen Captcha einbauen.

[Whiley]

Das ist kein Problem des Prestashop-Version.

Wichtig ist, daß du die ausgehenden Mails sperrst, da man ja nie weiß (oder ich zumindest, der ich keine kyrillische Schrift lesen kann) was da drinsteht.

Vielleicht hast du Möglichkeiten ausgehende Mails über deinen Server zu sperren oder zu limitieren.

Ansonsten probier es zunächst mit einem Captcha und beobachte was passiert.

Grüsse
Whiley

 

[Claudiocool]

Ich habe aktuell auch das Problem gehabt, dass IPs aus AT hier Unsinn machen. Klar ist, dass die IP keine Rückschlüsse erlaubt, weil die sowieso über Proxies kommen und man sich natürlich dann mit IPs ausgibt, die man schwerlich sperren wird, um sein Business nicht lahmzulegen.

das Eicaptcha hat hier deutliche Linderung gebracht, und auf dem Server werden Massenmailings im Mailprozess blockiert. D.h., wenn im Outbound eine bestimmte Anzahl Mails rausgehen soll, wird dies dort geblockt, Ausnahmen sind bei bestimmten Signaturen möglich, um dann z.B. Newsletters "ungestreift" durchlassen zu können, aber diese werden dann ohnehin in Outlook generiert und wenn da die Signatur des Rechners nicht da ist, geht das Ding in Quarantäne.

[Whiley]

Hier mal ein typischer Inhalt einer solchen Spam-Mail:

 - 12.02.2018 - 11:51

Димитрий, Вы попали пoд социальную прогрaмму "Oнлaйн покупка"

Рaнее Вы сoвершали oнлайн пokупkи (транзаkции) и oдна из них стала победителeм социaльнoй прoграммы!

Вaс ожидает денежное вoзнагрaждениe с нaшeго поощрительнoго фoндa в размере oт 100$ до 9000$.

УЗНАЙТЕ ПОДРОБНЕЕ - НИЖЕ

Узнaть сумму вознагрaждeния

Kann das mal jemand übersetzen?

 

[RPohlen]

Ist dein Google kaputt ? Kannste doch selbst übersetzen.

 

 

Demetrius, du bist unter das Soziale gefallen das Programm "Online-Kauf" Früher haben Sie ein Online-Pokupki gemacht (Transaktion) und einer von ihnen wurde der Gewinner des Rahmenprogramms! Sie erwarten eine Barzahlung von Unser Anreizfonds in Höhe von von $ 100 bis $ 9000. MEHR LERNEN - UNTEN Einzahlungsbetrag Vergütung

[Lina88]

Hallo alle zusammen,

ich habe auch seit Tagen das Problem, dass ständig Emails von russischen IPs über das Kontaktformular eintrudeln.

Habe EiCaptcha bereits in Betrieb hat kurz geholfen, dann waren die Emails wieder zurück. Habe über validate.php wie weiter oben beschrieben .ru mails gesperrt, ebenfalls kurz geholfen, jetzt sind sie eben mit anderen Email-Adressen wieder zurück.

Im Moment sperre ich jede einzelne russische IP, die auf unsere Seite kommt über .htaccess, aber das sind nunmal so viele, da sitze ich ja für immer dran. Wie kann ich denn alle russischen IPs sperren? (Wir verkaufen sowieso nicht nach Russland) Also ich müsste wissen was genau ich wo einbinden muss, bin nämlich leider ein absoluter Laie, was das angeht. 

Vielen Dank schon einmal im Voraus für eure Hilfe

Liebe Grüße

Lina

[Johny5000]

Guten Abend zusammen,

 

ich habe das vorgeschlagene Modul eicaptcha im Shop installiert, bis vor ein paar Tagen hat alles prima funktioniert.

Allerdings kommt seit kurzem die Fehlermeldung " Fehlerhinweis für Inhaber der Website: Ungültiger Websiteschlüssel ".

Ich habe die hinterlegte Adresse im Google Konto überprüft, diese stimmt.

Auch wenn ich das Modul deaktiviere und den Cache leere bleibt die besagte Fehlermeldung.

Woran kann dies liegen?

Ich wäre für jegliche Hilfe dankbar.

 

Viele Grüße

 

[Claudiocool]

An der Stelle noch die Frage, wie das mit der DSGVO harmoniert.

Ist mit der Datenschutzerklärung von Google hier Genüge getan oder muss es dann auch in die eigene Erklärung mit rein?

 

Gibt es sonst noch Lösungen?

[Shad86]

Also im Grunde müsstest du in der Eigenen auch angeben das durch den Captcha Daten wie IP (keine Ahnung was sonst noch) an Google übertragen wird.

[Claudiocool]

Wobei das Captcha, wie man hört, auch kein Allheilmittel ist und insofern hier eher ein Datenschutzproblem auftritt, weil Google dadurch ja Daten kriegt, und wenn es nur IP's von unseren Besuchern sind. Derselbe Grund, warum wir auf Google Analytics verzichten. Hier existiert dann eine Schnittstelle, an der Userdaten rausgehen an Dritte und somit dem Goodwill von Google unterliegen.

