Jump to content
xt:Commerce Community Forum

Spammail vom Kontaktformular aus..


mimo1000

Recommended Posts

Guest tuvalu

Neben vielen anderen Möglichkeiten hat sich bei mir das hier bewährt:

suche in root/shop_content.php

$smarty->assign('INPUT_EMAIL', xtc_draw_input_field('email', ($error ? $_POST['email'] : $email_address)));
und ersetze mit
$smarty->assign('INPUT_EMAIL', xtc_draw_input_field('email', '', 'size="30" maxlength="40"', ($error ? xtc_db_input($_POST['email']) : $email_address)));

So ist die Eingabe der Emailadresse erstmal limitiert und wird durch die xtc_db_input geprüft.

Dann oder alternativ:

root/shop_content.php

Umbnenennen in shop_content2.php

includes/filenames.php

shop_content.php in shop_content2.php umbenennen

Damit ist der Bot erstmal raus und der Spammer muß sein Skript händisch anpassen. Solltest Du den shop_content.php irgendwo hardcoded haben, muß das natürlich geändert werden.

Ich hatte auch des öfteren Spam über das Kontakformular. Immer erst 'ne nette Mail "Nice Shop" vorab, dann Spam. Mit der Umbenennung hatte ich ein paar Wochen Ruhe, dann wurde das Skript halt angepaß. Nach der Code-Änderung kam nichts mehr.

My2Cent

tuvalu

Link to comment
Share on other sites

Hi mimo,

da wird Dir nichts Anderes uebrig bleiben.....

Es gibt da NICHTS was im Shop eingestellt werden kann, oder was man simple im HTML code machen kann um diese Spammer, maschinelle oder menschliche auszutricksen.

-> tuvalu,

Deine Moeglichkeiten sind funktionieren zwar, haben aber klare Nachteile.

Erstens gibt es auch reale e-mail Adressen die laenger als 30 Zeichen sind. Damit sperrst Du also potentielle Kunden aus.

Und die zweite Moeglichkeit hilft nur temporaer, naemlich genau so lange bis man die neu benannte Datei ausfindig gemacht hat (das kann zwischen 1-2 Tagen oder ner Woche dauern), aber dann gehts munter weiter... habe ich alles schon hinter mir.

Link to comment
Share on other sites

Guest tuvalu

Es gibt da NICHTS was im Shop eingestellt werden kann, oder was man simple im HTML code machen kann um diese Spammer, maschinelle oder menschliche auszutricksen.

Jep. Und die ganze Zeit wird unter der Emailadresse des Shops Spam verbreitet. Empfänger packen das in ihre Blacklist oder wenn es ganz arg kommt, wird gleich die ganze Domain oder der Mailserver geblacklistet. Es muss halt was gemacht werden. Das Problem ist seit dem SP 2.1 bekannt und sollte ursprünglich im SP 2.2 gefixed werden (ist es auch im SP2.2Beta, dort aber übergreifend mit dem Newsletter).

-> tuvalu,

Deine Moeglichkeiten sind funktionieren zwar, haben aber klare Nachteile.

Erstens gibt es auch reale e-mail Adressen die laenger als 30 Zeichen sind. Damit sperrst Du also potentielle Kunden aus.

Und die zweite Moeglichkeit hilft nur temporaer, naemlich genau so lange bis man die neu benannte Datei ausfindig gemacht hat (das kann zwischen 1-2 Tagen oder ner Woche dauern), aber dann gehts munter weiter... habe ich alles schon hinter mir.

Das ist richtig. Vorschlag, nimm statt 40 (tatsächlich steht der Wert auf "maxlength=40", es werden nur 30 Zeichen angezeigt) 50 oder 60, aber limitiere es, denn sonst tauchen da reichlich BCs auf.

Edit: Eine Umbenennung der shop_content.php ist grundsätzlich sinnvoll. Da alle XT:C-Shops in diesem Punkt gleich sind, wird so ein automatischer Angriff ausgeschaltet. Das Bot-Skript muß so immer händisch angepaßt werden.

My2Cent

Tuvalu

Link to comment
Share on other sites

Hallo,

ich habe in meinem Shop bot-trap eingebunden.

Sieh Dir das doch mal an.

Falls Du Zutrauen dazu hast, läßt sich das problemlos in den Shop einbinden.

Damit bleiben die Spammer zu 99% draußen. Habe durch das Kontaktformular noch kein Spam bekommen.

Grüße

Vio

Link to comment
Share on other sites

Hi, ich nochmal.

Ich habe festgestellt das es ein relativ simples Verfahren gibt um zumindest Spambots rauszuhalten - und das klappt recht gut.

Fügt ein weiteres Feld in das Form mit ein - aber so daß es unsichtbar "hidden" ist.

Die Spambots sind nämlich so doof daß Sie wenn sie ein textfeld finden (und sie finden "hidden" fields) diese auch beschreiben. :cool:

Dann legt eine Abfrage drauf ob es befüllt wurde.

