phpBB.cz

Podle všeho byla vydána nová verze nástroje pro spamery (Xrumer), který umožní spamerům vyřešit ne příliš složitou otázku a odpověď, na kterou se musí odpovědět při registraci. V podstatě to vypadá tak, že se spamboti naučili najít odpověď na Googlu (existuje knihovna, která umožní projít přes textový kapči). Během včerejška se na phpBB.com objevilo 10 stránek popisujících jak admini marně bojují se záplavou spamu. Někteří dokonce museli vypnout registraci. Problém se netýká jen phpBB, ale i dalších systémů. Taky nejde jen o anglický fóra (my máme výhodu, že otázku nemáme anglicky, což přece jen trochu ztěžuje spambotům práci), ale i o německý a francouzký.
Nicméně, pokud se dostanete do podobnýho problému, můžete použít následující informace, které se osvědčili uživatelům na phpBB.com v boji se spamboty:

• Otázka a odpověď je pořád ještě nejbezpečnější ochrana proti spamu. ReCaptcha prý byla proražena už před rokem.

• Otázka by měla být taková, aby její odpověď nešla najít na Googlu.
  
  • Například se můžete zeptat ne několikáté slovo ve vašich pravidlech fóra, což donutí registrující přečíst si pravidla a navíc to je na každém fóru jiné slovo.
  • Nebo můžete požádat uživatele, aby opsal nějaké slovo z obrázku v headeru.
  • Nebo požádejte uživatele, aby napsali prostředních pět znaků z následujícího textu $%7*#@T+=26 (samozřejmě použijte vlastní znaky).

• Používejte jen jednu otázku a odpověď. Pokud budete mít 5 otázek a spambot se přes jednu dostane, nebudete vědět, která to je, a budete muset změnit všechny otázky. Myslím, že chystá funkce, aby admin viděl, kterou otázku registrovaný použil. Pak naopak bude lepší mít otázek víc...

• Snižte v administraci počet pokusů o registraci z 5 na 3

• I v případě, že změníte otázku (nebo vypnete registrace úplně), se může stát (zdát), že se spammeři registrují. je to tím, že se stihli zaregistrovat před změnou otázky nebo vypnutím registrací, ale potvrdili registraci až potom. Proto, v případě útoku na vaše fórum (jinak asi ne) pomůže smazat i uživatele s nepotvrzenou registrací.

• Potvrzení registrace administrátorem nezamezí registraci spammerů, ale na fóru se neobjeví spam (na druhé straně admin dostane spoustu emailů, které musí řešit)

• Několik prvních příspěvků od nových uživatelů musí být schváleno moderátorem. Tady sice budou mít spoustu práce moderátoři, ale spam nebude obtěžovat uživatele fóra.

Dokázal by někdo upravit tento kód pro phpBB?
Mám captchu, dvě vlastní pole v profilu s předvyplněnými špatnými odpověďmi, s háčkama a čárkama které je navíc nutno upravit do 1. pádu (myslím že v knihovně to nenajdou, ale prověřím) a spameři se mi registrují. Ten odkazovaný způsob prý funguje spolehlivě bez opruzování uživatelů otázkama a captchou.

Není jednodušší vytvořit svou vlastní otázku a odpověď? Nastavit také registraci e-mailem, ...

Někteří roboti umí GD captchu prolomit.

Otázka nemusí být složitá, ale dostatečně "inteligentní". Např. Kolik je 4 + 4? není pro roboty žádnou překážkou.
Naopak Kolik je čtyři plus čtyři? je pro roboty podstatně těžší.

Chápu ten popis kódu tak, že se po tobě chce vložit číslici čtyři. Pokud ji nevložíš, tak se nedostaneš dál. To samo ale lze nastavit pomocí vlastních polí v profilu. Pokud zadám do Googlu: Napište křestní jméno Karla Gotta tak mi vypadnou tisíce příspěvků se správným skloňováním (navíc je to jedno - viz. dole).
3D kapča byla už proražena spammery.
Momentálně je nejlepší vytvořit otázku, ve které se zeptáš přihlašovacího na něco, co je pro tvé fórum unikátní. (nějaký text z obrázku v hlavičce, barva pozadí atd.).
Podle mě bude uživatelům vadit míň, že musí odpovědět na otázku, než že bude ve fóru plno spamu.

P.S. Pokusem jsem zjistil, že projdu se slovem janda (a i s jiným slovem, které má 5 znaků).
Pokud udělá bot chybu, tak se objeví chyba: Hodnota „Napište číslicemi dvanáct.“ je příliš dlouhá, maximum je 12 znaků, Pokud dám nižší číslo, tak se mi zobrazí, že hodnota je příliš krátká, minimum je 12 znaků, takže mě to vlastně dovede k odpovědi. To samo se týká i políčka s KG, kde jsem donucen k tomu, abych vložil pět písmen, což stačí.
Další problém je, že po vyřešení kapči, která už byla proražená, musí bot jen uhodnout jedno číslo a má na to tak dlouho, kolik potřebuje.

P.P.S. Trošku by mohlo pomoci upravit jazykový soubor langauges/cs/ucp.php (spamboti nebudou vědět, co mají vložit)

najít
vyměnit za
Zdroj: Vlastní pole jako nástroj proti spamerům.

