Jump to content
TabletopWelt

Empfohlene Beiträge

In den letzten Tagen wurde das Forum von Spam-Bots regelrecht geflutet: Die Moderatoren kamen teilweise gar nicht mehr mit den Sperrungen der betreffenden Accounts und dem Aufräumen des Mülls hinterher. Ein großes Dankeschön geht an die User, die immer fleißig neuen Spa gemeldet haben, sodass wir darauf reagieren konnten, aber irgendwie ist das ein Kampf gegen Windmühlen unter dem die Qualität des Forums leidet. Damit soll nun endlich Schluss sein!

Bis auf weiteres haben wir die automatisierte Aktivierung von neuen Benutzerkonten abgestellt. Neue Anmeldungen müssen nun manuell durch einen Moderator frei geschaltet werden. In der Regel dauert das nicht lange, denn ein oder zwei Mods sind eigetnlich ja ständig online, und diese bekommen nun eine sichtbare Einblendung, wenn es jemand Neues freizuschalten gibt. :)

Wir sind zuversichtlich, dass sich das Bot-Problem auf diese Methode in den Griff bekommen lässt, ohne dass neue Mitglieder einen allzu großen Nachteil dadurch erfahren. Der Vorteil für die bestehenden User hingegen sollte ersichtlich sein! :ok:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Echt ne Krux mit dem Spambots. Da helfen auch keine Captchas mehr.

In meinen Foren habe ich einfach ein Frage Antwort Spiel gestartet. Seitdem bin ich von denen verschont.

Gruss,

Coki

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gast Crotaphytus

Hatten wir auch. Wurde aber scheinbar auch geknackt, weswegen wir uns jetzt zunächst einmal zu diesem Schritt entschlossen haben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

In meinem Forum habe ich die Kombination aus E-Mail-Bestätigung, dann automatische Freischaltung ohne jegliche Schreibrechte bis zur händischen Freischaltung durch den Admin. Das scheint recht zuverlässig zu helfen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die meisten Bots geben sofort auf wenn sie ihre Daten (Payload) nicht platzieren können. In dem Geschäfts geht es um Volumen, ergo wenn man zulang bzw. es zu aufwendig ist Informationen irgendwo zu platzieren geben die auf.

Was auch sehr effektiv ist, ist die ersten 5 Artikel als moderated einzustellen, ergo müssen "freigegeben" werden. Meist geben die dann nach dem 3,4ten Artikel auf weil sie nicht ihren Content sehen.

Captchas sind tatsächlich relativ witzlos geworden, selbst ReCaptcha ist inzwischen eher milde belächelt. Hab genug Bot-Konstrukte gesehen, die mittels Cloudtechnologie kurzerhand die passende Antwort auswählen. Da ReCaptcha auf alten Büchern bzw. Texten basierd kann man hier mit einer verteilten Technik sehr schön die Captchas einsammeln zusammen mit den Usereingaben.

Hab da mal einen Ansatz gesehen wo mittels digitalen Büchern bzw. Wissensdatenbanken und den Wörter versucht wurde das passende "Buch" bzw. Textpassage zu finden... naja das war eher mittel- bis gar nicht erfolgreich aber die Typen die so Bots bauen sind verdammt umtriebig.

Einfaches Beispiel aus einem Versuch den ich mal erhalten habe:

- Modul für eine bekannte Portalsoftware welches eine feinere "Userrechteverwaltung" erlaubte

- Außerdem übernahm das Modul den Auth inkl. Captcha

- sämtliche Captchaeingaben wurden doupliziert und an einen zentralen Server reportet zusammen mit dem eingesetzten Captcha. Nach ca. 6 Monaten konnten ReCaptchas mit 20-25% Wahrscheinlichkeit maschinell gebrochen werden.

So und jetzt stellt euch mal vor man nimmt eine etwas finstere Seite wo viele viele leute klicken und nicht umbedingt checken was mit ihren Eingaben passiert.

