Spambots
- Ersteller ghostadmin
- Erstellt am
ghostadmin
Grand Admiral Special
Ich habe ein selbst geschriebenes Gästebuch in PHP/MySQL und in letzter Zeit häuften sich die Einträge von Spammern immer mehr. Ich dachte schon mein kleiner Spamschutz (Zeitprüfung und diverse Felder in Form) ist vollkommen umgangen worden, bis ich mir mal die Versuche alle loggen ließ. Und da steht nun wirklich fast jede Minute ein Eintrag drin.
Mir gehts jetzt weniger darum das zu umgehen sondern darum, wieviel nutzlosen Traffic müssen diese verdammten Spammer wohl erzeugen? Wenn ich mit einer so kleinen Seite schon soviele Bots abgekomme. Und scheinbar versuchen es die selben gerne mal im Stundentakt.
Mir gehts jetzt weniger darum das zu umgehen sondern darum, wieviel nutzlosen Traffic müssen diese verdammten Spammer wohl erzeugen? Wenn ich mit einer so kleinen Seite schon soviele Bots abgekomme. Und scheinbar versuchen es die selben gerne mal im Stundentakt.
ghostadmin
Grand Admiral Special
Vor allem ja nervig das die mir Bandbreite klauen
BoMbY
Grand Admiral Special
Bau am Besten so etwas wie Bad Behavior ein - das sollte das meiste rausfiltern.
netghost78
Fleet Captain Special
Ich habe folgende Filter in meinem Gästebuch drin:
- es lassen sich verschiedene IP-Adressen und Domains (von denen die Seite aufgerufen wird) sperren
- ich habe es so eingerichtet, daß es ein Feld für die eMail gibt, dies aber nicht ausgefüllt werden muß (Spambots füllen meist alles stoisch aus und schreiben da Mist rein, zumal das Feld nicht eMail heißt) aber wenn was drin steht, es eine gültige semantisch korrekte Adresse sein muß, wo der Hostanteil geprüft word
- es gibt eine minimale und maximale Länge des Textbeitrages
- aus dem Text werden URLs in sämtlichen Formaten rausgefiltert und die Textlänge davor und danach verglichen, wenn hinterher nur noch 97% oder weniger übrig bleiben, isses spam
ghostadmin
Grand Admiral Special
Das mit der Textlänge is noch ne Idee, habe ich eben auch noch eingebaut.
Am meisten bringt eigentlich email abfangen und die Postzeit (unter 5 sek = Spam)
IP Adressen abfragen ist ja endlos ...
Ich habe auch noch eine bestimmte Frage drin wo jeder die Antwort weiß aber kein Bot.
Am meisten bringt eigentlich email abfangen und die Postzeit (unter 5 sek = Spam)
IP Adressen abfragen ist ja endlos ...
Ich habe auch noch eine bestimmte Frage drin wo jeder die Antwort weiß aber kein Bot.
netghost78
Fleet Captain Special
Das mit den IP-Adressen ist nicht endlos, da stehen bei mir 5 Stück drin oder so.
Die trage ich immer dann ein, wenn wirklich mal einer durchgekommen ist.
Die Postzeit natürlich ein schönes Ding, könnte ich auch noch einbauen.
Zeitaufruf des Formulars in Datei als verstecktes Feld abspeichern und dann überprüfen.
Ist einfach zu implementieren und sollte sehr viel abhalten, das stimmt.
Wie loggst du die Zeit mit?
Die trage ich immer dann ein, wenn wirklich mal einer durchgekommen ist.
Die Postzeit natürlich ein schönes Ding, könnte ich auch noch einbauen.
Zeitaufruf des Formulars in Datei als verstecktes Feld abspeichern und dann überprüfen.
Ist einfach zu implementieren und sollte sehr viel abhalten, das stimmt.
Wie loggst du die Zeit mit?
ghostadmin
Grand Admiral Special
An sich könnte man die IP Adressen ja schon ganz am Anfang der Seite abfangen. Gibts da ne Funktion das das laden der Seite gestoppt wird?