Dík za rozbor, i když mě to co píšeš příliš netěší. Upravím to.
Ještě mě napiš co teda doporučuješ: Jen jedno pole v profilu? A jakto že projde jakékoliv slovo s pěti písmeny, to je nastavením?
Edit: Pořád nevím jestli to dobře chápu. I když zadám otázku Jaká je barva pozadí?, přičemž správná odpověď je "modrá" tak projde i ten co napíše "žlutá" protože je to stejný počet písmen?

Otázka a odpověď jde nastavit na přesnou shodu. tzn. že uživatel musí zadat přesně to, co určíš jako odpověď. Nebo to jde nastavit s nerozlišováním velikosti písmen, ale i tak musí napsat to co máš jako odpověď.

Dík. Prosím tě kde nebo jak se nastavuje ta přesná shoda odpovědi? Já se v tom teď hrabu a zatím jsem to nenašla.

Administrace - obrana proti spamu - vybrat plugin "Otázky a odpovědi" a kliknout na tlačítko "nastavit" za "Nastavit Captcha". Pak přidat otázku a dál je to jasný. Otázek můžeš vytvořit víc, ale doporučuje se jen jedna (alespoň víš, kterou dokázali spamboti projít a nemusíš jich mazat 5).

Nakonec ještě jednou zkontroluj jestli máš vybranou otázku a odpověď jako plugin (mě se to párkrát změnilo na jinou kapču - mám pocit, že je to tím, že jsem začal nastavovat otázku a odpověď bez toho, abych potvrdil, že tento plugin chci použít) a dole odešli změny.

Díky, nastavíme to.
Mám ještě jiný problém: Jak se bránit ručnímu nebo poloautomatickému spamu, kterému se říká astroturfing. Uživatel se zaregistruje, často i ručně a začne vkládat příspěvky s reklamními odkazy. Máme nastavené schvalování příspěvků, je to ale docela náročné. Není někde funkce, která zamezí skupině Noví členové fóra vkládat odkazy? Nebo nechystá takovou funkci někdo?

Nemám s tím zkušenost, ale mohlo by pomoci tohle.

To je asi to co hledám.

Tak mám na fóru od včerejška registrovaných 9 nových robotických šmejdů. Napadlo mě, jestli by alespoň tady u nás nefungovalo blokovat registrace z prostřelených mailů, nejvíc je jich z gmailu. Další jsou 1x aol, 1x voyagebirmanie.net, 1x mornhfas.org.ua. Kdyby někdo udělal mod na blokaci registrací z gmailu a dalších adres z blacklistu třeba by to pomohlo.

Takže jsem se podíval na tvoji registraci a zjistil:
Hodnota „Napište číslicemi dvanáct.“ je příliš dlouhá, maximum je 12 znaků. Pokud napíšu víc, zobrazí se chyba, že je hodnota dlouhá, pokud míň, hodnota je krátká, takže mě to dovede ke 12.
Políčko „Napište křestní jméno Karla Gotta.“ je příliš krátké, minimum je 5 znaků. Stejně jako minule je jedno, co do políčka napíšu. Pokud napíšu míň znaků, tak tak se mi zobrazí chyba, že musím napsat více znaků. Víc písmen než 5 napsat nejde, takže není těžké cokoliv vložit. Asi by pomohla úprava, kterou jsem popsal tady.
Napiš jméno fóra do kterého se registruješ.: Napsal jsem streda a prošlo to
Napiš číslicemi stopatnáct.: napsal jsem 110 a prošel.
Z toho víceméně plyne, že ty pole jsou zbytečný (vlastně jen otravují přihlašující). Otázka je asi OK, ale můžeš zkusit nějakou jinou. Bohužel momentálně není nic lepšího než dobrá otázka.

Spameři jsou Češi? Pokud ano, tak pro ně není problém projít registrací.
Mohlo by pomoci snížit počet registrací na 3, jestli jich máš víc. Taky je možné, že jsou spameři zaregistrovaní před tím, než jsi změnila otázku, jen nebyli aktivováni (v administraci je seznam neaktivovaných uživatelů, takže je možné se podívat, kdo tam je, popřípadě je vymazat. Další možnost je ta, že byly přihlášeni už dřív, ale psát začali až teď.

Jde nastavit, aby uživatelé ve skupině noví členové mohli psát pouze po schválení příspěvků a jen do určitého fóra, takže se spam nehromadí všude po fóru.

P.S. Existuje blokovací mod (Advanced Block MOD), který blokuje registrace podle různých blacklistů a má i další funkce.

Dneska jsem to ladila, hrabala jsem se v tom tak jsem to nechala zapnutý všechno aby mi nějaký neprolezl pod rukou, od té doby co je tam nová otázka žádný nový neprolezl. Zkusím nechat jen tu jednu otázku a uvidíme. Otázku zkusím zdokonalit, tohle je to nejlepší co mě zatím napadlo.
Jinak nespamujou, mám registraci povolovanou administrátorem. Ale ráda bych zdokonalila ochranu, je to docela opruz prověřovat všechny zaregistrované. Počet pokusů o registraci jsem už včera nastavila na 3.

Můžeš zkusit to schvalování prvních 1-3 příspěvků u nově registrovaných. Kromě toho jsem dostal nápad, že by se dala otázka napsat na vlastní obrázek, nebo něco z toho obrázku opsat, mám doma funkční verzi (v administraci přidáš obrázek, který se pak zobrazí při registraci), ale protože s php teprve začínám, tak je tam problém s tím, že se musí v administraci vložit nějaký obrázek, jinak vypadne chyba. Pokud se mi tohle podaří vyřešit, tak by to mohlo udělat otázku a odpověď o něco bezpečnější.