Forum-Spamanmeldungen?
 

Hallo zusammen,
mein Junge hat mir mal ein kleines Forum eingerichtet.
Neuerdings gibt es dort einige komische Anmeldungen, die aber nichts weiter unternehmen.
Anscheinend führen Automaten die Anmeldungen durch, da die eMails und Accounts überall im Netz zu finden sind (u.a. auch unter stopforumspam.com).
Sollte man die gleich löschen? Macht das überhaupt Sinn (bringt das was)?
Hat da jemand Erfahrungen (dürfen natürlich auch die DP-Admins antworten :wink:)?

Eigentlich will ich da nicht unnötig viel Arbeit reinstecken. Solange da keiner irgendwelchen Scheiß schreibt, stört es mich eigentlich nicht wirklich...

AW: Forum-Spamanmeldungen?
 

Würde ich dir aber empfehlen oder Deinem Sohn!
Weil die Spams auch wieder von Dir verschickt werden können!!!
Und dies könnte rechtlich Folgen für Dich /Sohn haben :twisted::warn:

Gruss alfold

AW: Forum-Spamanmeldungen?
 

Paß' auf ... im Netz sind viele Spam-Bots unterwegs und Viele versuchen sich erstmal anzumelden und nach einiger Zeit fangen sie dann an das Forum mit Werbung vollzuspammen.
(aktuell seh' ich in einem Forum dadurch öfters mal Werbung für Schuhe, Viagra oder Sex-Seiten)

Als einfaches Mittel könntest du ja mal nachsehn, ob sich die Anmeldung mit Capacha's oder Dergleichen absichern läßt.
(nichts zu Einfaches, denn die Bots werden immer schlauer)

AW: Forum-Spamanmeldungen?
 

Das scheint auf jeden Fall zu stimmen. Hab in meinem Gästebuch die kleine Spam-Schutz-Frage "Was ist 10 + 3?" eingebaut, manche Spam-Bots scheint das zu stoppen, aber immer wieder gelingt es einem Bot dann doch, einen Eintrag erfolgreich abzuschicken. Da hilft wohl wirklich nur ein Captcha, das ist aber gar nicht mal sooo schwer umzusetzen und im Internet sollte sich einiges dazu finden lassen ;-)

AW: Forum-Spamanmeldungen?
 

Das ist der popeligste "Spam-Schutz" überhaupt. Da gehört keine "Intelligenz" dazu, den zu knacken. Wenn, dann schon eher ausgeschrieben als Text, doch auch das packen viele Bots. Was bei mir immer funktioniert hat sind Fragen wie "Wie heißt das schwarz-weiß gestreifte Tier aus Afrika?". Antwort "Zebra" (case-insensitiv). Also irgendwas eigenes, das die Bots gar nicht lösen können.
Vielleicht reicht auch schon was wie: "Schreibe das folgende Wort rückwärts in das nebenstehende Feld: Maus" oder so. Rein statisch ohne Zufallsgenerator etc.

Captchas sind z.T. recht zuverlässig. Aber je zuverlässiger, desto schlechter lesbar. Ich interpretiere öfters mal Zeichen falsch, weil diese nur zu erahnen sind.

Und ja, Spam-Accounts solltest du löschen/deaktivieren.

AW: Forum-Spamanmeldungen?
 

Da geb ich dir durchaus Recht, aber wie gesagt scheint es ja manche Spam-Bots (das sind halt dann die einfachsten) tatsächlich zu stoppen. Und die Einträge, die durchkommen, werden von mir gelöscht, bevor sie auch nur ein Benutzer sehen kann ;-) Ich wollte mir eh eine eigene Captcha-Routine schreiben (auch weil es mich einfach interessiert), aber im Moment fehlt mir für solche "Spielereien" leider einfach die Zeit. Und ich hab mir gedacht "Bevor du gar keinen Schutz hast, lieber einen einfachen" ;-)

Bei einem Gästebuch mag das auch noch etwas anderes sein als in einem Forum. Spam-Mitglieder sind wohl schlimmer als ein Spam-Eintrag in einem Gästebuch, den man einfach löschen kann. Ein Forum würde ich unbedingt besser absichern und "Mitglieder" bei Verdacht auf Spam löschen.

AW: Forum-Spamanmeldungen?
 

Binde doch Recaptcha ein.