Achja oft ist es bei ReCaptcha sehr hilfreich beide Worte getrennt zu beobachten. Weil nur eines wird tatsächlich "hart" ausgewertet, dass andere besitzt einen Antwortenpool, welcher oft von OCR erkannt werden kann.

Edit:

eben mal geschaut, man kann für um die 5000US Dollar Bot-Frameworks kaufen inkl. "Database" um alle möglichen Captcha Anbieter (inkl. ReCaptcha) zu umgehen.

Direkt inkludiert ist immer IMAP E-Mailanbindung mit Autotraining, ergo man kann den Bot auf "Bestätigungsmails" trainieren. Inkl. sind Trainingtemplates (geiler Name ^^) für alle möglichen bekannten Board, Wordpress- etc. Systeme...

Das ganze Ding ist autonom und auf einem IIS oder Apache lauffähig alternativ gibts sogar fertige VirtualImages... so einfach ist es z.B. einen Bot aufzuziehen und armen Webseitbetreibern auf den Nerv zu gehen...

bearbeitet von SeeKing

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
In meinem Forum habe ich die Kombination aus E-Mail-Bestätigung, dann automatische Freischaltung ohne jegliche Schreibrechte bis zur händischen Freischaltung durch den Admin. Das scheint recht zuverlässig zu helfen.

bei kleineren Foren ist das sicher auch kein Problem, wir machen das im Stuttgarter WahnZinn auch so. Bei größeren kan das manuelle schon mal anfangen zu nerven, wenn dann mal mehr als 2 user am Tag nach 0min eine fertige Registrierung haben wollen.

beste Grüße

Drachenklinge

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Meine alte Fachschaft hat das Problem durch Mathematische Captchas gelöst *g* Da mussten dann Integrale berechnet werden... Ich denke eure Lösung ist hier die praktikabelste und ich danke für den Einsatz um das Forum Botfrei zu halten :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Da mussten dann Integrale berechnet werden...

Das schaffen so ca 3 Jahre nach der Schule vermutlich die meisten Abiturienten nicht mehr. ;). Ich wüsste nicht mal mehr, wie ich so was in einen Taschenrechner eintippe, geschweige denn auf Papier....;).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Integrale berechnen zur Anmeldung... Schon bei so manchen Captchas wünsche ich mir ein Programm, welches mir das Gekritzel entziffert. Vielleicht sollte man anfangen die rein zu lassen, die eine Frage nach 5 Versuchen falsch beantworten.

Ich habe mal einen Artikel gelesen wie man Bots verarschen kann. Ich weiß nicht wie weit man die Forensoftware dahin anpassen kann, aber folgend die Idee. Da Bots die Felder automatisch ausfüllen spielt man ein wenig an diesen Feldern rum. Stufe 1 ist das ändern der Feldernamen in sinnfreie Variablen. Woher soll der Computer wissen das in das Feld "asdhiuwn" der Name gehört oder in "asdnmlo" ein Datum?! Zum einen dürfte der Bot nicht wissen was er mit diesen Feldern machen soll und zweitens kann man anschließend die Form, wie etwa beim Datum prüfen. Die Stufe 2 ist das verstecken von sinnvollen Feldern. Für den menschlichen Benutzer unsichtbar existiert ein Feld mit dem Namen "Benutzername". Ein Mensch sieht das Feld nicht und wird nichts eintragen. Ein Bot hingegen hält es für das Feld für den Benutzernamen und trägt einen ein.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

klingt witzig

In dem Sinne müßte doch auch folgendes funzen:

1. Trage Deinen Namen bitte in das 3. Feld ein.

2. Gib Deine eMail bitte im 1. Feld an.

3. wiederhole das Kennwort im 2. Feld.

4. Kennwort.

o.ä.

Aber die Idee mit den sinnfreien Namen klingt für mich irgendwie nach "Spieß umdrehen". Wenn die Kauderwelsch reden, können wir das doch auch!

beste Grüße

DK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hey ich kann zwar keine sinnvollen Tipss zur Botvermeidung geben, wollte aber mal allgemein mein Lob für das Engagement und die Arbeit der Mods hier lassen.

