Spam na forum

4

Hej,
nie pierwszy raz widzę, takie spamowanie na forum

4p.PNG

Jakie są obecnie możliwości zabezpieczenia przed czymś takim?

Obecnie przy rejestracji nie ma żadnej recaptchy czy nawet jakiekolwiek dodatkowej weryfikacji użytkownika
Można zalogowac się przez FB, G+ lub githuba - czy po takiej rejestracji mogę od razu pisać posty?

Moja sugestia jest taka, by po takiej rejestracji wysyłać link aktywacyjny na maila usera, który potwierdzałby go poprzez wpisane recaptchy. Proces wyglądałby tak:

  1. Rejestrujemy się (nieważne czy tradycyjnie czy przez zewnętrzne serwisy)
  2. Nasze konto aktywujemy poprzez link otrzymany na maila (nie mam za bardzo pomysłu na użytkowników FB, którzy mają tam konta wyłącznie na podstawie nr. telefonu)
  3. Po kliknięciu w link w mailu - redirect na formularz z recaptchą lub informacją, że "Możliwość pisania postów zostanie odblokowana dopiero po przejściu do ustawień profilu i wypełnieniu recaptchy".
  4. Możemy swobodnie pisać

Czy z takimi najazdami na forum admini/modzi mają dużo roboty? Jak takie coś się odsiewa?

PS. w sumie chyba można już wyłączyć rejestrację i logowanie przez Google+, bo i tak niedługo serwis będzie martwy.

3

Wystarczyłoby pewnie zrobić tak aby nowy nie mógł od razu zakładać nowych tematów, tylko np. odpowiadać w istniejących - pierwszych trzech postach, czy przez pierwsze trzy dni od rejestracji, lub po 5-10pkt. reputacji (wybierz najlepsze).
Raz, że zmniejszyłoby to spam, dwa również i tematy "Ratunku nie umie na zaliczenie zrobić kodu zobaczcie co, dlaczego, nie umiem korzystać z wyszukiwarki!!!!".

0

To raczej tylko by przenioslo spam z nowych watkow do watkow juz istniejacych. W zasadzie byloby moderatorom to jeszcze trudniej znalezc- watek z tytulem od razu sie rzuca w oczy.

0

Spamować może byle kto, ale nie wiem czy nie lepiej odsiac boty już na etapie rejestracji, zawsze to jakieś utrudnienie. A zwykli userzy chyba specjalnie nie odczują takiej zmiany.

0

No to wystarczy spojrzeć na to kiedy te posty zostały dodane. O godzinie 09:10, 09:11, 09:12, 09:13. Czyli wychodzi że interwał czasowy mając na względzie że dwa posty zostały dodane w tej samej minucie to albo co 30 sekund, albo co minuta i jestem przekonany że to działanie bota. Proste Middleware do Laravela typu Antiflood czy tam Request Limit, z banem na jakiś czas albo bez bana + opcjonalnie wykrywanie User Agent czy tam coś takiego, zwłaszcza że to może być po prostu robota CURL czy czegoś podobnego. Ale to moim zdaniem tylko częściowo załatwi sprawę.

1

Po co kombinować, wystarczy 24 godzinna kadencja po rejestracji na pisanie i tyle, tak jest na wielu forach.

2

Najlepiej po rejestracji wyslac zwyklym listem kod i dopiero po jego wprwoadzeniu uzytkownik moze pisac.

0

@axelbest przez googla można się będzie dalej logować po prostu google+ wyłączą ale sam mechanizm logowania będzie dalej dostępny. W sensie trzeba wygenerować nowe dane do oautha w bodajże "google sign in" czy jakś tak się zwie także, raczej nikt tego nie usunie z 4p ;)

Nie wiem jaki odsetek jest z logowań przez fb/google tych spamujących ale znając życie spamerzy wykorzystują temp maile, a tutaj wystarczy użyć przy rejestracji darmowej weryfikacji domeny https://open.kickbox.io/

1
mr_jaro napisał(a):

Nie wiem jaki odsetek jest z logowań przez fb/google tych spamujących ale znając życie spamerzy wykorzystują temp maile, a tutaj wystarczy użyć przy rejestracji darmowej weryfikacji domeny https://open.kickbox.io/

90% to adresy e-mail z gmaila. Część loguje się poprzez oauth, część normalnie. Elegancko potwierdzają swój adres e-mail przed napisaniem posta. Mamy oczywiście też captche. Prawdopodobnie są to żywe osoby. Jedyne co ich wyróżnia to to, że logują się z jakiś dziwnych miejsc, krajów 3 świata. Część krajów już blokowałem na firewallu.

5

@Adam Boduch: hmm czyli armia chińczyków/hindusów/{wpisz losowa nazwe}, to ja tu widzę potencjalne rozwiązanie w postaci akceptacji pierwszego posta przez admina...

