THEMA:

Das Thema «Google Captcha» funktioniert bei mir einfach nicht richtig. Vielleicht liegt es daran, dass ich Captchas eigentlich verabscheue...

Ich habe eine Webseite mit einem Forum, das rege benutzt wird. Die Benutzerregistrierung soll mit einem Captcha geschützt werden, damit nicht so viele missbräuchliche Registrierungen hereinkommen.

Erste Variante

• «Captcha V2 - Kästchen "Ich bin kein Roboter."» bei Google registrieren (Webseitenschlüssel und Geheimer Schlüssel habe ich)
• Das Plugin «Captcha – reCAPTCHA» öffnen, Webseitenschlüssel und Geheimer Schlüssel eingeben, aktivieren
• In der Joomla Konfiguration bei «Standard Captcha» die Option «Captcha – reCAPTCHA»

Resultat:

• Beim Registrierungsformular wird das Captcha mit dem Kästchen "Ich bin kein Roboter." korrekt angezeigt
• Es scheint völlig wirkungslos zu sein. Man kann sich zwar nur registrieren, wenn die Aufgabe gelöst wird. Aber täglich registrieren sich jede Menge von offensichtlichen Spammern.
• In der Google Recaptcha Konsole werden 0 Überprüfungen und 0% Verdächtige Anfragen angezeigt.

Zweite Variante

• «Captcha V2 - unsichtbar» bei Google registrieren (Webseitenschlüssel und Geheimer Schlüssel habe ich)
• Das Plugin «Captcha – reCAPTCHA» öffnen, Webseitenschlüssel und Geheimer Schlüssel eingeben, aktivieren *
• In der Joomla Konfiguration bei «Standard Captcha» die Option «Captcha – reCAPTCHA» auswählen *
  
  * Hier ist nicht ganz klar, welches der beiden Plugins aktiviert werden muss. Siehe aber auch Dritte Variante.

Resultat:

• Wirkungslos wie Variante 1: 0 Überprüfungen und 0% Verdächtige Anfragen

Dritte Variante

• «Captcha V2 - unsichtbar» bei Google registrieren (Webseitenschlüssel und Geheimer Schlüssel habe ich)
• Das Plugin «Captcha – Unsichtbares reCAPTCHA» öffnen, Webseitenschlüssel und Geheimer Schlüssel eingeben, aktivieren
• In der Joomla Konfiguration bei «Standard Captcha» die Option «Captcha – Unsichtbares reCAPTCHA» auswählen

Resultat:

• Beim Registrierungsformular wird die Fehlermeldung «Kein Captcha-Plugin ausgewählt oder es wurde keins gefunden. Bitte einen Administrator kontaktieren.» angezeigt
• Jetzt sind beide Plugins deaktiviert und in der Konfiguration ist bei «Standard Captcha» die Option «nichts ausgewählt» aktiv. Trotzdem erscheint die Fehlermeldung weiterhin!!!

Das kann doch nicht so schwierig sein??!!

Vielen Dank für Eure Hilfe und Gruss
Christof

Ich kann nur spekulieren, aber könnte es sein dass die Spammer irgendein anderers "Einfallstor" haben? Altes Formular, das noch aktiv ist oder so?

Bei mir funktioniert das Checkbox reCaptcha V2 überall gut. Allerdings immer in einem Convert Forms Formular und das läuft nicht mit dem regulären Joomla Captcha Plugin.
Aber ich schätze das wird häufig benutzt und es würde auffallen, wenn das nicht funktionieren würde.

Bei Plugins etc. beim Aktivieren, Deaktivieren immer den Cache löschen!
 

Eine Aussage muss ich zurücknehmen: in der Google Captcha Console sind gewisse Daten vorhanden. Allerdings sieht es so aus, als ob sie mit 1 Tag Verzögerung hereinkommen. Die Daten von heute 24.10.2022 sehe ich zum Beispiel noch nicht. Vielleicht bin ich zu ungeduldig.Die letzten beiden echten User haben sich am 12. und am 21.10.2022 registriert. Die Google Captcha Console verzeichnete aber die folgende Anzahl erfolgreicher Eingaben:

17.10.2022: 4
18.10.2022: 3
19.10.2022: 2
20.10.2022: 4
21.10.2022: 10
22.10.2022: 11
23.10.2022: 4

Gestern 24.10.2022 gab es 55 SPAM-Benutzer, die sich registriert haben. Bei Google Recaptcha wurden für diesen Tag registriert
82 erfolgreiche und
150 fehlgeschlagene
Eingaben.

1. Es ist seltsam, dass es 82 erfolgreiche Recaptcha Überprüfungen gab, aber «nur» 55 Registrierungen. Haben es sich 27 Benutzer nach dem Lösen des Captcha anders überlegt und die Registrierung dann doch nicht gesendet? Nicht unmöglich, aber etwas unwahrscheinlich.

2. Die sehr hohe Zahl von erfolgreichen SPAM-Registrierungen (55) an einem einzigen Tag, lässt fast keinen anderen Schluss zu, als dass dieser Spammer es geschafft hat, «Google Recaptcha V2 Kästchen» auszutricksen. Man kann sich kaum vorstellen, dass ein Mensch nichts Gescheiteres zu tun hat, als von Hand sinnlose Benutzerregistrierungen zu machen und Captcha Rätsel zu lösen. Mein Fazit: es gibt ein Problem bei Google Recaptcha, das geknackt wurde. Was ja eines Tages passieren musste.

