Foruminternes: Ankündigungen, Bekanntmachungen, Spielregeln
-
Dirty Oerti
- Beiträge: 2229
- Registriert: Di Jul 08, 2008 5:05 pm
- Wohnort: Thurndorf / Würzburg
Beitrag
von Dirty Oerti » Sa Jan 16, 2010 11:11 pm
Kerli hat geschrieben:Dirty Oerti hat geschrieben:Heute schon wieder?
Ich habe heute zwei und gestern einen Bot gelöscht (2*englisch, 1*deutsch)...
Dann hast du ihn hier vergessen: HSiodireRob
Hat gestern ca 25 Spam-Themen verfasst. (siehe Protokoll)
Bei
Fragen einfach an
daniel[ät]proggen[Punkt]org
Ich helfe gerne!
----------
Wenn du ein Licht am Ende des Tunnels siehst, freu dich nicht zu früh! Es könnte ein Zug sein, der auf dich zukommt!
----
It said: "Install Win95 or better ..." So I installed Linux.
-
Dirty Oerti
- Beiträge: 2229
- Registriert: Di Jul 08, 2008 5:05 pm
- Wohnort: Thurndorf / Würzburg
Beitrag
von Dirty Oerti » So Jan 17, 2010 12:58 am
SO, also ich hätte mich nun soweit durch phpBB durch, dass ich weiß (bzw es an einem "mal eben hochgeladenem" Testforum durchgeführt habe), wie man vllcht ein wenig mehr Sicherheit vor Bots bekommt.
Die Felder zu Registrierung tragen nämlich IDs wie "username" und "password", wenn man die IDs ändert (in den Vorlagen UND in einem Skript), dann sollten sich die Bots schonmal schwerer tun.
Theoretisch könnte man die ID ja auch generieren lassen... das geht aber über hinaus, was ich zu so später Stunde noch instande bin zu leisten.
Bei
Fragen einfach an
daniel[ät]proggen[Punkt]org
Ich helfe gerne!
----------
Wenn du ein Licht am Ende des Tunnels siehst, freu dich nicht zu früh! Es könnte ein Zug sein, der auf dich zukommt!
----
It said: "Install Win95 or better ..." So I installed Linux.
-
Kerli
- Beiträge: 1456
- Registriert: So Jul 06, 2008 10:17 am
- Wohnort: Österreich
-
Kontaktdaten:
Beitrag
von Kerli » So Jan 17, 2010 12:29 pm
Dirty Oerti hat geschrieben:[...]Die Felder zu Registrierung tragen nämlich IDs wie "username" und "password", wenn man die IDs ändert (in den Vorlagen UND in einem Skript), dann sollten sich die Bots schonmal schwerer tun.
Irgendwo habe ich das glaube ich auch schon gelesen bzw. vorgeschlagen, aber irgendwie ist es bis jetzt noch nicht dazu gekommen ^^
"Make it idiot-proof and someone will invent an even better idiot." (programmers wisdom)
OpenGL Tutorials und vieles mehr rund ums Programmieren:
http://www.tomprogs.at
-
Xin
- nur zu Besuch hier
- Beiträge: 8862
- Registriert: Fr Jul 04, 2008 11:10 pm
- Wohnort: /home/xin
-
Kontaktdaten:
Beitrag
von Xin » So Jan 17, 2010 1:54 pm
Kerli hat geschrieben:Dirty Oerti hat geschrieben:[...]Die Felder zu Registrierung tragen nämlich IDs wie "username" und "password", wenn man die IDs ändert (in den Vorlagen UND in einem Skript), dann sollten sich die Bots schonmal schwerer tun.
Irgendwo habe ich das glaube ich auch schon gelesen bzw. vorgeschlagen, aber irgendwie ist es bis jetzt noch nicht dazu gekommen ^^
irgendwie = Zeitmangel.... in 5 Minuten habe ich den nächsten Termin... habe mir schon überlegt, ob ich euch einfach mal Zugriff auf den Webserver gebe und mich da raushalte, aber das ist irgendwie auch was unverschämt.
Merke: Wer Ordnung hellt ist nicht zwangsläufig eine Leuchte.
Ich beantworte keine generellen Programmierfragen per PN oder Mail. Dafür ist das Forum da.