AW: Forum-Spamanmeldungen?
 

Ich kann hier nur das erzählen, was ich beobachtet habe (habe nie einen Spam-Bot von 'innen' gesehen und verwalte auch nicht 1000 Webseiten), aber ich vermute, dass die Spam-Bots darauf ausgelegt sind, weit verbreitete Foren-Software zu überlisten, und ich persönlich halte die Dinger nicht unbedingt für besonders intelligent. Das hier wurde zum Beispiel noch nicht überlistet und ist super billig aufgebaut (okay, kein Forum): http://yohe.de/Kontakt/.
Jetzt wird man mir sagen "wer kennt diese Seite schon, finden die Bots das überhaupt??" - wie bekannt ist denn Stahlis Seite? Dazu kann ich noch das Forum von streamWriter anführen, da kann man anonym posten, wenn man das Captcha angegeben hat, siehe http://streamwriter.org/de/forum/faden/31/antworten/ - dieses Forum läuft auf 3 Seiten (auf einer davon schon mehrere Jahre), auch die Gästebücher nutzen exakt den selben Programmcode (siehe http://zwote.org/gaestebuch/bearbeiten/) für das Captcha wie das Forum, und es gab noch keinen einzigen Spam-Eintrag.

Meine Empfehlung ist deswegen es selbst zu bauen, nichts vorgefertigtes zu nehmen, und es 'langsam' anzugehen. Es gibt z.B. diverse Foren, wo man, obwohl man ein Mensch ist, das falsche Captcha eingibt, weil da so viele Linien, Verwischungen und so weiter drin sind, dass es kaum noch lesbar ist... Die Seite sollte also benutzbar bleiben und die Bots abwehren - nicht dazu noch menschliche Benutzer, wovon einige Foren meiner Meinung nach nicht weit entfernt sind...

Edith: 2 neue Posts, kein roter Kasten :(

LG Alex

AW: Forum-Spamanmeldungen?
 

"Was ist 10 + 3?"

Die Antworten auf derartige Fragen sind meißt recht kurz.

Schicke da mal meinen Post mit der Antwort "7" hin ... nach spätestens 10 bis 100 versuchen wird bestimmt mindestens Einwas durchkommen, ohne jemals die Frage "wirklich" beantwortet zu haben.

AW: Forum-Spamanmeldungen?
 

Das verstehe ich jetzt nicht ganz :gruebel: Warum sollte bei einer "7" der Eintrag durchkommen? Oder meinst du 10 bis 100 Versuche mit verschiedenen Antworten (quasi Brute-Force)? Das stimmt natürlich...

AW: Forum-Spamanmeldungen?
 

Also hatte das in meinem Forum auch, und ich habe es einfach eingestellt das die nutzer von nem mod oder Admin akzeptiert werden müssen. Das hat geholfen.

Allerdings sollten die Neuanmeldungenhin und wieder mal aussortiert werden, da du sonnst die Neuanmeldungen nicht mitbekommst, die keine Spam-Bots sind.


Edit:
Das wird wohl auch nur funktionieren, wenn du keine 400.000 Neuanmeldungen am Tag hast^^

AW: Forum-Spamanmeldungen?
 

@patti
aus eigener Erfahrung waren die Ergebnisse oft im einstelligen oder zumindestens im unteren zweistelligen Bereich.

Wenn man also irgendeine höhere einstellige Nummer in das Feld einträg und absendet ... dieses mehrmals wiederholt, ddann wird irgendwann zufällig mal die Antword auf die Frage mit deinem zufällig gewähltem Wert übereinstimmen. :zwinker:

Was scheinbar noch recht zuverlässig zu sein scheint, daß sind so animierte Flash-Capatchas.
Und bei einer 5- bis 6-stelligen Zahl bringt Bruteforce auch nicht mehr soviel, wie bei der 1- bis 2-stelligen Rechenaufgabe.

AW: Forum-Spamanmeldungen?
 

Ok, danke für die Antworten.
Ich werde mal die Entwicklung beobachten und schauen, ob ich das Problem mit möglichst wenig Aufwand minimieren kann.
Eigentlich will ich mich ja lieber um mein Projekt kümmern...

Nachmal Danke an alle.

AW: Forum-Spamanmeldungen?
 

