Spam-Registrierungen trotz Recaptcha in Registrierung

  • Hallo zusammen,


    ich habe die letzten Tage leider sehr viele Spam-Registrierungen in Virtuemart. In der Registrierung wird Recaptcha2 "Ich bin kein Roboter" als Spamschutz genutzt, was aber leider in dieses fällen nicht wirkt. Die Registrierungen kommen ca. alle 4-5 Minuten rein. Das wird doch keiner "von Hand" machen?


    Ich nutze aktuell Joomla 3.10.11 und Virtuemart 3.8.8. Dazu den Onepage Checkout von Rupostel. Ich weiss, dass die Virtuemart-Version nicht die neuste ist. Bei einer Migartion zur Version 4 hatte ich zuletzt noch Probleme, daher ist das Update zunächst noch aufgeschoben.


    Mein Gedanke war nun die IP zu sperren, von welcher die Registrierungen ausgehen. Allerdings finde ich keine Möglichkeit diese herauszufinden. Ich habe schon in den Log-Dateien geschaut, allerdings kann ich hier keine entsprechende finden. Eventuell schaue ich auch an der flaschen Stelle? Bislang habe ich in ../logs/com_virtuemart.log.php bzw ../logs/error.php geschaut.


    Gäbe es eine Möglichkeit die IP-Adresse von einer neuen Registreierung herauszufinden bzw. werden diese überhaupt gelogt?


    Über Tipps würde ich mich sehr freuen.


    Grüße aus Bergisch Gladbach

    Björn

  • Hallo Björn,


    die Registrierungen kommen meistens über Joomla.


    Ich empfehle, die Joomla-Registrierung über die .htaccess zu blockieren und nur die VirtueMart-Registrierung oder die Registrierung über den Checkout zuzulassen.

    Wichtig: Im Plugin "VM Framework Loader during Plugin Updates" den Redirect von Joomla zur VM Registrierung ausschalten.

    Damit fällt ein Großteil der Anmeldungen weg.


    Persönlich benutze ich kein Captcha für die Registrierung. Die Registrierung lasse ich nur zu, wenn etwas im Warenkorb liegt. Das können bisher nur Menschen umgehen. Damit sind bei mir Spam-Anmeldungen in den letzten Jahren bei abgerundet Null.


    Grüße

    Stefan

  • Hallo Stefan,


    herzlichen Dank für deine Antwort. Das ist eine gute Idee, da werde ich mich einmal dran versuchen.


    Eine Möglichkeit die IP, von welcher die Registreirung aus ging, herauszufinden gibt es nicht?


    Grüße Björn

  • Die Logs, die in VM verlinkt sind, sind interne Fehler-Logs von VM, Paypal usw., da geht es im Grunde nur um Fehler oder wichtige Infos.


    Alle Server-Anfragen sind in den Server Logs zu finden, die man je nach Provider in unterschiedlichen Bereichen findet.

    Am besten beim Provider in der Dokumentation schauen.


    Die IP zu blockieren ist aber nicht hilfreich, das macht eigentlich ein gut eingerichteter Server schon, wenn es mehrere Versuche von der gleichen IP gibt.

    Die Spamer benutzen aber heutzutage einen ganzen IP-Pool, da hilft blockieren nicht wirklich.

    Man sollte Spam-Registrierungen durch Logik im Registrierungsprozess verhindern.

    Wenn bei den Spamern immer nur die rote Erfolglos-Leuchte angeht, dann gehen die woanders hin.


    Grüße

    Stefan

  • Hallo Zusammen!
    Hatte gestern das gleiche Problem. Spannend ist, dass die jetzt schon das REcaptcha übergehen können.
    Da mein Kunde "Kauf nur mit Registrierung" zulässt, habe ich es wie Stefan geraten gelöst im Zuge des Checkouts.


    Musst nur für die Joomla Standardregiertierung Com_User einen Override schreiben, damit diese nicht mhr funktioniert, da die das trotz deaktivierten Menüpunkt über die Systemlinks verwendet haben.


    Info: Bei mir kam das Meinste lt. Serverlogs aus Russland (Moskau).


    Grüße Kurt

  • Hallo Zusammen,


    ich würde hier gerne nochmals nachfragen, da ich die "Deaktivierung" der Registrierung ausserhalb des Warenkorbes noch nicht hinbekommen habe.


    So wie ich es verstehe müsste ich folgende URLs umleiten:

    index.php?option=com_users&lang=de&view=registration

    index.php?option=com_users&Itemid=&lang=de&view=registration

    index.php?option=com_users&view=registration


    Ich habe versucht diese einfach per Redirect in der HTACCESS umzuleiten (einfach auf die Startseite), leider nicht wirkich mit Erfolg:
    Redirect 301 /index.php?option=com_users&lang=de&view=registration https://www.startseite.com/

    Redirect 301 /index.php?option=com_users&Itemid=&lang=de&view=registration https://www.startseite.com/

    Redirect 301 /index.php?option=com_users&view=registration https://www.startseite.com/


    Ich lande aber beim Aufruf der URLs leider immernoch in der Registrierung.


    Könntet Ihr mir eventuell einen Tipp geben, wie ich die Joomla-Registrierung per HTACCESS blockiere?


    Vielen herzlichen Dank im Voraus.


    Grüße Björn

  • Kleiner Copy and Paste, da ist allerdings login noch mit drin, das müsste evtl. entfernt werden.

    Das gibt ein 403 forbidden, keine Weiterleitung zur Startseite. Die Bots sollen nur sehen, dass die Tür zu ist.

