Spam Bots im Gästebuch
- Themenstarter oldputz1990
- Beginndatum
bluex
Erfahrenes Mitglied
Hi
Ich hatte mal selbiges Problem .. ich habe es einfach so gelöst, dass auf der Seite bevor man zum Formular kommt eine Sessionid zugewiesen bekommt die im Formular über ein hiddenfield weitergegeben wird und dann beim Validieren der Formularangaben auch gleich mit überprüft wird ob diese Sessionid wirklich vergen wurde.. wenn ja ist der Eintrag gültig wenn nein dann muss es entweder ein bot sein oder ein user dein einem direktlink zum formular gefolgt ist in dem Fall wird der user auf eine andere seite umgeleitet wo beschrieben steht das er erst die Willkommenseite mit den Posts des Gästebuches aufsuchen muss und dann den Link zum Schreiben drücken soll um eine gültige Sessionid zu bekommen .... bis jetzt klappt es wunderbar und das seit 2 Jahren....
MfG
blueX
Ich hatte mal selbiges Problem .. ich habe es einfach so gelöst, dass auf der Seite bevor man zum Formular kommt eine Sessionid zugewiesen bekommt die im Formular über ein hiddenfield weitergegeben wird und dann beim Validieren der Formularangaben auch gleich mit überprüft wird ob diese Sessionid wirklich vergen wurde.. wenn ja ist der Eintrag gültig wenn nein dann muss es entweder ein bot sein oder ein user dein einem direktlink zum formular gefolgt ist in dem Fall wird der user auf eine andere seite umgeleitet wo beschrieben steht das er erst die Willkommenseite mit den Posts des Gästebuches aufsuchen muss und dann den Link zum Schreiben drücken soll um eine gültige Sessionid zu bekommen .... bis jetzt klappt es wunderbar und das seit 2 Jahren....
MfG
blueX
sheeba1507
Erfahrenes Mitglied
Hallo zusammen,
ist zwar schon ein älterer Thread, aber das Thema ist immer noch aktuell.
Ist diese Methode heute noch wirksam oder wurden die Spam-Bots hierzu
bereits mit Gegenmaßnahmen ausgestattet ?
Gruß, Mike
ist zwar schon ein älterer Thread, aber das Thema ist immer noch aktuell.
Ist diese Methode heute noch wirksam oder wurden die Spam-Bots hierzu
bereits mit Gegenmaßnahmen ausgestattet ?
Gruß, Mike
Igäl
Erfahrenes Mitglied
Möglichkeit 1, dass man ein <input type="hidden"> - Feld braucht, birgt das Risiko, dass es vom Bot nicht ausgefüllt wird, weil ein gescheiter Bot halt merkt, dass das Feld noch nicht mal angezeigt wird.
Möglichkeit 2, dass man ein <input type="text" style="display:none;"> - Feld braucht, ist nachteilig für Leute die in ihrem Browser kein CSS benutzen oder darstellen können. Ausserdem ist es auch für Bots keine Sache, herauszufinden, ob das Feld jetzt dargestellt wird.
Allerdings ist es sicher EINE adäquate Methode zur Teilsicherung. Auch ich würde einige der verschiedenen guten Vorschläge kombinieren, die hier gepostet wurde. Mein Gästebuch hat die Methode mit dem nicht angezeigten Textfeld in Gebrauch. Daneben benütze ich aber auch Captcha und neue Einträge müssen vom Administrator geprüft und freigeschaltet werden, bevor sie im Gästebuch angezeigt werden.