Da gibt's solche uns solche. Die meisten analysieren die HTML-Formulare und auch bei selbstgeschriebenen Seiten füllen die das z.T. korrekt aus. Je aussagekräftiger dein Code (eigentlich guter Programmierstil), desto leichter haben sie es. id="email" verrät den Bots gleich, dass dort eine Mail-Adresse hin muss. Aber die probieren auch gerne mal wild durch.
Das ist die Erfahrung, die ich mit einigen Websites gemacht habe.

Wieso sollte ich mich das fragen? Sobald deine Seite irgendwo verlinkt ist oder gar in Suchmaschinen auftaucht, finden Bots die auch.

Es gibt brauchbare vorgefertigte Captchas, aber selbst die einfachsten eigenen Hindernisse (habe oben Beispiele erwähnt) reichen normalerweise völlig. Es gibt auch Möglichkeiten, ohne Captchas Bots zu blocken. Diese verstehen z.B. noch kein JavaScript, zumindest ist mir noch keiner untergekommen, der JS interpretiert. Gut, das sperrt die Leute erstmal aus, die das im Browser deaktiviert haben, aber es gibt auch andere Lösungen.

Ganz meine Meinung. Das ist das, was ich oben auch angesprochen habe.

AW: Forum-Spamanmeldungen?
 

Das kann ich auch bestätigen. Habe früher ein vorgefertigtes Gästebuch von 1&1 auf meiner Internetseite verwendet. Zunächst hatte ich das Gästebuch ganz einfach verlinkt, allerdings haben sich da die Spam-Einträge sehr schnell vermehrt. Habe dann das Gästebuch neu verlinkt (neue Adresse) und den Link dynamisch per JavaScript in das HTML-Dokument geschrieben - und siehe da: die nervigen Spam-Einträge blieben aus. Aber wie du schon gesagt hast: diese Methode sperrt halt nicht nur Spam-Bots sondern auch Besucher mit deaktiviertem JavaScript aus...

AW: Forum-Spamanmeldungen?
 

Moin, also ich benutze seit Jahren eine andere Methode ohne CAPTCHA und daher auch für Blinde benutzbar. Man nehme einen Salt-Wert (bei mir ein String), man nehme diverse Eigenschaften des Clients (bspw. IP usw.) die man nicht mitschleppen muß, sondern die bei der nächsten Anfrage auch da sein werden.

Im ersten Schritt berechnet man anhand des Originalnamens der ID eines Feldes dessen f(ID). Da ich beim Empfang des abgeschickten Formulars (bspw. für die Anmeldung) den Salt-Wert kenne und auch wieder f(ID) errechnen kann und daher meine Daten zum Auswerten zur Hand habe. Als f() kann dabei eine Hashfunktion ala SHA1 oder MD5 funktionieren.

Durch den Salt-Wert wird es auch schwer das zu umgehen. Ich persönlich benutze auch das Datum, was zugegebenermaßen um 0:00 herum ein Problem ist, aber durch den Nutzen verschmerzbar wird.

Hat mir gegen den massenmäßigen Ansturm damals geholfen und die Analyse der paar die danach durchkamen schien zu bestätigen, daß es sich nicht um Bots handelte.

Auf dieser Methode aufbauend werde ich das Forum an weiteren Ecken und Enden sichern, nicht nur bei der Anmeldung selber. Der Aufwand ist sehr überschaubar, das Prinzip relativ einfach und ich hätte es vielleicht verkaufen sollen ... aber egal :zwinker:

AW: Forum-Spamanmeldungen?
 

Keine Ahnung, welche Foren Software du nutzt, aber ich hab selber ein PHPBB laufen und hab dort die Sicherheitsfrage und Account Aktivierung durch den Admin eingeschaltet und hab nahezu Null Spamaccounts. Ich muss dazu sagen, dass es ein kein hochfrequentiertes Forum ist, aber trotzdem.

AW: Forum-Spamanmeldungen?
 

Okay, mein Forum hat einen Pagerank von 6. Zum Vergleich, die DP hat einen Pagerank von 4. Es läuft auch auf phpBB, aber noch nicht 3.x.

AW: Forum-Spamanmeldungen?
 

Ich denke, Stefan meint die Software des Themenerstellers, nicht deine.

Auch wenn ich das nicht einbauen werde: Wie meinst du das genau?