Was dafür spricht, dass es immer der gleiche Spammer (oder Bot) ist:
Alle Benutzernamen sind nach dem genau gleichen Schema aufgebaut. Beispiel:
GeraldtainkGR
Zuerst ein Vorname, dann ohne Leerzeichen dazwischen ein paar zufällige Buchstaben und ganz am Schluss immer 2 Grossbuchstaben, ebenfalls ohne Leerzeichen.

Gerne würde ich ja «Google Recaptcha V2 unsichtbar» ausprobieren. Oder Google Recaptcha V3. Es sieht aber so aus, als ob Joomla diese nicht unterstützt. Siehe die Fehlermeldung, die ich in meinem Startbeitrag erwähnt habe. Oder hat das jemand geschafft, «Google Recaptcha V2 unsichtbar» oder Google Recaptcha V3 mit Joomla zum Laufen zu bringen?

Gestern 04.11.2022 gab es 146 SPAM-Benutzerregistrierungen.
Keine einzige dieser Registrierungen war von einem richtigen Benutzer. Alles SPAM!
Das Registrierungsformular ist mit «Google Recaptcha V2 (Kästchen)» geschützt.
Gemäss der Google Recaptcha Admin Console wurden 222 erfolgreiche Captcha-Clicks registriert.
Es scheint klar, dass es dem Hacker gelungen ist, Google Recaptcha zu überlisten.

Freigabe durch Administrator ist aktiviert, von daher können sich diese Spammer nicht einloggen. Aber ich bin dauernd am Löschen dieser Accounts.
Welche Möglichkeiten habe ich noch, diese unglaubliche Menge an SPAM-Benutzerregistrierungen in den Griff zu bekommen?
Für Tipps bin ich dankbar.

Gruss
Christof

Vielleicht per htaccess den Zugriff von *.ru Adressen sperren?

Es sind eben keine *.ru Adressen. Fast ohne Ausnahme alles *.gmail.com. Beispiel: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! und solche Konstrukte. Auch bei den SPAM-Mails die täglich hereinkommen sind die meisten Absender @gmail.com, @outlook.com, @hotmail.com. Das macht Abwehrmassnahmen schwieriger.

Interessantes Phänomen: heute ist noch keine einzige Benutzerregistrierung hereingekommen. Dieser Bot scheint die Sonntagsruhe zu respektieren :-)

Ich hatte mal auf einer Seite mit einem Forum sowas. Hat alles nichts gefruchtet, Re-Captcha, ECC+ etc. Am Schluss habe ich  OSpam-a-not installiert und danach war Ruhe im Karton. Zumindest liegt mir der Kunde nicht mehr auf den Ohren. Kannst das ja mal ausprobieren.

Nach der Installation von OSpam-a-not hat sich die Situation gebessert. Es kommen pro Tag noch ca. 2-3 SPAM-Registrierungen herein.

Ich wollte nur kurz erwähnen, dass heute zwischen 09:10 und 12:06 schon wieder 44 SPAM-Registrierungen hereingekommen sind. Trotz Re-Captcha und OSpam-a-not! Ob's da bei vielleicht noch eine Hintertüre gibt?

Ich habe mir mal die Server-Logs genauer angeschaut um herauszufinden, wie der Spammer bzw. der Bot vorgeht (alle URL's und IP-Adressen sind fiktiv):

Als erstes öffnet er eine Seite, die es gar nicht gibt: xyz.ch/forum/kontakt/ was einen HTTP-Error 303 ergibt

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:14:15 +0000] "GET /forum/kontakt/ HTTP/1.1" 303 - "xyz.ch/forum/kontakt/" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Nur 1 Sekunde später versucht er, die gleiche (nicht existierende Seite) nochmals zu öffnen, was nochmals einen HTTP-Error 303 ergibt:

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:14:16 +0000] "GET /forum/kontakt/default HTTP/1.1" 303 - "xyz.ch/forum/kontakt/default" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Nochmals 1 Sekunde später kommt er auf die Idee, die Startseite zu öffnen:

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:14:17 +0000] "GET / HTTP/1.1" 200 18492 "xyz.ch/" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Eine weitere Sekunde später findet und öffnet er die URL hinter der sich das Registrierungsformular verbirgt (die URL heisst bewusst nicht «registrierung»):

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:14:18 +0000] "GET /ag7wmvzo5 HTTP/1.1" 200 25144 "xyz.ch/ag7wmvzo5" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Für das Ausfüllen des Registrierungsformulars vergehen 51 Sekunden:

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:15:09 +0000] "POST /ag7wmvzo5?task=registration.register HTTP/1.0" 303 - "xyz.ch/ag7wmvzo5" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

2 Sekunden später ist die Registrierung erledigt:

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:15:11 +0000] "GET /ag7wmvzo5?layout=complete HTTP/1.1" 200 18099 "xyz.ch/ag7wmvzo5?layout=complete" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Zum Schluss versucht er noch ein drittes mal, die nicht existierende Seite /forum/kontakt/default zu öffnen, was nochmals einen HTTP-Error 303 ergibt:

xyz.ch 222.81.164.30 - - [12/Nov/2022:11:15:12 +0000] "GET /forum/kontakt/default HTTP/1.1" 303 - "xyz.ch/forum/kontakt/default" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Interessant. Aber es erschliesst sich mir absolut nicht, was die Absicht dahinter ist.

Die nächste Massnahme, die ich jetzt umgesetzt habe:

Block Visitors
Manage blocked visitors by IP address or country.
(o) Block All Except «Switzerland»

mysites.guru hat bereits Wind davon bekommen. Er sendet mir ein E-Mail mit dem Betreff «YOUR SITE MAY BE OFFLINE!!». «Block visitors» scheint also zu funktionieren.