Möglicher Bypass von EasyCalcCheck Plus bei der Joomla-Benutzerregistrierung

2 Wochen 20 Stunden her - 2 Wochen 20 Stunden her #18276 von fw114
Hallo Viktor,
ich hatte dieser Tage mehrere User SPAM Regs, bei dem ich nicht sicher bin, ob es sich um ein Konfigurationsproblem oder um einen möglichen Bypass von EasyCalcCheck Plus handelt.Die Website läuft mit Joomla 6.1.1 und EasyCalcCheck Plus Pro 6.1.0.0. Die Benutzerregistrierung ist bewusst aktiviert, da registrierte Benutzer für die Website benötigt werden. Die Benutzeraktivierung erfolgt durch den Administrator. EasyCalcCheck Plus ist für Benutzerregistrierung, Benutzer-Login und Kontaktformulare aktiviert. Die ALTCHA-"I'm not a bot"-Abfrage wird auf dem Registrierungsformular korrekt angezeigt.In den letzten Tagen wurden dennoch zwei Benutzerkonten erfolgreich registriert, obwohl EasyCalcCheck Plus aktiv war. Beide Konten wurden lediglich als normale Registered-Benutzer (Gruppe 2) angelegt, sind gesperrt (
block = 1
), besitzen einen gültigen Joomla-Aktivierungscode und wurden nie aktiviert oder genutzt. Es wurden keine Administrator- oder Super-User-Rechte vergeben.Bei der Analyse der Apache-Logs konnte ich nachvollziehen, dass die Registrierung über den normalen Joomla-Registrierungsprozess erfolgte. Der relevante Request lautet:
POST /user/login?task=registration.register HTTP/1.1
Anschließend antwortet Joomla mit einem HTTP 303 Redirect auf die Registrierungsabschlussseite. Aus den Logs ergibt sich somit, dass die Registrierung regulär über das Joomla-Frontend angenommen wurde.Die beiden Registrierungen kamen von folgenden IP-Adressen:
  • 23.129.64.206 (Emerald Onion TOR Exit Node)
  • 46.105.20.238 (OVH VPS, Frankreich)
Beides sieht nach typischen Quellen automatisierter Spam-Registrierungen aus.Ich möchte noch erwähnen, dass wir vor kurzem einen völlig anderen Sicherheitsvorfall auf einer Joomla-Installation hatten (Super-User-Anlage und PHP-Webshell wegen SPpagebuilder). Nach einer umfangreichen forensischen Untersuchung bin ich jedoch überzeugt, dass diese beiden Registrierungen nicht mit diesem Vorfall zusammenhängen. Es handelt sich offenbar um normale Frontend-Registrierungen und nicht um einen erneuten Einbruch.Daher hätte ich einige Fragen:
  • Ist ein solches Verhalten bereits bekannt?
  • Gibt es bekannte Möglichkeiten, die ALTCHA-Prüfung automatisiert zu umgehen?
  • Bietet EasyCalcCheck Plus eine Protokollierung oder Debug-Ausgabe, aus der hervorgeht, ob die ALTCHA-Prüfung erfolgreich validiert wurde?
  • Gibt es aus deiner Sicht Einstellungen oder Konfigurationen, die ich überprüfen sollte?
Falls hilfreich, kann ich selbstverständlich Apache-Access-Logs, Screenshots der ECC+-Konfiguration oder weitere Informationen zur Verfügung stellen.Vielen Dank im Voraus für deine Unterstützung.Viele Grüße

Bitte Anmelden, um der Konversation beizutreten.

1 Woche 6 Tage her #18277 von Viktor
Bitte anmelden, um die Antwort zu sehen. Achtung: Eine gültige Subscription wird benötigt, um einen Account zu aktivieren.

Bitte Anmelden, um der Konversation beizutreten.

1 Woche 6 Tage her #18278 von Viktor
Bitte anmelden, um die Antwort zu sehen. Achtung: Eine gültige Subscription wird benötigt, um einen Account zu aktivieren.

Bitte Anmelden, um der Konversation beizutreten.

Ladezeit der Seite: 0.120 Sekunden