Du hast etwas wie Nun berechnest du z.B. den MD5-Hash von "mytext": 947ef8c8db156a568d5974d71f7638f4
Dann hast du einen Salt-String, Datum/Uhrzeit, IP etc. pp. und was machst du damit? :gruebel:

Was passiert, wenn ich z.B. per Programm die POST-Daten sende, z.B. die von "mytext"?

AW: Forum-Spamanmeldungen?
 

eine Wikimedia-Erweiterung die Bots aussperren will, arbeitet mit unsichtbaren Feldern. Du baust also weitere Input-Felder ein, die du mit Hilfe von CSS ausblendest. Im HTML-Code stehen die trotzdem drin. Wenn die dann so schön aussagekräftige Namen haben wie EMail, dann tragen da Bots auch was ein, der normale User aber nicht, weil er das Feld nicht sieht. Schon hast du eine ganz einfache Unterscheidung zwischen Bot und Mensch, die sogar ohne Javascript auskommt. Nur die Kommandozeilenbrowser-Benutzer könnten sich verarscht vorkommen. Aber bitte: Wer verwendet heutzutage in Zeiten von IE (fast) 9, Firefox (fast) 4 und Google Crome 2 noch einen Browser der kein CSS drauf hat?

Bernhard

AW: Forum-Spamanmeldungen?
 

Einige Leute, die sehbehindert sind und somit auf barrierefreie Websiten angewiesen sind. Zugegeben, meine ist es seit den JS-Formularen auch nicht mehr ganz ...

Aber die Idee ist ganz nett.

AW: Forum-Spamanmeldungen?
 

Okay, Mißverständnis dann.

Nein.

Nehmen wir dein Beispiel (id=mytext). Der HTML-Code wird ja durch eine PHP-Datei erzeugt, also kann ich die ID ersetzen, schematisch:

Dann habe ich eine gemeinsame Funktion die auf einen geheimen "Schlüssel" (bei mir außerhalb von Docroot) zugreifen kann, der als Salt dient. Nennen wir diese Stringvariable saltkey.

Dann könnte ich (hoffentlich habe ich die PHP-Syntax noch halbwegs drauf) folgendes machen:

Nun steht also statt des Originalfeldes mit der ID 'mytext' das Feld mit der ID 'x_ABCDEF01234567899876543210FEDCBA' (das x_ ist dazu da zu verhindern daß die ID mit einer Ziffer beginnt, was in gewissen Konfigurationen Probleme bereiten kann).

Diese ID verändert sich mit jedem Aufruf von einer anderen IP oder bspw. anderem Browser ... war immer man außer $_SERVER['REMOTE_ADDR'] eben noch so mit reinnimmt. Dadurch muß der Bot schon schlau sein, um die korrekt Position zu ermitteln. Man sollte aber ggf. auch die sichtbaren Strings mit diversen Methoden auf HTML-Ebene verschleiern (weißer Hintergrund, Schriftzug mit fester Länger worin der Name, also bspw. 'Email', 'Passwort', versteckt wird ;)).

Der Empfänger des Formulars verfügt über die gleichen Daten (eben IP, Browserkennung usw.) und kann daher den korrekten Namen des abgeschickten Feldes ermitteln und auswerten ...

Die Frage solltest du nun selber beantworten können.

AW: Forum-Spamanmeldungen?
 

Wobei das display-Attribut in CSS ja sicher auch von einem für Blinde geeigneten Browser interpretiert würde ...

AW: Forum-Spamanmeldungen?
 

Äh danke erstmal. Habe ich das nun richtig verstanden, dass du lediglich die ID verschleierst, dich aber nicht wirklich gegen Bots schützt? Der Bot weiß nun anhand der ID nicht, was in welches Feld gehört, da anstelle von "email" nun "x_..." da steht, mehr nicht.

Aber das Formular können Bots dennoch absenden und durch Probieren auch korrekte Einträge machen.

Was gut gegen Bots hilft ist eine Mindestzeit zu definieren, die zwischen Aufruf und Absen des des Formulars vergehen muss.
Setzt man das auf 5 Sekunden, kommt kein Bots durch, zumindest war's bei mir so. Bots senden die nämlich normalerweise in < 1 Sekunde ab bzw. senden die Postdaten direkt.

AW: Forum-Spamanmeldungen?
 

So ist das, ja.