Ich habe mich bisher durch keinen Bot gestört gefühlt, okay vielleicht durch den Hupe-Spam-Bot aber der steht auf einem anderen Blatt :ok:

Mal im Ernstt, ihr macht hier eine super Arbeit, so das der Standard-User wie ich ganz entspannt das Forum durchblättern kann, danke dafür!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

[ironie]

Ich möchte mich nochmal an dieser Stelle über den effektiven Botschutz beschweren!

Ihr habt mir mein lustiges Forenspiel kaputtgemacht und das Einberufen einer Minutemen-Antibot-Taskforce verhindert.

Diese ganze Maßnahme richtet sich doch nur gegen gewisse Nutzer. Im Fachjargon würde ich das "Cybermobbing" nennen. Da dies aber von Moderatoren getan wird wäre es sogar vllt "Cyberbossing".

[/ironie]

Ich kann meine wahren gefühle nur durch umkehrung in Ironie zum Ausdruck bringen :)

Gruß Kernt

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das liegt daran, dass im Gäste-Bereich auch ohne Anmeldung ein Beitrag bzw. Thema erstellt werden kann.

Soweit sich solche Vorfälle auf einmal täglich beschränken, dürfte es noch auszuhalten sein.

PS: Dank an Nutzer, die die Bots melden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Kurzer Kommentar zu jüngsten Spambot Attacke: Der Bot war ein "Schläfer". Der hatte sich schon im August registriert und ist erst jetzt aktiv geworden. Er ist also nicht versehentlich freigeschaltet worden ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Das liegt daran, dass im Gäste-Bereich auch ohne Anmeldung ein Beitrag bzw. Thema erstellt werden kann.

Soweit sich solche Vorfälle auf einmal täglich beschränken, dürfte es noch auszuhalten sein.

PS: Dank an Nutzer, die die Bots melden.

Na ganz ohne wär ja auch langweilig. So kann man ab und zu nochmal ein Jagderlebnis haben :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich glaube ich spreche hier für einige, wenn ich sage, dass wir gestern im Off-Topicbereich ein schönes gemeinsamen erlebnis mit unserem Spambot hatten.

In diesem Zusammenhang möchte ich Kah-thurak gerne in die "Minutemen-Anti-Spambot-Taskforce: Amokdivision" aufnehmen und als zuständigen Abteilungsleiter einsetzen :)

...nicht dass ich sowas zu entscheiden hätte, aber solange mir niemand widerspricht, mach ich das einfach mal :)

Gruß Kernt

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

bislang habe ich als recht erfolgreich folgendes Plugins (aber für SMF! aber gibt es vermutlich auch für vBulletin)

a) http://custom.simplemachines.org/mods/index.php?mod=1547 - schnell laufende Datenbank in der Botusernamen + IPs! abgelegt sind. Alle die in der Datenbank stehen können müssen durch Admin frei geschaltet werden.

*UPDATE* bei meinem kleinen Forum: 15130 Spammers blocked up until today

b) Emaillogin: Login nicht über Benutzernamen möglich. Verhindert, dass Bots User entführen.

c) Forumfirewall: http://custom.simplemachines.org/mods/index.php?mod=2815 - hat sehr schöne Filter und kontrolliert nochmals ob URL genutzt werden die auch wirklich durch das Board generiert worden sind

Aber gegen einen möglichweise manuell angelegten Schläfer... ist kein Kraut gewachsen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mal ne ganz blöde Frage. Was machen denn die Bots hier im Forum? Welchen Sinn hat das für die Urheber? Mir ist noch nie ein Botspam aufgefallen, woran kann man die erkennen?

Ok das sind nun drei Fragen. :-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gast
Dieses Thema wurde für weitere Antworten geschlossen.

×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Ihrem Gerät platziert, um die Bedinung dieser Website zu verbessern. Sie können Ihre Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Sie damit einverstanden sind.