0

Tak jest, u mnie czasami dochodzą też takie maile i pomimo honeypotów, czy captcha na contact formach i tak przełażą.

0
axelbest napisał(a):

Jakie są obecnie możliwości zabezpieczenia przed czymś takim?

Chyba tylko zatrudnienie moderatorów no-life'ów, którzy by siedzieli na forum o 9 rano. :P

Czy z takimi najazdami na forum admini/modzi mają dużo roboty? Jak takie coś się odsiewa?

Musimy ręcznie kasować wszystko po kolei. Niestety Coyote nie ma funkcji usuwania spamkonta razem z całą twórczością jednym klikiem.

0

Musimy ręcznie kasować wszystko po kolei. Niestety Coyote nie ma funkcji usuwania spamkonta razem z całą twórczością jednym klikiem.

@Adam Boduch może warto byłoby rozważyć taką opcje?

1
scibi92 napisał(a):

Musimy ręcznie kasować wszystko po kolei. Niestety Coyote nie ma funkcji usuwania spamkonta razem z całą twórczością jednym klikiem.

@Adam Boduch może warto byłoby rozważyć taką opcje?

Tak, byłaby to fajna opcja :)

Mamy już różne dziwne zabezpieczenia, m.in. nowi użytkownicy z poza PL nie mogą wstawiać linków w poście. Pomogło. Do czasu. Ten ostatni spam nie zawierał linków ;)

0
czysteskarpety napisał(a):

Po co kombinować, wystarczy 24 godzinna kadencja po rejestracji na pisanie i tyle, tak jest na wielu forach.

Założenie jest takie, że żaden normalny użytkownik nie będzie wrzucał postów w regularnych odstępach czasu a już na pewno nie co 30 sekund czy co minutę. To muszą być jakieś proste boty, działające w regularnych odstępach czasu, bardziej zaawansowane mogą nawet naśladować rzeczywisty ruch użytkowników. Napisałem sobie taką prostą zaporę, która z założenia powinna blokować wszelkie requesty w regularnych odstępach czasu (z założoną dokładnością), natomiast przepuszczać rzeczywistych użytkowników. Z założenia, bo tu zresztą mogą być fałszywe alarmy. Tu można prawdę mówiąc robić różne rzeczy. A nawet bardziej zaawansowane algorytmy do analizy nie tylko czasów wstawienia postów ale i tematów, tekstów ale to już wydaje mi się wyższa szkoła jazdy :-)

0

Blokada na pisanie postów w krótkim odstępie czasu też mamy :)

1

Myślałem, że tylko ja jestem taki lamer i robie opcje dopiero jak już się coś zesra :) tak samo było u mnie na stronie jak można robić ticket w zakładce kontakt to ludzie wysyłali temat (costam offer) albo link w tickecie. I dopiero wtedy zrobiłem opcje że zaznaczasz wyraz i dodajesz do zakazanych słów. Jak się takie pojawi w treści czy temacie to użytkownik dostaje informację: Dziękujemy za wysłaną wiadomośc odpowiemy najszybciej jak się da a w rzeczywistości nic nie wpada do bazy.

  1. Dzięki temu użytkownik nie kombinuje bo myśli że się udało
  2. Nie przewidzi się wszystkiego bo z założenia chcemy dobrze więc dopiero złe ludzie nas nauczą życia :)
  3. Możecie zrobić taki spam i wstawić taką wiadomość czy temat do cookie i jak user wyśle to niech mu się pojawia z pliku i niech myśli że dodał na forum :D
  4. Dobrze by było znaleźć jego IP wytropić i spalić mu mieszkanie.
  5. Jeśli ma jakieś zwierzaki to wypuścić niech tęskni za nimi. (nie dotyczy psów te zawsze zostają) ale już taka fretka to spierd.. ucieknie.
2

A może po prostu zakończyć rekrutacje? mamy już spoko ekipę w sumie nikogo więcej nie trzeba :D

0

Omijanie capchy jest banalnie proste, wykupuje sie odpowiednią usługę na farmie hindusów za gorsze. Już może lepiej by było wprowadzić customowe hasło zagadkę przy capchy po polsku. :)

1

A może odblokować możliwość pisania na całym forum dopiero po dodaniu odpowiedzi w powitalni? :)
Bot chyba nie przeczyta ramki z komunikatem.