Scheinen sie aber nicht zu tun. Aber meine Methode kann man ja auch auf anderes als auf die Anmeldeformulare ausdehnen. Dann wird es auch nochmal schwerer. Außerdem kann ich ohne CAPTCHA auch die Anzahl der Anmeldeversuche innerhalb einer gewissen Zeit beschränken ;)

Aaah, danke. Das ist mal ein Tip den ich noch implementieren werde.

OK.

AW: Forum-Spamanmeldungen?
 

@Assarbad: wenn du dann noch eine Mapping-Tabelle erstellst in der du fuer eine bestimmte session_id die Zuordnungen der Formularfelder (Originalname => salted) speicherst dann kannst du auch auf einen Algorithmus setzen, der bei jedem Aufruf einen neuen zufaelligen Namen generiert. So bist du nur noch von der Session abhaengig und der "verschluesselte" Name kann nicht mehr zuverlaessig berechnet werden.

Greetz
alcaeus

AW: Forum-Spamanmeldungen?
 

Die session_id in den Wert einfließen zu lassen ist keinerlei Problem. Eine Zuordnung sollte sich auch ohne Tabelle ergeben - zumal, wie willst du die Tabelle von dem einen PHP-Skript in das nächste herbüberretten? Via Datenbank? Das halte ich eher für Overkill. Die Praxis hat bewiesen, daß eine Zuordnung nach IP ausreicht. Allerdings könnte man es vielleicht in abgewandelter Form machen. Statt der einzelnen Zuordnungen, wird wiederum nur ein Geheimnis pro Sitzung erstellt und mit in der Sitzungstabelle (die schon existiert) gespeichert. So kann man wiederum auf beiden Seiten alles berechnen, ohne daß komplizierte Datenbankoperationen notwendig werden.

Dank des Salts ist auch jetzt schon keine zuverlässige Berechnung der Namen für Außenstehende möglich, es sei denn sie kennen das Geheimnis (i.e. saltkey). Würde man den oben gezeigten Code weiterhin so modifizieren, daß man den Vorschlag mit der Zeit einfließen lassen würde, könnte man das Formular sogar anhand des aktuellen Datums oder der aktuellen Zeit "salzen" (also immer intervallweise). Dadurch gäbe es keine Brüche wann immer der Tag endet oder eine Stunde wechselt. Alle die länger als das Intervall mit dem Ausfüllen warten, haben allerdings ein Problem ;)

Aber coole Idee. Werde mir das alles mal notieren. Vielleicht mache ich daraus ja mal eine Erweiterung, statt es nur im VCS zu pflegen ;)

AW: Forum-Spamanmeldungen?
 

Vieleicht bin ich zu naiv, aber werden Eingabe Felder heutzutage nicht mehr beschriftet? Wieso sollte ein Bot sich auf die ID eines Feldes verlassen, wenn er wie ein Mensch das Label zu dem Feld nehmen kann?

Aber eventuell versteh ich Assarbads slzige Lösung auch nicht. :D

Sherlock

AW: Forum-Spamanmeldungen?
 

Ich glaube nicht, dass jeder schön demantisch richtigen Code produziert. Außerdem traue ich vielen Homepage-Makern nicht zu, dass sie die Möglichkeit bieten, Label-Tags zu definieren. Alle anderen Beschreibungen können sonst wo stehen. Das ist zum Beispiel in einer Tabelle (ohne Rahmen) das große Problem: Da steht um das INPUT-Tag gar nichts, also MUSS das mit ID sein. Wenn man dann keine Labels hat, braucht der Bot im prinzip gar nicht weiter zu suchen. Er müsste zuerst die Webseite rendern und dann hätte er auch eine JS-Unterstützung. Leider hat er weder die, noch rendert er Webseiten (Es wäre ja zu schön, dass ein Bot dann die Mailadressen auch noch auslesen kann, die z.B. Joomla so toll mit JavaScript versucht zu verstecken).

Bernhard

ADD: Das Label-Tag ist nicht vorgeschrieben und ich denke mal, dass meist der Beschreibungstext einfach nur in räumlicher Nähe steht.

AW: Forum-Spamanmeldungen?
 

Wir haben mal testweise auf das burning board (lite) umgestellt. Seitdem gab es keine Bot-Anmneldung mehr.
Sieht auch sonst nicht schlecht aus. Werde wohl mal die Vollversion kaufen (50 Eu). Gibt es Erfahrungen/Meinungen?