Das Schreiben einer Badword-Liste ist eigentlich gar nicht sooooooo schlimm aufwändig. Ich würde das beispielsweise so machen:
- Unterstriche werden ignoriert
- Doppelkonsonanten & -vokale werden ignoriert
- Alternativen für Buchstaben werden mit einer Liste verglichen. Da steht beispielsweise:
=> a,A - 4, /-\
=> e,E - 3, €
=> i,I - 1, !, |
=> o,O - 0, ()
=> u,U - |_|, (_)
Der Badword-Filter läuft dann erst über den bearbeiteten Text:
Via_aagra --> Erst Viaagra, dann Viagra
Vagra --> Fällt durch mein Raster, Doh
V!agra --> Viagra
V_iagra --> Viagra
Naja 75% is ganz ok
Funktioniert bis anhin eigentlich ganz gut. Es kommen nur wenige Spammbots durch bis jetzt. Aber ja. Die entwickeln sich ja schliesslich auch weiter
Aber es wär uns ja sonst langweilig
Schöne Grüsse
De Igäl
Möglichkeit 2, dass man ein <input type="text" style="display:none;"> - Feld braucht, ist nachteilig für Leute die in ihrem Browser kein CSS benutzen oder darstellen können. Ausserdem ist es auch für Bots keine Sache, herauszufinden, ob das Feld jetzt dargestellt wird.
Allerdings ist es sicher EINE adäquate Methode zur Teilsicherung. Auch ich würde einige der verschiedenen guten Vorschläge kombinieren, die hier gepostet wurde. Mein Gästebuch hat die Methode mit dem nicht angezeigten Textfeld in Gebrauch. Daneben benütze ich aber auch Captcha und neue Einträge müssen vom Administrator geprüft und freigeschaltet werden, bevor sie im Gästebuch angezeigt werden.
Das Schreiben einer Badword-Liste ist eigentlich gar nicht sooooooo schlimm aufwändig. Ich würde das beispielsweise so machen:
- Unterstriche werden ignoriert
- Doppelkonsonanten & -vokale werden ignoriert
- Alternativen für Buchstaben werden mit einer Liste verglichen. Da steht beispielsweise:
=> a,A - 4, /-\
=> e,E - 3, €
=> i,I - 1, !, |
=> o,O - 0, ()
=> u,U - |_|, (_)
Der Badword-Filter läuft dann erst über den bearbeiteten Text:
Via_aagra --> Erst Viaagra, dann Viagra
Vagra --> Fällt durch mein Raster, Doh
V!agra --> Viagra
V_iagra --> Viagra
Naja 75% is ganz ok
Funktioniert bis anhin eigentlich ganz gut. Es kommen nur wenige Spammbots durch bis jetzt. Aber ja. Die entwickeln sich ja schliesslich auch weiter
Aber es wär uns ja sonst langweilig Schöne Grüsse
De Igäl
sheeba1507
Erfahrenes Mitglied
Bei mir habe ich zusätzlich zum Hidden-Feld noch folgende Filter eingebaut :
Der Badwords-Filter ist wie folgt aufgebaut :
Nachdem sowohl mein Gästebuch als auch das in einem anderen Projekt
gestern mit Spams überhäuft wurde, war nach dem Upload des neuen
Scripts erst einmal Ruhe.
Scheint also zu wirken.
Ich möchte von Capchas und Rechenaufgaben absehen.
Sehbehinderte und User, die schwach in Rechnen sind, werden
hierbei ausgegrenzt.
Was ich noch einbauen möchte, ist eine IP-Sperre von 24h, um weitere
humanoide User davon abzuhalten, mich mit Spam zu versorgen.
Wer eine feste IP hat, bleibt hier 1 Tag lang ganz draußen.
Die anderen müssen sich jedesmal abmelden, wieder anmelden, die Seite
neu aufrufen und in's Gästebuch gehen.
Wenn sie dann jedesmal ihren Text neu eingeben müssen, sollten
sie spätestens nach dem dritten Versuch aufgeben, es sei denn, sie
bleiben hartnäckig.
Leider habe ich hierzu kein passendes Script. Sollte hier jemand eine
Lösung haben, bitte ich um eine Meldung.
Dafür schon mal Danke im voraus.
Gruß, Mike
PHP:
$komm = nl2br(stripslashes(htmlspecialchars($_POST['komm'])));
$kommentar = strip_tags($komm, '<br />');
$kommentar = BadwordFilter($kommentar);
$action = "true";
if (substr_count($kommentar, '*') >= 15)
{
$action = "spam";
}
if ($kommentar == "")
{
$act_send = "Kein Kommentar eingetragen";
$action = "false";
}
PHP:
<?php
function BadwordFilter($kommentar)
{
$Badwords = array("", "", "scheiss", "Scheiss", "Votze", "Hure", "fick",
"[ URL]", "[ /URL]", "http://", "www.", ".de", ".com", ".org", ".vu", ".te", ".at", ".us",
"<html>", "<br />", "<head>", "<body>", "<style>", "<div>",
"porno", "Porno", "Viagra", "comment");
foreach($Badwords as $Badword)
{
$kommentar = str_replace($Badword, str_repeat("*", strlen($Badword)), $kommentar);
}
return $kommentar;
}
?>Nachdem sowohl mein Gästebuch als auch das in einem anderen Projekt
gestern mit Spams überhäuft wurde, war nach dem Upload des neuen
Scripts erst einmal Ruhe.