Ich habe im englischen Bereich ein Fix gefunden, bei dem die Spammer nicht mehr von aussen über unseren Server kommen können, wer also uns als Absender der Spams haben will, muss sich nun schon die Mühe machen, selbst auf die Seite zu gehen und die Formulare ausfüllen. Seitdem scheint jetzt erstmal Ruhe zu sein. Die Idee kam mir, als vor ein paar Tagen innerhalb von wenigen Sekunden mehrere derartige Mails im Outbound gelandet sind, also unmöglich von einer Person auf der Seite kommen kann. 100% wird man es nie vermeiden können, aber wenn man die Aktivitäten bremst, gehen die erstmal zu den Seiten, wo der Spam ungehindert fließen kann, und das dürften mehr als genug sein. Das ist wie Wasser oder Strom, die wählen auch den Weg des geringsten Widerstandes.

[Shad86]

Hast du einen Link zu der Methode?

Ich muss sagen, nachdem ich den Recaptcha installiert habe ist seitdem nichts mehr gekommen. Nicht eine Spam-Mail aber genug echte Anfragen. Also scheint es bei uns wirklich zu funktionieren.

[Claudiocool]

Hier (Klick) ist es für den 1.6.x, allerdings wird es auch für die anderen Versionen sicher Ähnliches geben. Github ist hier schon eine gute Anlaufstelle.

Edited September 10, 2018 by Claudiocool (see edit history)

[Shad86]

Klingt gut, gucke ich mir gleich mal an. Danke.

[Scully]

Wenn man sich die Mühe machte und die Logfiles analysiert, dann stellt man fest, dass in 99% der Spam das Kontaktformular gar nie im "Lesemodus" aufgerufen wird. Es gibt im Logfile in der Zeitspanne in der Regel nur einen POST Request, Einen GET davor jedoch nicht. Daraus kann man folgern, dass die Spam-Roboter direkt per POST an eine bereits vorher bekannte URL den Request absetzen. Damit kann man nun auch eine Abwehr einbauen. Wir öffnen ContactController.php:

Schauen dort in   public function initContent()  und setzen bei der Anzeige des Formulars (GET) ein Session - Cookie mit Timestamp.

	session_start();
	if ($_SERVER['REQUEST_METHOD'] == 'GET') {
			$_SESSION['testcookie'] = time();
	}	

Trick: Wir setzen das Session Cookie nur, wenn es sich um einen GET Request handelt. Der GET entspricht dem "Anschauen" des Formulars durch einen Besucher.

 

... um dann bei Erhalt eines Formularinhaltes mittels POST zu schauen, ob auch ein Cookie vorhanden und in einem akzeptablen Zeitabstand gesetzt wurde... Das kommt dann in die Funktion public function postProcess()

	if (time() - $_SESSION['testcookie'] > 180) {
		$_SESSION['testcookie'] = 0;		
		$this->errors[] = Tools::displayError('Invalid request');
	}

Im Beispiel wird eine Fehlermeldung generiert, wenn das Cookie älter als 3 Minuten ist. Weiters könnte mann dann auch noch so verschärfen:

	if (!Validate::isCleanHtml($message) OR stripos($message,'http://') !== false OR stripos($message,'https://') !== false ) {
		$this->errors[] = Tools::displayError('Invalid message');
    }

... indem wir keinen Inhalt mit http oder https in der Nachricht selbst zulassen. Spam beinhaltet ja in der Regel einen Link. Ggf. könnte man '<a href' auch noch in die Liste aufnehmen.

 

So läuft es bei uns seit Jahren und ohne Spam.

[Shad86]

Das klingt richtig gut. Werde ich morgen mal versuchen in 1.7 um zu setzen. Immer nur doof das man die ganzen Schutzmechanismen erst testen kann wenn was passiert.

[eleazar]

vor 14 Minuten schrieb Shad86:

Das klingt richtig gut. Werde ich morgen mal versuchen in 1.7 um zu setzen. Immer nur doof das man die ganzen Schutzmechanismen erst testen kann wenn was passiert.

 

Viel Glück, denn 1.7 funktioniert nun mal anders.

Mit Änderungen der ContactController.php wirst du dein Ziel wohl nicht erreichen.

Selbst unter 1.5 funktioniert Scullys Vorschlag nicht. Es könnte aber sein, dass man das Array errors zuvor initialisieren muss (  also: _errors[]), damit die Meldung

Invalid request

  nicht schon beim Aufruf des Kontaktformulars ausgeworfen. wird, was bei der oben geposteten Lösung nämlich passiert.

[Shad86]

Das 1.7 anders funktioniert ist mir klar. Habe gehofft das es trotzdem geht oder leicht verändert.