0

Analizując działanie jednego z modułów Captcha, który można gdzieś tam znaleźć na githubie jako rozszerzenie do jakiegoś frameworka to jest tak. System generuje losowy ciąg znaków składający się np. z 8 znaków jak np. XA8B5FCS, oczywiście poziom trudności można ustawiać w configach. System zapisuje ten ciąg do sesji (jednorazowo, potem generuje inny i odświeża) a użytkownikowi generuje przez Canvas tenże ciąg w postaci obrazka, z tym że cyfry i litery są albo różnej wielkości, albo porozwalane pod różnymi kątami albo odległościami od siebie, dodatkowo tło wypełnione innymi literami ale takimi jakby "w tle" czyli jakby wygenerowany tekst był na innych literach tła. Jak wiadomo dobre systemy OCR albo sztuczne sieci neuronowe typu Multilayer Perceptron są w stanie rozpoznać tekst na podstawie obrazka i to podstawić do pola, w które normalnie użytkownik powinien coś wpisać i stąd zagrożenie. Ale jest też opcja słownikowa, z losowych słów albo losowych równań. Dlatego wydaje mi się są kombinacje jak wyżej, czyli obrazki często jak się spotkałem trudne do odczytania nawet przez użytkownika, przez co trzeba odświeżać a co dopiero przez SSN. Więc wydaje mi się że to raczej temat rzeka, bo kto to wie czy w PHP (i nie tylko) nie ma bardzo zaawansowanych skryptów z sieciami neuronowymi, które mogłyby odczytywać kody z obrazków i z pewnym prawdopodobieństwem poprawnie je interpretować?

0

@drorat1 capthe z obrazkiem i odczytem liter nawet silnie zniekształconymi boty mi przechodziły już 6 lat temu. Tak jestem pewny, że to boty, bo wystarczyło, że dodałem zamiast capthy pytanie i wszystko ustało. Proste pytanie związane z tematyką strony w dodatku po angielsku. ALE to sposób na boty, na ludzi chcących coś wkleić już nie.

0

A może niech pierwsze X postów nowych użytkowników wymaga akceptacji moderatora :)

0
WeiXiao napisał(a):

A może niech pierwsze X postów nowych użytkowników wymaga akceptacji moderatora :)

No przecież napisałem, a nie potrzeba kilku bo wystarczy pierwszy post usera, jak widać, że podejrzany to i post do usunięcia i user do usunięcia.

1

@mr_jaro: sweet summer child, nie takie rzeczy spamerzy robią :P Bardzo popularne było np. napisanie kilku "normalnych" postów a potem edytowanie ich po kilku dniach na spam ;)

3

A może niech pierwsze X postów nowych użytkowników wymaga akceptacji moderatora :)

Ale zaraz, to wy chcecie dokładać pracy moderatorom, zamiast ujmować? :(

Dajcie spokój, walka ze spamerami to walka z wiatrakami. Jakiego zabezpieczenia byście nie wymyślili, i tak je obejdą - choćby dlatego, że nie wszystkie to boty. Nie ma sensu żadne rozwiązanie, które utrudnia życie użytkownikom i moderatorom... Czyli żadne captche, pytania, zagadki itp.

2

Na pewnym swoim forum miałem przez lata problem ze spambotami. Rozwiązaniem problemu było utworzenie pustego pola formularza (name="login"), którego opis zabrania cokolwiek w nie wpisywać, aby się zarejestrować lub napisać posta bez rejestracji (bo da się). Czyli proste dla ludzi w zrozumieniu. Po wypełnieniu tego "zakazanego" pola, "niepostrzeżenie" wraca się do strony głównej bez podjęcia akcji. I to rozwiązanie wyeliminowało u mnie wszystkie spamboty aż po dziś dzień. :-)
Zaś spamerzy "ludzcy" nie mogą umieszczać linków treści jeśli nie mają odpowiedniej ilości postów (i stażu na forum) rzecz jasna.

0

Nieważne jakie zabezpieczenia zostaną dodane, bo każde da się obejść. Jeśli nie da rady tego zrobić farma botów, to da radę to zrobić farma Hindusów. Orobi się człowiek, nakombinuje, a koniec końców i tak będzie trzeba ręcznie spam wywalać. Co można było zablokować to jest zablokowane, natomiast kluczową rolę odgrywa tutaj współpraca użytkowników z moderatorami – im więcej i szybciej raportujecie, tym szybciej i więcej śmieci można usunąć.


Tylko ogarnijcie się z tymi raportami i nie wysyłajcie ich w przypadku, gdy ktoś np. w technicznym wątku napisał bzdurę lub po prostu nie zgadzacie się z jego zdaniem (a takie raporty często się pojawiają). Po to przecież macie możliwość dyskutowania, aby dojść do tego co jest prawdą, a co nie. :/

0

Najsmieszniejsza rzecza sa ze zatrudniasz farme botow albo farme hindusow oni sie biedni narobia narobia :) a ja za pomoca jednej komendy skasuje im cala robote buahahhahahah ahhh jak ja czuje wtedy satysfakcje wciskajac Enter :P

1 użytkowników online, w tym zalogowanych: 0, gości: 1