-
Dirty Oerti
- Beiträge: 2229
- Registriert: Di Jul 08, 2008 5:05 pm
- Wohnort: Thurndorf / Würzburg
Beitrag
von Dirty Oerti » So Jan 17, 2010 2:48 pm
Kerli hat geschrieben:Dirty Oerti hat geschrieben:[...]Die Felder zu Registrierung tragen nämlich IDs wie "username" und "password", wenn man die IDs ändert (in den Vorlagen UND in einem Skript), dann sollten sich die Bots schonmal schwerer tun.
Irgendwo habe ich das glaube ich auch schon gelesen bzw. vorgeschlagen, aber irgendwie ist es bis jetzt noch nicht dazu gekommen ^^
Ja, ich glaub du hattest es vorgeschlagen. Ich habs jetzt mal umgesetzt.
Wenn wir aber vom schlimmsten Fall ausgehen, dass jemand die Bots darauf trimmt, genau DIESES Forum hier anzugreifen, dann müssen wir uns wohl mehr überlegen.
Denn so reicht es, die neuen IDs einfach aus dem Quelltext der Seite auszulesen...
Was mich nur wundert: Wie kommen die Bots am Captcha vorbei?
Bei
Fragen einfach an
daniel[ät]proggen[Punkt]org
Ich helfe gerne!
----------
Wenn du ein Licht am Ende des Tunnels siehst, freu dich nicht zu früh! Es könnte ein Zug sein, der auf dich zukommt!
----
It said: "Install Win95 or better ..." So I installed Linux.
-
Kerli
- Beiträge: 1456
- Registriert: So Jul 06, 2008 10:17 am
- Wohnort: Österreich
-
Kontaktdaten:
Beitrag
von Kerli » So Jan 17, 2010 4:21 pm
Dirty Oerti hat geschrieben:Wenn wir aber vom schlimmsten Fall ausgehen, dass jemand die Bots darauf trimmt, genau DIESES Forum hier anzugreifen, dann müssen wir uns wohl mehr überlegen.
Wobei ich das nicht glaube, da der Spam dann wohl etwas themenbezogener sein würde. Aber auch da könnte man es eventuell mit Javascript versuchen. Ich weiß zwar nicht wie es aktuell ist aber was mein letzter Wissenstand ist, ist das Bots kein Javascript auswerten.
Dirty Oerti hat geschrieben:Was mich nur wundert: Wie kommen die Bots am Captcha vorbei?
Die Bilderkennung ist zurzeit gar nicht einmal so schlecht... Aber ich würde eher vermuten, dass es so ähnlich wie zum Beispiel mit jDownloader abläuft. Ein Spammer lässt einen Bot eine Liste von Forenadressen durchlaufen und bekommt dann nur mehr die Captcha-Bilder angezeigt worauf er den Text eingibt und der Bot dann wieder weiterarbeitet.
"Make it idiot-proof and someone will invent an even better idiot." (programmers wisdom)
OpenGL Tutorials und vieles mehr rund ums Programmieren:
http://www.tomprogs.at
-
Bebu
- Beiträge: 562
- Registriert: Mi Okt 21, 2009 6:19 pm
- Wohnort: In der Nähe von Salzburg - Bin aber kein Österreicher!
Beitrag
von Bebu » So Jan 17, 2010 4:48 pm
Wie wäre es mit zwei Captcha Bildern, die eine Rechenaufgabe darstellen? Würde einen simplen Spamer vielleicht vom Aufwand her abschrecken und er sucht sich andere Ziele.
Eine andere Möglichkeit wäre es, für neu registrierte Benutzer nur eine bestimmte Postingzahl zuzulassen, bevor sie von einem Moderator freigeschaltet werden müssen. Allerdings ist der administrative Aufwand dafür ziemlich hoch, drum eher unpraktisch.
Wer immer nach dem Unerreichbaren jagt, der wird irgendwann auf die Schnauze fallen!
-
Dirty Oerti
- Beiträge: 2229
- Registriert: Di Jul 08, 2008 5:05 pm
- Wohnort: Thurndorf / Würzburg
Beitrag
von Dirty Oerti » So Jan 17, 2010 4:57 pm
Kerli hat geschrieben:Dirty Oerti hat geschrieben:Wenn wir aber vom schlimmsten Fall ausgehen, dass jemand die Bots darauf trimmt, genau DIESES Forum hier anzugreifen, dann müssen wir uns wohl mehr überlegen.