    Wenn da mehrere Botanfragen pro Sekunde kommen, sollen die nicht noch einmal Serverkapazitäten durch Aufruf der Homepage in Anspruch nehmen.


    RewriteEngine On

    ## Redirect REGISTER to 403 Forbidden - START

    RewriteCond %{REQUEST_URI} /component/users [NC]

    RewriteCond %{QUERY_STRING} view=registration [NC]

    RewriteRule .* - [F]

    RewriteCond %{REQUEST_URI} /component/users [NC]

    RewriteCond %{QUERY_STRING} view=login [NC]

    RewriteRule .* - [F]

    RewriteCond %{REQUEST_URI} /login [NC]

    RewriteCond %{QUERY_STRING} view=registration [NC]

    RewriteRule .* - [F]


    RewriteCond %{REQUEST_URI} / [NC]

    RewriteCond %{QUERY_STRING} option=com_users&view=registration [NC]

    RewriteRule .* - [F]

    RewriteCond %{REQUEST_URI} / [NC]

    RewriteCond %{QUERY_STRING} option=com_users&view=login [NC]

    RewriteRule .* - [F]

    ## Redirect REGISTER to 403 - END


    Grüße

    Stefan

  • Hallo, ich werde auch gerade zugspammt. fairgrafix : auf welches Objekt muss die Prüfung im Template erfolgen? Viele Grüße robbo2000

  • Hallo, danke nochmal für den Tipp! Ich habe das in der Datei /templates/xyz/html/com_virtuemart/user/edit.php jetzt so gelöst und bin gespannt, wie die Auswirkungen sind. Freue mich über Feedback!


  • Hallo Stefan,


    eine Frage, wo stelle ich das ein "Registrierung nur mit einem Artikel im Warenkorb"?


    Danke

    Manfred

  • Hallo Manfred,


    eine Einstellung dazu gibt es in VM nicht. Diese Änderung kann in den Template-Overrides gemacht werden.

    Da muss man dann etwas tiefer in den Quellcode schauen.

    Der One Page Checkout von VirtuePlanet macht das ähnlich, wenn man nicht selbst in den Code möchte.


    Grüße

    Stefan

  • Also den redirect ausschalten, damit die htaccess funktioniert?


    Hmm Letzteres wäre doch eine gute Core option, so einfach gebaut.




    Tja jetzt beisst sich das. Die Idee vom redirect auf den VM sollte ja gerade dafür sorgen, daß man eben com_user nicht overriden braucht.

  • Also den redirect ausschalten, damit die htaccess funktioniert?

    Den Redirect über das VM-System-Plugin ausschalten, damit die Bots, die auf com_user zugreifen wollen, nicht zu VM weitergeleitet werden, wo sie dann ein neues Formular finden, das sie ausfüllen möchten (und können).


    Hintergrund:
    Bots kennen die URL des Joomla-Registrierungsformulars, das ist das Hauptziel der Bots.
    Das VM-Formular gehen die mir bekannten Bots nicht direkt über eine bekannte URL an. Das finden sie nur über Links oder eben diesen Redirect.


    Wenn man com_user durch eine Bearbeitung des Codes in com_user unwirksam macht, finden die Bots trotzdem den Weg zur VM-Registrierung, wenn der Redirect eingeschaltet ist. Es ist also nötig, die Registrierung über com_user in der .htaccess zu blockieren. (Ist auch sauberer, weil der Server die Anfragen gleich blockt und nicht zu Joomla weiterschickt.) Allerdings muss man die Funktion für die Passwort-Wiederherstellung in com_user offen lassen.


    Wenn man keine Links zur VM-Registrierung hat, finden die Bots die VM-Registrierung kaum, evtl. wenn sie über einen Link in den Warenkorb kommen.
    Wenn die Registrierung aber nur möglich ist, wenn ein Produkt im Warenkorb liegt, finden die Bots die Registrierung nicht, weil sie (bisher noch) keine Produkte in den Warenkorb legen können. Da brauchen die dann ein bisserl mehr AI, und das würde wahrscheinlich bei großflächigen Angriffen zuviel Rechenpower benötigen.


    Mit dem System ist man also ziemlich sicher vor Spam-Registrierungen.


    Eine Einstellung in der VM-Konfig, die Adresseingabe/Registrierung im Warenkorb nur anzuzeigen, wenn ein Produkt im Korb liegt, wäre in der Tat eine gute Sache, dann kann jeder Shop-Betreiber einfach entscheiden, wie er es haben möchte. Da müsste man sich nur über die Voreinstellung streiten. ;-)

    Um das Verhalten nicht zu verändern, scheint es sinnvoll, die Registrierung per default weiterhin anzuzeigen.


    Grüße

    Stefan


  • Eine Einstellung in der VM-Konfig, die Adresseingabe/Registrierung im Warenkorb nur anzuzeigen, wenn ein Produkt im Korb liegt, wäre in der Tat eine gute Sache, dann kann jeder Shop-Betreiber einfach entscheiden, wie er es haben möchte. Da müsste man sich nur über die Voreinstellung streiten. ;-)

    Um das Verhalten nicht zu verändern, scheint es sinnvoll, die Registrierung per default weiterhin anzuzeigen.

    Das wäre eine sehr gute Sache! :)


    Beste Grüße und ein schönes Wochenende wünscht der Faro

  • Das habe ich fertig geschrieben, weils mir so gut gefallen hat. Aber dann sollte man die Umleitung auf das VM Formular wieder einschalten. Dann gehts auch ohne htaccess. Der Default wert ist 1. Man kann dann ohne Produkte die Form ausfüllen, aber sich eben nicht registrieren. Das ganze ist auch ausserhalb des Templates abgesichert.