Hallo zusammen, ich beobachte das gleiche Phänomen.

Nach meinen ersten Recherchen ging das zwischen dem 16. und 22.03 los.

Ich habe nun erst einmal in dem Newsletter Modul eingestellt, das nur registrierte Benutzer sich für den Newsletter anmelden können, vielleicht hilft das ja als erstes.

Ich sehe hier einen Bug auftauchen. Gibt es seitens Magento etwas dazu?

Hey,

ich habe dieses Verhalten auch beobachtet.

Spam Mails werden über die Newsletter Anmeldung verschickt.

Allerdings ist in System - Konfiguration - Erweitert der Mage_Newsletter deaktiviert.

Ich dachte das sich dann niemand an dem Newsletter anmelden kann.

In den Access-Log Dateien des Webservers habe ich keine Zugriffe auf eine URL mit Newsletter gefunden.

Wie wurden diese Spam Mails geschickt?

Vielleicht hat ja einer von euch eine Idee. 

Das Deakltivieren von Modulen unter Konfiguration / Erweitert / Erweitert deaktiviert nur die Ausgabe, aber nicht die Funktion (das steht auch in der Überschrift "Module werden immer noch ausgeführt").

Ich habe es mit automatischen Skripten getestet: Ich kann auch bei deaktivierter Ausgabe (im Shop ist kein Feld für Newsletter- Anmeldung zu sehen) durch entsprechenden Aufruf der richtigen URL mit Parametern eine Newsletter Anmeldung erzeugen, was Magento dann mit einer Anmelde-E-Mail beantwortet.

Wenn man das Modul komplett deaktiviert, funktioniert allerdings die Editierung von Kunden im Backend nicht mehr.

Was aber das Problem drastisch vermindert: In der Konfiguration / Kunden / Newsletter die Einstellung "Gästen die Anmeldung erlauben" auf "nein" setzen. Dann müsste jemand, der das automatisch triggern will, immer erst einen passenden Kunden registrieren. Das ist zwar nicht unmöglich, aber erheblich aufwändiger.

Viele Grüße, Jörg

Hey Jörg,

vielen Dank für Deine Antwort.

Klar, steht da ja auch

Ich habe zwischenzeitlich auch schon die Einstellung vorgenommen, die Du beschrieben hast.

Viel interessanter für den Spammer war eh die Kundenregistrierung. Dort wurde als Name und Vorname einfach der Spamtext und der Spamlink angegeben und damit gab es den Text und Link dann im Betreff der Willkommensmail.

Der Newsletterversand war uninteressant, da dort keine eigener Text eingebunden werden konnte.

Hat er auch nach drei Versuchen gemerkt und es dann sein lassen.

Mittlerweile gibt es bei der Kundenregistrierung ein Captcha.

Ebenfalls wurde auch brute-force beim /download login versucht.

Hast Du eventuell einen Link für mich, wo die brute-force.ini genauer erklärt wird?

Bedeutet ein geblockter download login und das Vorhandensein der brute-force.ini, dass der Angriff fehlgeschlagen ist?

lg

Richard