Brute Force Angriff auf Kontaktformular

[Ronald Nickel]

Die Hacker sind wohl aus dem Winterschlaf erwacht.
Ein Kunde schickte mir diese Kopie einer (von über 200 ähnlichen) Mail der er über sein Kontaktformular erhielt.:

=============
Herr !S!WCRTESTINPUT000002!E! !S!WCRTESTINPUT000001!E!
Firma/Verein: 1 and 7=7
Ort: !S!WCRTESTINPUT000003!E! !S!WCRTESTINPUT000004!E!
Straße: !S!WCRTESTINPUT000005!E!
Zeit::Mi, September 07, 2011 um 15:28:19
TCP/IP::212.59.40.1
Email: !S!WCRTESTINPUT000006!E!
Telefon: !S!WCRTESTINPUT000007!E!
============

"Firma/Verein: 1 and 7=7" schein eine SQL-Injection zu sein.
IP kommt wohl aus dem Bereich Hannover

Das Formular ist aber eigendlich mit einem Mathe Captcha gesichert. Er müsste also alle Anfragen per hand eingegeben haben. Hat jemand ne Idee für einen Security Workarround um solche Idioten abzuwimmeln?

Gruß Ronny

 

[G.P.]

Wenn es von Hand eingegeben wird, benutzen die Spamer oft die selbe IP, daher würde es einfach reichen die IP nach X Abfragen automatisch zu sperren.
Am wirkungsvollsten ist das, wenn der Spamer die Sperrung gar nicht mitgekriegt.

 

[Sascha Ahlers]

Wenn es mittels PHP läuft kann man auch schon ab einen hohen Scoure von PHP IDS die IP für 1 Stunden oder länger sperren. Gekoppelt mit einen Reporting, kann auch bei erhöhten aufkommen, das Formular für die Zeit X erst mal komplet vom Netz genommen werden, z.B. mit dem Hinweis auf einen Angriffsversuch.
Ein Mathecaptcha, oder Captcha allgemein sind auch nicht immer ein unüberwindbares Hindernis, insbesondere wenn der Angreifer sich vorher anschaut, mit was für eine Art Captcha er es zu tun hat.

Mal so als Beispiel was über Wikipedia auch sehr schnell zu finden ist: PWNtcha


Ja "1 and 7=7" ist ein Versuch einer SQL-Injection, aber sehr einfacher Natur.