Scheint also zu wirken.
Ich möchte von Capchas und Rechenaufgaben absehen.
Sehbehinderte und User, die schwach in Rechnen sind, werden
hierbei ausgegrenzt.
Was ich noch einbauen möchte, ist eine IP-Sperre von 24h, um weitere
humanoide User davon abzuhalten, mich mit Spam zu versorgen.
Wer eine feste IP hat, bleibt hier 1 Tag lang ganz draußen.
Die anderen müssen sich jedesmal abmelden, wieder anmelden, die Seite
neu aufrufen und in's Gästebuch gehen.
Wenn sie dann jedesmal ihren Text neu eingeben müssen, sollten
sie spätestens nach dem dritten Versuch aufgeben, es sei denn, sie
bleiben hartnäckig.
Leider habe ich hierzu kein passendes Script. Sollte hier jemand eine
Lösung haben, bitte ich um eine Meldung.
Dafür schon mal Danke im voraus.
Gruß, Mike
Hm dazu ein Vorschlag:
Üblicherweise sieht ein Gästebuch doch wie folgt aus:
Name:
<name feld>
Email:
<email feld>
Text:
<textfeld>
Wenn man nun die Felder intern andersherum benennt... d.h. das Namen-Feld bekommt den <input name=email> und das Email Feld den <input name=name> und das dann auf die korrekte ausfüllung überprüft, dann müsste man doch schon einen Großteil der Bots rausbekommen?
Wenn man jetzt noch dazu die einzelnen Texte darüber (also "Name:" und "Text:") einfach als Bilddatei hinterlegt, könnte doch ein Bot kaum mehr unterscheiden in Welches Feld er Mail und Name reinschreiben müsste.
Der User merkt davon sogut wie nix, ausser er hat den Bilddownload abgeschaltet... aber dazu könnte man ja den Alternativtext des Bildes ja irgendwie schön umschreiben um die Bots rauszuhalten... also z.b: "Hier bitte die Adresse ihres Elektronischen Postfaches angeben".
Meine bisherigen Tests waren ziemlich erfolgreich, die User haben nichts bemerkt, die Bots bleiben bisher draußen. Gut, der Alternativtext ist etwas unschön... aber soviele Leute mit einem Braille-Gerät sind ja nun auch nicht unterwegs.
Üblicherweise sieht ein Gästebuch doch wie folgt aus:
Name:
<name feld>
Email:
<email feld>
Text:
<textfeld>
Wenn man nun die Felder intern andersherum benennt... d.h. das Namen-Feld bekommt den <input name=email> und das Email Feld den <input name=name> und das dann auf die korrekte ausfüllung überprüft, dann müsste man doch schon einen Großteil der Bots rausbekommen?
Wenn man jetzt noch dazu die einzelnen Texte darüber (also "Name:" und "Text:") einfach als Bilddatei hinterlegt, könnte doch ein Bot kaum mehr unterscheiden in Welches Feld er Mail und Name reinschreiben müsste.
Der User merkt davon sogut wie nix, ausser er hat den Bilddownload abgeschaltet... aber dazu könnte man ja den Alternativtext des Bildes ja irgendwie schön umschreiben um die Bots rauszuhalten... also z.b: "Hier bitte die Adresse ihres Elektronischen Postfaches angeben".