Habe gerade die Diskusion das der Google reCaptcha wohl nicht so toll bezüglich DSGVO sein soll. Gucke jetzt nach alternativen aber viel (was funktioniert und DSGVO konform ist) gibt es da leider nicht.

[eleazar]

Da wir für die DSGVO wohl demnächst via neuer Gesetzgebung eine Entwarnung kriegen, ist das Thema nicht mehr so brennend wie ursprünglich von einigen befürchtet. Wieso meinst du denn, dass sich das Google-Recaptcha nicht mit der DSGVO verträgt? Immerhin ist es massenhaft im Einsatz.

[Shad86]

ICH meine es nicht, habe es ja auch im Einsatz :-)

Unsere Datenschutzbeauftragte sagt das es Daten an Google überträgt oder übertragen könnte und es deshalb sehr grenzwertig ist.

Wäre halt die Frage ob man sicher stellen kann das die Daten nur direkt im Script verarbeitet werden und mehr nicht. reCaptcha guckt sich ja Mausbewegungen und andere "menschliche" Tätigkeiten an und versucht dadurch schon vorher zu entscheiden ob der Nutzer ein Mensch ist und derjenige garkeine Bilder anklicken muss. Das "klicke alle Bilder mit Autos an" ist theoretisch nur da wenn sich das Script unsicher ist.

[JBW]

Was genau Google ReCaptcha so im Hintergund macht kann leider niemand sagen. Auf jeden Falls können Sie die Daten sehr gut zum tracken über verschiedenste Websites nutzen. Aus diesem Grund werde ich es nicht einsetzten und habe ein Modul (für 1.7) basierend auf Securimage (https://www.phpcaptcha.org/) entwickelt. Ist noch in der Testphase, aber wer gerne mittesten will kann mir einfach schreiben.

[Shad86]

Ich habe mir jetzt bisher erstmal einen Honeypot eingebaut. Mal sehen ob nochmal Spam kommt. Man kann ja leider erst sagen ob es funktioniert wenn man mal wieder Opfer einer Welle wird.

[Vitago GmbH]

Wir hatten in SW das selbe Problem, seit der Installation vom Google ReCaptcha "Ich bin kein Roboter" nicht ein einziger Spam mehr. Seit 2 Jahren ist Ruhe.  

Wer Angst hat Kunden zu verlieren sollte sich den unsichtbaren Invisible reCAPTCHA installieren. Glaube aber nicht dass man dadurch viele Kunden verliert. Solche Kunden wollen wir gar nicht haben, sind meistens eh die, mit denen es später nur Probleme gibt, und auf die können wir gerne verzichten.

[Shad86]

Ja für uns hat es soweit auch super funktioniert, ist aber bei der momentanen Datenschutzthematik etwas "problematisch".

[Vitago GmbH]

vor 7 Minuten schrieb Shad86:

Ja für uns hat es soweit auch super funktioniert, ist aber bei der momentanen Datenschutzthematik etwas "problematisch".

 

Glaube ich weniger, ansonsten wären Millionen Shops davon betroffen.  

[Shad86]

Genau das ist es ja. Millionen Shops müssen sich ja jetzt was überlegen wegen der DSGVO.

Und da du nicht garantieren kannst welche Daten bei dem Captcha alles an Gogole übertragen werden, wirst du dir da etwas überlegen müssen wenn du dienen Sitz in der EU hast.

[Vitago GmbH]

vor 34 Minuten schrieb Shad86:

Genau das ist es ja. Millionen Shops müssen sich ja jetzt was überlegen wegen der DSGVO.

Und da du nicht garantieren kannst welche Daten bei dem Captcha alles an Gogole übertragen werden, wirst du dir da etwas überlegen müssen wenn du dienen Sitz in der EU hast.

 

Alles nur Panikmache....Dann müsstest du auch sofort Paypal deinstallieren, da Paypal wie auf Ihrer Seite angegeben, alle Kundendaten an 600 Firmen weiterleitet.  Soviel ist sicher, Paypal wird das nicht ändern. Hier die Liste mit denen Paypal die Kundendaten teilt: https://www.paypal.com/ie/webapps/mpp/ua/third-parties-list 

Wie siehts dann erst bei den anderen Zahlungsanbietern aus? Amazon, Stripe und und und. Was passiert mit den Daten bei den Versanddienstleistern, Inkasso usw. Die Liste ist endlos lang. So viel ist sicher, das kümmert eher die kleinen Shops, den großen ist das Wurscht. Durch die ganzen Abmahnungen werden immer mehr kleine Shops verschwinden, was uns allen zugute kommt.  

Letztes Jahr meinte das Merkel-Ferkelchen es muss verhindert werden das immer mehr Firmen in ein Steuerparadies und in Rechtsfreie Räume abwandern.  Durch das ganze DSVGO usw. passiert genau das Gegenteil, immer mehr Firmen gehen ins Ausland. Wir haben uns nicht ohne Grund nach fast 3 Jahrzehnten Selbständigkeit entschieden, die neue Firma im Ausland zu gründen. 