Im Formular ist ein hidden Feld wo als value der Zeitstempel mit time() abgefragt wird. Und bei PHP steht if (!isset($_POST['date'] .... und !isnumeric($_POST......
Und in der Form habe ich bei Prozess noch einen bestimmten Wert eingestellt der dann später kommen muss.
Und in der Form habe ich bei Prozess noch einen bestimmten Wert eingestellt der dann später kommen muss.
netghost78
Fleet Captain Special
Also den Zeitstempel als Unix-Timestamp mitgeführt, ok.
Solange die das Feld nicht ändern (was ich nicht denke) ist die Methode sehr sicher ja.
Du kannst am Anfang der Seite einfach auf die Adressen prüfen (hab ich mit regex gemacht, kann man aber auch anders machen) und dann einfach eine leere Seite zeigen.
Solange die das Feld nicht ändern (was ich nicht denke) ist die Methode sehr sicher ja.
Du kannst am Anfang der Seite einfach auf die Adressen prüfen (hab ich mit regex gemacht, kann man aber auch anders machen) und dann einfach eine leere Seite zeigen.
ghostadmin
Grand Admiral Special
Ich glaube ich prüfe die IP lieber gleich mit Apache. Erstmal lasse ich die IP mitloggen um zu sehen obs da viele gleiche gibt.
Edit:
Besser gleich so:
http://dev.maxmind.com/geoip/mod_geoip2
Edit:
Besser gleich so:
http://dev.maxmind.com/geoip/mod_geoip2
Zuletzt bearbeitet:
netghost78
Fleet Captain Special
Hab das mit dem Zeitstempel bei mir auch eingebaut, danke für die Anregung..
Auf den Apache hab ich leider keinen Zugriff.
Bei mir waren es meist die selben IPs, die Spam abladen wollten, daher hat sich das gelohnt.
Auf den Apache hab ich leider keinen Zugriff.
Bei mir waren es meist die selben IPs, die Spam abladen wollten, daher hat sich das gelohnt.
BoMbY
Grand Admiral Special
Das macht doch alles das Bad Behavior was ich oben gepostet habe ...
Bevor die Seite prozessiert wird, werden neben Black- und Whitelists außerdem noch eine Menge andere Prüfungen durchgeführt - auf Sinnhaftigkeit und Inhalt der HTTP-Headerdaten. Wenn der Filter anschlägt, wird der aktuelle Prozess mit einer 400er-Meldung abgebrochen.
.
EDIT :
.
Geo-IP-Abfragen funktionieren nicht ordentlich - die Datenbanken sind alle nicht aktuell genug, teilweise komplett falsch, und vor allem in Zeiten wo die IP-Adressen knapp sind, wird das eher schlechter als besser.
ghostadmin
Grand Admiral Special
nur kann man da a) anscheinend keine normalen php Seiten verwenden, nur CMS ist gelistet und b) gibts da wohl etliche normale User die blacklistet werden
Wobei da wieder ne Menge Code geladen werden muss und die kostet wieder Bandbreite (habe nur 384kbit upload und da läuft alles inkl Telefon etc).
Da gibts monatlich updates und die sollen zu 95% funktionieren in der Free Version. Bei der Bezahlversion sinds über 99% und ich denke mal das die Ranges der deutschen Provider schon ok sein müsstne.
Was auch noch implementieren werde, ist das Land zu loggen.
BoMbY
Grand Admiral Special
Ist ziemlich simpel in so ziemlich alles einzubauen. Sollte nicht mehr als 5 Minuten dauern sich da rein zu denken.
Bandbreite kostet nur das was zurück geschickt wird. Fehlerseiten sind in aber der Regel extrem klein. Aber es braucht natürlich Rechenleistung, alleine für den Aufruf von PHP - da wäre ein Apache-Mod wie MOD_SECURITY sicher besser.
Sag ich ja: Wäre mir viel zu ungenau - jedenfalls für einen professionellen Dienst ...
ghostadmin
Grand Admiral Special
Nix professionell, da ist meine HP drauf. Und geoip ist halt auch sehr effektiv, habe schon ewig keinen Bot mehr gesehen damit.