Meine bisherigen Tests waren ziemlich erfolgreich, die User haben nichts bemerkt, die Bots bleiben bisher draußen. Gut, der Alternativtext ist etwas unschön... aber soviele Leute mit einem Braille-Gerät sind ja nun auch nicht unterwegs.
andy72
Erfahrenes Mitglied
Ob es unun Sinn macht oder nicht, muss jeder für sich selbst entscheiden bzw liegt es am Kunden,der ein GB haben will - ich selbst halte es, wenn möglich, immer so, dass der User auch für einen GB-Eintrag auf der jeweiligen Plattform registriert sein muss.
Grund:
Wen interessiert es denn wirklich, wenn Person X mit fakename und Fake-eMail auf meiner Seite war und im GB meint, dass er ne gaaaanz tolle Homepage hat und jeder draufklicken soll ?
Also sperre ich diese User einfach aus, und bin damit auch die dummen Bots los - Denn nach meiner Erfahrung gibt es nur sehr wenige Bots,die in der Lage sind, sich zu registrieren
LG
Andy
Grund:
Wen interessiert es denn wirklich, wenn Person X mit fakename und Fake-eMail auf meiner Seite war und im GB meint, dass er ne gaaaanz tolle Homepage hat und jeder draufklicken soll ?
Also sperre ich diese User einfach aus, und bin damit auch die dummen Bots los - Denn nach meiner Erfahrung gibt es nur sehr wenige Bots,die in der Lage sind, sich zu registrieren
LG
Andy
Igäl
Erfahrenes Mitglied
Da muss ich dir widersprechen. Die Homepage unseres Fussballclubs mussten letzthin das spammverseuchte Forum wieder vom Netz nehmen, weil ständig Bots ihre ekelhaften Spuren hinterlassen haben. Das hat mich verwundert, weil es ein phpBB - Forum war und man sich registrieren musste, wo man auch einen captcha-String eingeben musste. Einige Bots haben also mit Sicherheit keine Mühe sich zu registrieren.
andy72
Erfahrenes Mitglied
Darum schrieb ich ja auch, dass nur WENIGE Bots in der Lage sind,sich zu registrieren.
Lücken gibt es hier und da natürlich immer, gerade, wenn die Bots ein populäres System wie zB phpBB oder anderes angreifen wollen. Man ist da leider gezwungen, die Software nachhaltig zu verändern.
Hatte bei mir dasselbe Problem (benutze auch phpBB) und habe erstmal das Captcha ausgetauscht - hat bei mir schon geholfen
LG
Andy
Lücken gibt es hier und da natürlich immer, gerade, wenn die Bots ein populäres System wie zB phpBB oder anderes angreifen wollen. Man ist da leider gezwungen, die Software nachhaltig zu verändern.
Hatte bei mir dasselbe Problem (benutze auch phpBB) und habe erstmal das Captcha ausgetauscht - hat bei mir schon geholfen
LG
Andy
sheeba1507
Erfahrenes Mitglied
Mittlerweise habe ich meinen Badwords-Filter dahingehend erweitert,
daß er in Verbindung mit einer anderen Funktion erst garnicht den
Eintrag einer URL zuläßt.
Ab einer bestimmten Anzahl von Filter-Aktionen wird ein Teil des Beitrages
(IP, Datum, Uhrzeit) in eine Spam-Datenbank umgeleitet, die ich dann
manuell an die Staatsanwaltschaft per Mail versende.
Dadurch ergeht automatisch Strafantrag gegen den Spamer, da die
Staatsanwaltschaft die Möglichkeit hat, anhand der IP und der exakten
Uhrzeit den Provider und daraufhin den User zu ermitteln.
Ende aus, Micky Maus.
Interresse am Script ?
Gruß, Mike
daß er in Verbindung mit einer anderen Funktion erst garnicht den
Eintrag einer URL zuläßt.
Ab einer bestimmten Anzahl von Filter-Aktionen wird ein Teil des Beitrages
(IP, Datum, Uhrzeit) in eine Spam-Datenbank umgeleitet, die ich dann
manuell an die Staatsanwaltschaft per Mail versende.
Dadurch ergeht automatisch Strafantrag gegen den Spamer, da die
Staatsanwaltschaft die Möglichkeit hat, anhand der IP und der exakten
Uhrzeit den Provider und daraufhin den User zu ermitteln.
Ende aus, Micky Maus.
Interresse am Script ?
Gruß, Mike
Neue Beiträge
-
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