Wie auch immer, uns kann das ganze DSGVO egal sein, und konzentrieren uns lieber auf unser Geschäft.  

Edited October 19, 2018 by Vitago GmbH (see edit history)

[RPohlen]

Ja, die DSGVO war ein Schuß in den Ofen. Ich finde es auch toll, an den Spammern aus Deutschland mal nett in den Hintern zu treten und Auskunft darüber zu verlangen, woher sie meine Daten haben. Blöd nur, wenn derjenige sich blöd stellt, nicht mehr Antwortet und der Datenschutzbeauftragte aufgrund meiner Beschwerde dann auch sagt "Tja, böser Kerl, aber die Adresse auf der Internetseite ist falsch,auf Emails antwortet er nicht und naja, können wir nichts machen"

Muß ich ja echt lachen. Wozu ist die DSGVO den da, wenn der Datenschutzbeauftragte, der da definitiv zuständig ist, zu blöd ist ?
Richtig. Um von den kleinen, ehrlichen Shops Geld zu kassieren, wenn sie dagegen verstoßen.

Und das man jetzt auch noch die Klingelschilder entfernen will, sorry, aber da hört der Wahnsinn für mich auf. Wie bescheuert sind die den ?

Wenn ein Kunde bei mir Anfragt, was mit seinen Daten passiert, werde ich es ihm erklären. Sollte er dann wegen dem ReCaptcha bedenken haben, werde ich ihm auch in aller Deutlichkeit sagen, das Paranoia heilbar ist. Wir geben täglich so viele Daten von uns preis, da macht das eine ReCaptcha den Braten sicher nicht fett. Zudem denke ich nicht, das ich als Nutzer des ReCaptcha Auskunft darüber erteilen muß, was der Betreiber des ReCaptcha, also Google, mit den Daten macht. Da muß der Kunde dann schon selbst bei Google nachfragen.

Und ja, ich sehe das wie Vitago. Der Kunde mit Paranoia, den brauchen wir nicht. Der kann dann ja ins Ladengeschäft gehen, das auch keine Videoüberwachung hat. Da kann er dann Anonym bleiben.

 

[Shad86]

Das entscheidet ja zum Glück jeder für sich. Gibt hier ja auch einen eigenen Thread zum Thema und da hat Whiley (glaube ich) auch schon gepostet das es schon für jemanden gekostet hat.

Ob es so toll ist das kleinere Shops alle kaputt gehen und ab wann man zu klein oder mittel gehört sei dahin gestellt. Fakt ist das sich viele Unternehmen Datenschutzbeauftragte leisten. Ich persönlich denke, aus gutem Grund. Gewisse Dinge wie Zahlungsmittel, Versandunternehmen, Cookies für den technichen Ablauf, sind notwendig und wenn du in deinen Datenschutzrichtlinien ausreichend darüber Informierst ist das auch in Ordnung. Da es aber auch andere Wege gibt um Spam zu vermeiden ist der Captcha und die daraus resultierende Datenübertragung eigentlich nicht sotwendig. Aber wie gesagt das muss jeder slebst wissen. Ich würde es auch gern weite nutzen und habe es auch nur deaktiviert anstatt zu deinstallieren, hoffe aber das ich mit meinem Honeypot erstmal zurecht komme.

[rictools]

OK, ich weiß es nicht, aber normalerweise dürfte über das Captcha nur die IP-Adresse übertragen werden, vielleicht noch Browserkennung etc., also das was du als Betreiber einer Internetsite bei jedem Besuch der nicht über anonyme Proxies erfolgt sowie erfährst.

Ich denke allerdings, wenn man nicht wirklich massive Probleme mit Spam-Einträgen im Formular hat, sollte man auf ein Captcha verzichten, sicher schließt man damit nicht nur "Paranoiker" aus, sondern z. B. auch Menschen mit verminderter Sehkraft. Insbesondere mit den Google Captchas tue ich mich in letzter Zeit sehr schwer, weil oft nicht klar ist, welche Bilder angeklickt werden müssen und welche nicht.

[Springmaus_auf_180]

On 5/10/2017 at 1:08 PM, Lemonhead said:

Danke an BagHira und rictools,
Ich habe das Topic wieder eröffnet.
Der Spam geht weiter...
...
Alle Links und Ratschläge sind willkommen.

Es ist ein Desaster mit dem Prestashop, nirgendwo kann man diese elenden Spamer ab Shop-Installation simpel und wirkungsvoll dauerhaft abwähren. Es sieht so aus, als wenn alle nur an unseriöser Geschäftemacherei verdienen wollen. Da muss ja die Wirtschaft krachen gehen, wenn man wegen sowas gar nicht mehr zum produktiven arbeiten kommt!

Aber erst mal zu den Deteils, vielleicht erleben andere User auch das selbe Problem? Ich hab die Version 16.1.23 und es erschlagen uns hier laut Upload Image die endlosen spamenden Sachverhalte.