Hacker abwehren brauch ich nicht und die Kiste ist mit dem Atom jetzt schon genug bedient.
Doku geht auch nicht:
http://bad-behavior.ioerror.us/support/porting-guide/
Hacker abwehren brauch ich nicht und die Kiste ist mit dem Atom jetzt schon genug bedient.
Doku geht auch nicht:
http://bad-behavior.ioerror.us/support/porting-guide/
Zuletzt bearbeitet:
uncle_sam
Grand Admiral Special
Mal zum thema.
Das sind oft nicht nur spambots, sonder billige arbeitskräfte aus china, die mit postings wie cheap jewlery oder great shoes, nike air, and jordans, die foren vollspammen.
alle mit links zu china trödlern die ihren plunder verhökern wollen
Das sind oft nicht nur spambots, sonder billige arbeitskräfte aus china, die mit postings wie cheap jewlery oder great shoes, nike air, and jordans, die foren vollspammen.
alle mit links zu china trödlern die ihren plunder verhökern wollen
ghostadmin
Grand Admiral Special
yep
aber glauben die ernsthaft da kauft auch nur einer was?
aber glauben die ernsthaft da kauft auch nur einer was?
ghostadmin
Grand Admiral Special
Dank Geoip deutlich besser
Spam: Email ausgefuellt von brandiezj55 80.237.226.74 Anonymous Proxy am 2012/11/16 17:20:50
Spam: Zu schnell von tatorpohox 91.224.246.215 Latvia am 2012/11/16 17:27:10
Spam: Email ausgefuellt von Xeezwfgm 94.242.251.156 Luxembourg am 2012/11/17 04:45:42
Spam: Email ausgefuellt von binary options uk 82.0.144.153 United Kingdom am 2012/11/17 23:53:23
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 01:08:33
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 03:17:52
Spam: Email ausgefuellt von UnmawnSow 176.31.3.61 France am 2012/11/19 10:57:17
Spam: Email ausgefuellt von coachoutletsqdq 58.68.148.102 am 2012/11/19 13:44:33
Spam: Email ausgefuellt von ysloutletyp 125.88.75.139 am 2012/11/19 18:28:43
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 20:37:13
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/20 06:25:26
Spam: Email ausgefuellt von ttalxqnf 178.33.229.25 France am 2012/11/20 16:02:27
Spam: Zu schnell von todsshoesdy 5.9.55.138 Germany am 2012/11/21 00:51:09
Spam: Email ausgefuellt von thomassabocharmsbj 180.153.163.116 am 2012/11/21 02:21:04
Spam: Email ausgefuellt von brandiezj55 80.237.226.74 Anonymous Proxy am 2012/11/16 17:20:50
Spam: Zu schnell von tatorpohox 91.224.246.215 Latvia am 2012/11/16 17:27:10
Spam: Email ausgefuellt von Xeezwfgm 94.242.251.156 Luxembourg am 2012/11/17 04:45:42
Spam: Email ausgefuellt von binary options uk 82.0.144.153 United Kingdom am 2012/11/17 23:53:23
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 01:08:33
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 03:17:52
Spam: Email ausgefuellt von UnmawnSow 176.31.3.61 France am 2012/11/19 10:57:17
Spam: Email ausgefuellt von coachoutletsqdq 58.68.148.102 am 2012/11/19 13:44:33
Spam: Email ausgefuellt von ysloutletyp 125.88.75.139 am 2012/11/19 18:28:43
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/19 20:37:13
Spam: Email ausgefuellt von conference call 188.165.211.176 France am 2012/11/20 06:25:26
Spam: Email ausgefuellt von ttalxqnf 178.33.229.25 France am 2012/11/20 16:02:27
Spam: Zu schnell von todsshoesdy 5.9.55.138 Germany am 2012/11/21 00:51:09
Spam: Email ausgefuellt von thomassabocharmsbj 180.153.163.116 am 2012/11/21 02:21:04