Wenn NEIN okay, wenn JA dann Tonne.

Gruß,

Uwe

Link to comment
Share on other sites

Hi, ich nochmal.

Ich habe festgestellt das es ein relativ simples Verfahren gibt um zumindest Spambots rauszuhalten - und das klappt recht gut.

Fügt ein weiteres Feld in das Form mit ein - aber so daß es unsichtbar "hidden" ist.

Die Spambots sind nämlich so doof daß Sie wenn sie ein textfeld finden (und sie finden "hidden" fields) diese auch beschreiben. :cool:

Dann legt eine Abfrage drauf ob es befüllt wurde.

Wenn NEIN okay, wenn JA dann Tonne.

Gruß,

Uwe

Hi Uwe,

und wie geht das, dass es auch ein "Laie" versteht?

LG mimo

Link to comment
Share on other sites

  • 4 weeks later...

Hallo,

ich habe gestern ebenfalls Bot-Trap eingebunden

und seitdem keine einzige Spam-Mail übers Formular

mehr bekommen.

Es gibt bei Bot-Trap eine extra Anleitung für XTC.

Es ist nur bei einiger einzigen Datei eine Kleinigkeit

einzufügen - dürfte jeder "Laie" schaffen.

Link to comment
Share on other sites

  • 6 months later...

Hallo alle.

Hier eine Methode, wie man die lästigen Bots austricksen könnte:

template/stylesheet.css:

Füge ein:

.code { display: none }

root/shop_content.php:

statt:

if (isset ($_GET['action']) && ($_GET['action'] == 'send')) {

ersetzen mit

if (isset($_GET['action']) && ($_GET['action'] == 'send') && ($_POST['code'] == '')) {

und unter die Zeile:

$smarty->assign('FORM_ACTION',xtc_draw_form('contact_us', xtc_href_link(FILENAME_CONTENT, 'action=send&coID='.(int)$_GET['coID'])));

einfügen:

$smarty->assign('INPUT_CODE', xtc_draw_input_field('code', ($error ? $_POST['code'] : $code)));

dann:

templates/deintemplate/module/contact_us.html:

zeile 45 statt <td> </td>

ersetzen gegen

<td class="code">{$INPUT_CODE}</td>

Das Resultat ist ein verstecktes Feld, welche jedoch nicht durch hidden gekennzeichnet ist sondern durch das Stylesheet versteckt wird. Für Bots sieht das aus, wie ein normales Eingabefeld. Da Bots recht dumm sind, werden jene versuchen, das Feld mit Inhalten zu füttern. Sobald aber ein Wert übergeben wird, wird die Mail nicht versendet.

Man kann auch einen anderen Namen als "Code" verwenden, vielleicht "Telefon" oder "Betreff" oder irgendsowas, was vielleicht sogar besser ist, da dann in den einzelnen Shops nicht überall der gleiche Name als gleicher Trick erkennbar ist.

Viele Grüße

bm-w

Link to comment
Share on other sites

  • 4 months later...

Hallo,

in unserem Shop wurde das Kontaktformular fast noch nie von Besuchern genutzt, eigentlich bekommt man nur Spammails darüber, trotz Captcha, das können die ja auch inzwischen. Habe schon erwogen das Kontaktformular ganz rauszuschmeisen und nur noch die "mailto" funktion anzubieten, dann kann wer will uns eine Email über sein emailclient schicken, was haltet Ihr davon?

derzeit werden im Mitteilungsbereich, Links und URLs geschrieben, kann ich die ausfiltern oder sonst wie verhindern?

Habe noch keine bbc oder so entdeckt, was kann damit gemacht werden?

so sieht der Inhalt aus:

+++++++++++++++++++++++++++++++++++++++++++

From: [email protected]

To: [email protected]

Sent: Friday, March 27, 2009 2:57 AM

Subject: bestellung Sandies onlineshop

Herr vrffhwms ([email protected]) hat im Onlineshop folgende Bestellung gemacht:

Tasche: Menge: value

Accesoires: Menge: 2

Kind: Menge: 4

Ein Fest: 23,00 euro Menge: 4

Herr vrffhwms hat noch folgende Nachricht hinterlassen:

N8T8zj <a href=\"http://rfwwpsuzjcmi.com/\">rfwwpsuzjcmi</a>, yikpgkhgvpny, [link=http://fjplhjvoyrwm.com/]fjplhjvoyrwm[/link], http://scugtrxsnlcu.com/

Der Kunde hat folgende Kontaktdaten hinterlegt

Anrede und Name: Herr vrffhwms

Adresse: ihre Straße und Hausnummer

PLZ und Ort: PLZ Ort

Email: [email protected]

+++++++++++++++++++++++++++++++++++++++++++

bin für jede gute Erläuterung dankbar

Micha

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
  • Create New...