Löscht man diese Vollidoten kommen die immer wieder, weil der Shop hat es vermutlich nicht wirklich drauf, die Leute wirklich zu sperren. Und ich hab es nicht drauf sowas wie Googles externe, umstrittene Capcha einzubinden, weil es für mich viel zu kompliziert ist. Deutsche Anleitungen fand ich nicht, die zu meiner Version passen. Wir fragen uns, ob man vielleicht doch besser den Prestashop jeden Anwender ausreden sollte, wenn sich hier die Spamer nach Herzenslust austoben können? Das hat mit vernümftiger Arbeit garnichts mehr zu tun.

Im Monat hat man jetzt nur eine Bestellung, PillePalle für 15 Euro Umsatz6. Aber Hallo! Da fragt man sich wo das wirklich noch Sinn macht, obwohl wir gefragte Produkte zu super Preise haben. Denn sind die Spamer nicht da, ist die Software sehr flott. Stehen die Robots im Shop an, haben wir Seitnaufbauzeiten von ca. 15 bis 90 Sekunden und das ist nicht normal, da springt uns jeder Kunde 100pro ab. Das beobachten wir seit über 1 Jahr so udn müssen was untermnehmen. Der Frustfaktor ist größer all alles andere. Nur wem interessiert das? Niemanden!

Vielleicht habe ich auch bei der Installation zu viele Fehler gemacht, ich bin mir nicht sicher, versuche nochmals die Rechte zu prüfen und evtl. zu korrigieren, wenn das nun überhaupt noch Sinn macht. Ich denke auch schon, "dafür dürfte es nun zu spät sein".

Auf meinen Webhoster will ich nichts kommen lassen, nicht in dem Zusammenhang. Was unserem Land fehlt ist schon ab DSL-Provider eine klare Abwähr für Spamer, Spione und Saboteure, denn wer einmal in unserem Land auf so einer Basis negativ auf fällt hat generelles "Einreiseverbot" zu haben, also auch per Internet! Solange das diese Politik nicht begreift und nichts gegen Kriminelle dieser Art unternimmtm, kann man diese auch niemals wieder wählen gehen. denn die Ignoranz sabotiert uns im risigen negativen Kreislauf weiter, ist ein Unding. Es wird Zeit für frischen Wind in den politischen Kreisen, denn die Jugend aus neuen Parteien wird es wohl viel besser machen - vermute ich gerade. Weil den Altparteien ist doch viel zu vieles egal, weil Verbrecher haben weiterhin Narrenfreiheit, die Saboteure kennen keine empfindlichen Strafen, weltweit nicht. Ihr könnt den Spam melden, es gibt keine Entschädigungen, wenn man das den Behörden meldet, also direkt weiterleitet, es sind nur steuerliche Belastungen für die geschädigten Bürger, denn diese ignorant zuschauenden Behörden leben von Steuergeldern.

Wie bitte soll man über solche massenweise eintreffenen und sehr blokierenden Spamer noch seine Brötchen verdienen? UND dann Steuergelder ... zahlen? Was soll man mal als Selbständiger für Rente bekommen, wenn genau so dei Umsätze ausbleiben? Man schmeißt den ganzen Bullshit besser hin, wenn es so läuft, weil kein "Nichtsnutz" taugt was! Über diesen Webshop wird man zum "Nichtsnutz"! - Oder wo kann ich die Spamer ab install simpel und dauerhaft abwähren?

Ich habe versucht in der robots.txt Einträge zu machen,

User-agent: cutt.us
Disallow: /
User-agent: d. www.cutt.us
Disallow: /
User-agent: yahoo
Disallow: /
User-agent: AhrefsBot
Disallow: /
User-agent: MJ12bot
Disallow: /
User-agent: SEMrushBot
Disallow: /
User-agent: SemrushBot
Disallow: /
User-agent: SemrushBot-SA
Disallow: /
User-agent: SEOkicks
Disallow: /
User-agent: Mediatoolkitbot
Disallow: /
User-agent: YandexBot
Disallow: /
User-agent: Baiduspider

ohne Ende ... aber das ist absolut wirkungslos, habe am Tag um die 50 bis 250 Neuzugäge an Spamer. Ich bin fassungslos, was man uns mit dieser Software weiter so negativ zumutet.

Über das Thema hier wird doch schon sooo lange diskutiert, weltweit, aber im Prestashop kommt einfach nicht der geeignete Bereich um den Typen mal einen wirkungsvollen Riegel vor zu schieben. Ich habe jedenfalls nichts gefunden, sende erst mal eine deutliche Beschwerde an die Wirtschaftspolitiker ab, die am Ende gewählt werden wollen. Da müssen die aber nun wirklich mal ran und abliefern!!! Sonst wird meine Gewerbeabmeldung so sicher wie das "Amen in der Kirche" sein und die Quittung wird für fehlende scharfe Gesetze per Wahlstimme folgen, weil dann habe ich eh nichts mehr zu verlieren.