Wobei ich das nicht glaube, da der Spam dann wohl etwas themenbezogener sein würde. Aber auch da könnte man es eventuell mit Javascript versuchen. Ich weiß zwar nicht wie es aktuell ist aber was mein letzter Wissenstand ist, ist das Bots kein Javascript auswerten.
Hm, naja, die letzten Beiträge enthielten stark Computer bezogene Wörter. Ein/Zwei Beiträge waren auch so formuliert, dass sie - ausgenommen der Spamlink am Ende - in einem englischen Computerforum nicht aufgefallen wären.
Mit Javascript... naja, das ist halt immer so ein Ding.
Das Forum verwendet schon JavaScript, ja, aber eben nur für relativ nebensächliche Dinge und nicht für so etwas grundlegendes wie die Registrierung.
Kerli hat geschrieben:
Dirty Oerti hat geschrieben:Was mich nur wundert: Wie kommen die Bots am Captcha vorbei?
Die Bilderkennung ist zurzeit gar nicht einmal so schlecht... Aber ich würde eher vermuten, dass es so ähnlich wie zum Beispiel mit jDownloader abläuft. Ein Spammer lässt einen Bot eine Liste von Forenadressen durchlaufen und bekommt dann nur mehr die Captcha-Bilder angezeigt worauf er den Text eingibt und der Bot dann wieder weiterarbeitet.
Hm, aber die Bilder scheinen generiert zu werden. Immerhin hab ich keine "Presets" in den Ordnern von phpBB gefunden...
Bei
Fragen einfach an
daniel[ät]proggen[Punkt]org
Ich helfe gerne!
----------
Wenn du ein Licht am Ende des Tunnels siehst, freu dich nicht zu früh! Es könnte ein Zug sein, der auf dich zukommt!
----
It said: "Install Win95 or better ..." So I installed Linux.
-
stampuhh
- Beiträge: 211
- Registriert: Sa Nov 07, 2009 4:39 pm
- Wohnort: Paderborn
Beitrag
von stampuhh » So Jan 17, 2010 5:08 pm
Wenn man davon ausgeht, dass es ein extra für phpBB Boards geschriebener Bot ist, könnte man doch einfach das Anmelde-Formular etwas umgestalten oder nicht? z.B. das normale Pflichtfeld was den Namen email hat einen anderen Namen zuweisen und ein per css verstecktes Feld mit dem Namen email einfügen welches nicht ausgefüllt werden darf. Der Bot würde dass dann automatisch ausfüllen und mitsenden. Das hatte auch irgendnen speziellen Namen.
edit: Ok Honeypot Captcha heißt sowas...
gruß stampuhh
NachDenkSeiten.de
-
Dirty Oerti
- Beiträge: 2229
- Registriert: Di Jul 08, 2008 5:05 pm
- Wohnort: Thurndorf / Würzburg
Beitrag
von Dirty Oerti » So Jan 17, 2010 5:21 pm
stampuhh hat geschrieben:Wenn man davon ausgeht, dass es ein extra für phpBB Boards geschriebener Bot ist, könnte man doch einfach das Anmelde-Formular etwas umgestalten oder nicht? z.B. das normale Pflichtfeld was den Namen email hat einen anderen Namen zuweisen und ein per css verstecktes Feld mit dem Namen email einfügen welches nicht ausgefüllt werden darf. Der Bot würde dass dann automatisch ausfüllen und mitsenden. Das hatte auch irgendnen speziellen Namen.
edit: Ok Honeypot Captcha heißt sowas...
gruß stampuhh
Sowas in der Art hab ich gestern zusammengebastelt...
Problem ist nur, falls es wirklich ein direkter Angriff auf DIESES Forum ist, dann hält das auch keinen auf.
Bei
Fragen einfach an
daniel[ät]proggen[Punkt]org
Ich helfe gerne!
----------
Wenn du ein Licht am Ende des Tunnels siehst, freu dich nicht zu früh! Es könnte ein Zug sein, der auf dich zukommt!
----
It said: "Install Win95 or better ..." So I installed Linux.