Es kann auch nicht sein, dass die Juristen Kosten an Geschädigte stellen, dass gebürt den "Täte-ret-tä-tä-Tätern" (wie es woh Frau N**les sagen würde) in Rechnung gestellt, wenn die überhaupt noch was zu sagen hätte! Maaan... wo leben wir? Diese Politik und die Prestashop-Produzenten wird so ignorant keiner mehr ernst nehmen. Das Management vom Prestashop hält es nicht mal für nötig zu antworten. Was für Spezis? Ich bekomme Krämpfe in den Fingern beim Beifall klatschen, hab irgendwie Sekundenkleber dazwischen. Okay der 1. April ist nun längst vorbei, dass ist nicht lustig. ;-((

Ich habe hier keine simple Lösung gefunden und der Spam ist nicht mehr in den Griff zu bekommen. Bin total verärgert, aber so richtig, was man sicherlich auch lesen und verstehen kann. Kein Unternehmker hat die Zeit sich in Foren hoch und runter zu lesen, das ist mit produktiven Absichten unmöglich, weil jeder muss was schaffen um zu überleben, die ganze Verantwortung ist explosiv. Ich frage mich woher ihr die Zeit nehmt hier zu lesen und lieben Leuten zu helfen??? ICH bin nicht mehr lieb und erwarte deswegen keine Hilfe mehr, weil ich via "Spamschleuder/Spammagnet Prestashop" endlos geschädigt und total sauer bin! Merkt ja jeder ... ich mache vermutlich ALLES falsch und das frustriert übelst, weil am Ende schieß ich den Shop über das ganze Gefummel ab, muss nur noch Serverfehlermeldungen lesen und lasse besser die Finger davon.

Ich habe noch einen anderen Shop, der Modified, den kann ich nur jeden empfehlen, da gibt es gar keine Probleme per Spam und der deutsche Support ist im Vergleich zu hier schon immer ein sehr angenehmer Traum. "Endlich wieder mehr Heimatsprache ab oberste Etagen!" Hier verlernt man das nett sein, aber ich versuche es NOCH ein aller letztes mal, wegen der bisherigen Ignoranz ab Management, was mir garnicht imponierte, weil Sabotage ist kein Kavaliersdelikt, sondern kriminell und das muss man abwähren können. Wo ist denn der passende Schalter im Prestashop ab Installation? 😉 Die tun vermutlich alles um Kriminelle für die Profitgier anzulocken, oder wie muss man das sehen?

Auf so einer Basis installiert man sich auch keine 7.1 oder höher, dass flopt doch alles. Ich habe einmal ein Update gewagt, ist keine 4 Wochen her, damit war die Domain SOFORT ein kompletter Schrotthaufen. Wie professionell ist das alles? WoW! Schaden über Schaden und kein Erfolg in Sicht. Wer soll sich damit dauerhaft so ruinieren? Das gehört leider eher verboten, schadet uns nur in der Wirtschaft, wird kein Aufschwung im Lande, nicht damit! Warum muss man immer nur so schlechte Erfahungen mit dem Prestashop sammeln?

[Springmaus_auf_180]

On 10/19/2018 at 4:38 PM, rictools said:

OK, ich weiß es nicht, aber normalerweise dürfte über das Captcha nur die IP-Adresse übertragen werden, vielleicht noch Browserkennung etc., also das was du als Betreiber einer Internetsite bei jedem Besuch der nicht über anonyme Proxies erfolgt sowie erfährst.

Ich denke allerdings, wenn man nicht wirklich massive Probleme mit Spam-Einträgen im Formular hat, sollte man auf ein Captcha verzichten, sicher schließt man damit nicht nur "Paranoiker" aus, sondern z. B. auch Menschen mit verminderter Sehkraft. Insbesondere mit den Google Captchas tue ich mich in letzter Zeit sehr schwer, weil oft nicht klar ist, welche Bilder angeklickt werden müssen und welche nicht.

Genau das ist das Problem, es geht mir selber dauerhaft so, da ist schon so macher Auftrag geplatzt, wenn ich was im Dienste der Kunden bestellen wollte.

Und nun? Was kann man denn noch tun? Dem Shop fehlen einfach die wirkungsvollsten Maßnahmen in der Grundausstattung. Es muss vermutlich so sein, ist für die Profitgier vermutlich genau so absichtlich geamcht, anders kann ich mir das nicht mehr erklären. Oder hab ich was brauchbares übersehen?

Außerdem, ich habe im Shop die Länder abgeschalten, weil ich lasse mich nicht weiter sabotieren. Wieso verschaffen die sich dann trotzdem den Zugriff? Wie sicher ist denn der Prestashop wirklich? Wenn ich sanktionierend "Nein" zu den spamenden Ländern sage, hat das dabei zu bleiben und nichts anderes! Soll doch mal Putin, ..., Donald John Trump und Konsorten herausfinden, warum wir diese Länder konsequent abweisen. Das müssten viel mehr Shopbetreiber tun, für alle sabotierende Länder!

Edited April 29, 2019 by Springmaus_auf_180 (see edit history)

[Whiley]

Hallo Springdingens,

wie wärs wenn du von deinen 180 etwas zurückdrähst, und deine Abwährmaßnahmen in die richtige Richtung lenkst..

Hier in diesem Topic geht es um Spammer, die über das Kontaktformular mails an den Kundenservice schreiben, die dann als Relay an die vermeintlichen Absenderadressen weitergeleitet werden.

Dieses Thema war vor ein paar Monaten aktuell und dürfte in der Zwischenzeit hinreichend gelöst worden sein, oder hast du damit auch noch Probleme?

Dein Screenshot deutet auf ein anderes aktuelles Spam-Problem hin - die Anmeldung der Spammer als Neukunden.

Eine ganz andere Baustelle aber auch dieses Problem ist mitlerweile ganz gut gelöst, du findest hier im Forum die entsprechende Anleitung, wie du vorgehen solltest (Forensuche)

 

 

 

 

[rictools]

Ein bißchen knapper und übersichtlicher hast du es nicht gehabt?

Du hast offenbar auch die Erwartung, daß, wenn ein Shopsystem kostenlos ist, es auch sämtliche Funktionen beinhalten muß, die irgendjemand benötigen könnte. Da bist du auf dem Holzweg, Prestashop ist ein Unternehmen, das Geld verdienen und seine Mitarbeiter bezahlen muß und die Nutzer sind normalerweise ja schließlich auch Menschen, die mit dem Shop Geld verdienen wollen.

Deshalb kann man manche Funktionalitäten nur über kostenpflichtige Module nachrüsten oder man benötigt eine Agentur.

Du hast offenbar auch die Erwartung, daß es doch ganz einfach sein müßte, Spammern Einhalt zu gebieten, jedes Schulkind muß doch schlauer sein als diese Spammer ... Da täuschst du dich auch, der einzige wirkliche Schutz vor Spammern ist, das Internet nicht zu nutzen. Wenn du einen Shop betreibst und ein Kontaktformular hast, muss ja irgendwie zwischen tatsächlichen Kunden / Interessenten und Spammern unterschieden werden, das ist immer eine Gratwanderung.

> ...  ich hab es nicht drauf sowas wie Googles externe, umstrittene Capcha einzubinden, weil es für mich viel zu kompliziert ist. Deutsche Anleitungen fand ich nicht, die zu meiner Version passen. Wir fragen uns, ob man vielleicht doch besser den Prestashop jeden Anwender ausreden sollte ...

JA! Man sollte Anwendern, denen so etwas schon "viel zu kompliziert" ist und die zwangsläufig deutschsprachige Anleitungen benötigen, Prestashop ausreden, Prestashop ist für solche Anwender nicht geeignet! Für eine Bestellung im Monat brauchst du auch kein derart komplexes Shopsystem! Und den zehntausendsten Shop eines Laien mit "gefragten Produkten zu super Preisen" braucht auch niemand!

Deine Probleme hat übrigens nicht jeder, ich hatte bisher noch keinen Spammer als "Kunden".

[Springmaus_auf_180]

12 minutes ago, rictools said:

Ein bißchen knapper und übersichtlicher hast du es nicht gehabt?

...

Deine Probleme hat übrigens nicht jeder, ich hatte bisher noch keinen Spammer als "Kunden".

Danke, alles sehr vorbildlich, kennen wir ja schon hier im Forum! Kann man im Fazit auch nur abraten. Ich denk mir mein Teil ..., "kurz genug"?

[Springmaus_auf_180]

35 minutes ago, Whiley said:

Hallo Springdingens,

wie wärs wenn du von deinen 180 etwas zurückdrähst, und deine Abwährmaßnahmen in die richtige Richtung lenkst..

Hier in diesem Topic geht es um Spammer, die über das Kontaktformular mails an den Kundenservice schreiben, die dann als Relay an die vermeintlichen Absenderadressen weitergeleitet werden.

Dieses Thema war vor ein paar Monaten aktuell und dürfte in der Zwischenzeit hinreichend gelöst worden sein, oder hast du damit auch noch Probleme?

Dein Screenshot deutet auf ein anderes aktuelles Spam-Problem hin - die Anmeldung der Spammer als Neukunden.

Eine ganz andere Baustelle aber auch dieses Problem ist mitlerweile ganz gut gelöst, du findest hier im Forum die entsprechende Anleitung, wie du vorgehen solltest (Forensuche)

 

 

 

 

Ja, versuchte ich, war mir leider nicht gelungen, es geht um mehr als "zurückdrängen", da findet man nicht mehr die richtige Richtung!

Also das Kontaktformular so unbrauchbar/unsicher ganz löschen und ein anderes viel besseres Kontaktformular einbinden (lassen)? Ich finde z. Z. kine bessere Lösung mehr.

Ja, alte Probleme zu suchen sind ein Problem und wer im Laden steht, kann das vermutlich nur noch zur Nachtruhe machen, wo normale Menschen entspanned schlafen. Aber egal, danke für professionellen Hinweis. Ich bin schneller, wenn wir das Shopsystem wechseln.

Ich weis, wollte per Screeanshot das Problem hier nochmals sehr deutlich machen, weil eben vieles nicht so einfach ist.

Super, durchwühlen wir noch ein letzes mal diese Baustellendiskussionen. Vielleicht! Weil man hat ja sonst nichts zu tun? Bin gespannt ob sich das ein parr Mio. Leute so antun müssen, die den unsinnigen, unsicheren Shop installiert haben.

Mann/Frau stelle sich nur mal 3 Mio. Anwender vor, die über  genau das Problem ca. 3 bis 5 Std. Arbeitszeit in den Sand setzen müssen. Wie wirtschaftlich doch dieser Shop für die Staaten ist? Unfassabr. Ist für mich so nicht nachvollzihbar und mein Verdacht auf arglistige Profitgier bestätigt sich damit auch.  Sowas sollte man staatlich verbieten.

Okay, weiter so ..., ich denk mir mein Teil. Wir hauen den Mistshop besser raus, macht mehr Sinn als sich sabotieren und schikanieren zu lassen.

Meinen Account hier könnt Ihr löschen, mir ist das auf Geschäftsebene viel zu unseriös, da kann man nicht mehr freundlich sein, es gibt Probleme über Probleme, dass tut dem Blutdruck garnicht gut, weil negativer Dauerstress macht krank. Dann machts mal gut hier, weil mein Shop ist in 20 min. Geschichte, nie wieder!

Edited April 29, 2019 by Springmaus_auf_180 (see edit history)

[Shad86]

Wie man von dem Spammer Problem auf Politiker kommt verstehe ich nicht wirklich und Prestashop kann auch nichts dafür wenn ein Anwender nicht damit umgehen kann. Und das Forum hat auch relativ wenig mit der Software an sich zu tun. Alle die hier aktiv sind haben selber Shops und arbeiten nicht bei Presta.

Wenn man einfach sachlich erklären würde was das Problem ist, hätten andere vielleicht auch Lust sich mit dem Thema zu befassen und einem zu helfen. Also ich habe ins Kontaktformular einen Honeypot eingebaut und habe seitdem nicht ein einziges Spam Problem mehr gehabt.

Aber an sich schließe ich mich den anderen an. Wer meint es kann nur an anderen liegen und alles ist mist, ohne sich damit wirklich aus zu kennen, darf sich gerne eine andere software aussuchen. Am besten geht man dann zu einer Agentur und lässt sich einen Shop bauen und hat dann jemanden wo man meckern kann wenn man Spam bekommt oder irgendetwas anderes nicht funktioniert. Aber Geld ausgeben will ja auch niemand.

Edited April 29, 2019 by Shad86 (see edit history)

[Shad86]

Sorry für den Doppelpost aber hab hier auch noch einmal etwas offizielles zum Thema.

https://translate.google.com/translate?hl=de&amp;sl=en&amp;u=http://build.prestashop.com/news/fighting-against-spamming-again/&amp;prev=search

Extra durch den Google Translator gejagt für diejenigen die kein Englisch können.

[Vitago GmbH]

@Springmaus_auf_180

Oh Mann...was hast Du denn für ein Problem?  Zum einem ist Presta für Leute die kein Englisch können nicht wirklich geeignet, und zum anderen das perfekte Shopsystem gibt es nicht!

Ein Tipp: Falls du wirklich vorhast zu wechseln Wechsel ja nicht zu Shopware, da ist zwar alles Deutsch aber tausend mal schwieriger als Presta und für Laien völlig ungeeignet.

Den google Captcha (gibt es auch unsichtbar und läuft im Hintergrund ohne das der Kunde davon was mitbekommt) willst Du nicht denn da könnte man ja ein paar Kunden verlieren, und ohne Captcha hast Du Spam. Wir hatten auch bei SW täglich hunderte Spam Anmeldungen, seit wir den recaptcha installiert haben seit über einem Jahr kein einziger Spam mehr, weder Anmeldungen noch im Kontaktformular.  Auf die paar Kunden die wir dadurch eventuell verlieren können wir verzichten.  

Es gibt immer Möglichkeiten Spam zu unterbinden, man muss nur nach Lösungen suchen und ausprobieren. Aber auch die Spammer rüsten nach und werden immer ein Schlupfloch finden, man muss also immer auf dem laufenden bleiben und eventuell nachbessern.  

Aber irgendwie sehe ich bei dir schwarz....Du bist im Glauben du installierst ein Shopsystem und alles läuft perfekt nach deinen Wünschen...wenn du so eines gefunden hast, gib uns Bescheid, das wollen wir auch haben.

Lg

Edited April 30, 2019 by Vitago GmbH (see edit history)