Jak se bránit proti spamerům

Zde můžete diskutovat o nové verzi phpBB nebo jejím překladu.
leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Jak se bránit proti spamerům

Příspěvek od leschek » sob 17. lis 2012 12:44:35

Podle všeho byla vydána nová verze nástroje pro spamery (Xrumer), který umožní spamerům vyřešit ne příliš složitou otázku a odpověď, na kterou se musí odpovědět při registraci. V podstatě to vypadá tak, že se spamboti naučili najít odpověď na Googlu (existuje knihovna, která umožní projít přes textový kapči). Během včerejška se na phpBB.com objevilo 10 stránek popisujících jak admini marně bojují se záplavou spamu. Někteří dokonce museli vypnout registraci. Problém se netýká jen phpBB, ale i dalších systémů. Taky nejde jen o anglický fóra (my máme výhodu, že otázku nemáme anglicky, což přece jen trochu ztěžuje spambotům práci), ale i o německý a francouzký.
Nicméně, pokud se dostanete do podobnýho problému, můžete použít následující informace, které se osvědčili uživatelům na phpBB.com v boji se spamboty:
  • Otázka by měla být taková, aby její odpověď nešla najít na Googlu.
    • Například se můžete zeptat ne několikáté slovo ve vašich pravidlech fóra, což donutí registrující přečíst si pravidla a navíc to je na každém fóru jiné slovo.
    • Nebo můžete požádat uživatele, aby opsal nějaké slovo z obrázku v headeru.
    • Nebo požádejte uživatele, aby napsali prostředních pět znaků z následujícího textu $%7*#@T+=26 (samozřejmě použijte vlastní znaky).
  • Používejte jen jednu otázku a odpověď. Pokud budete mít 5 otázek a spambot se přes jednu dostane, nebudete vědět, která to je, a budete muset změnit všechny otázky. Myslím, že chystá funkce, aby admin viděl, kterou otázku registrovaný použil. Pak naopak bude lepší mít otázek víc...
  • Snižte v administraci počet pokusů o registraci z 5 na 3
  • I v případě, že změníte otázku (nebo vypnete registrace úplně), se může stát (zdát), že se spammeři registrují. je to tím, že se stihli zaregistrovat před změnou otázky nebo vypnutím registrací, ale potvrdili registraci až potom. Proto, v případě útoku na vaše fórum (jinak asi ne) pomůže smazat i uživatele s nepotvrzenou registrací.
  • Potvrzení registrace administrátorem nezamezí registraci spammerů, ale na fóru se neobjeví spam (na druhé straně admin dostane spoustu emailů, které musí řešit)
  • Několik prvních příspěvků od nových uživatelů musí být schváleno moderátorem. Tady sice budou mít spoustu práce moderátoři, ale spam nebude obtěžovat uživatele fóra.
Naposledy upravil(a) WhiteWolfSix dne pon 19. lis 2012 13:46:26, celkem upraveno 1 x.
Důvod: Pomerne dôležitá téma, ktorá by sa nemala stratiť v zápleve iných tém.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » ned 18. lis 2012 21:52:09

Dokázal by někdo upravit tento kód pro phpBB?
Mám captchu, dvě vlastní pole v profilu s předvyplněnými špatnými odpověďmi, s háčkama a čárkama které je navíc nutno upravit do 1. pádu (myslím že v knihovně to nenajdou, ale prověřím) a spameři se mi registrují. Ten odkazovaný způsob prý funguje spolehlivě bez opruzování uživatelů otázkama a captchou.

Uživatelský avatar
kksmirice
Junior tým
Junior tým
Příspěvky: 1639
Registrován: pát 17. úno 2012 21:39:58
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od kksmirice » ned 18. lis 2012 22:09:16

Není jednodušší vytvořit svou vlastní otázku a odpověď? Nastavit také registraci e-mailem, ...

Někteří roboti umí GD captchu prolomit.

Otázka nemusí být složitá, ale dostatečně "inteligentní". Např. Kolik je 4 + 4? není pro roboty žádnou překážkou.
Naopak Kolik je čtyři plus čtyři? je pro roboty podstatně těžší.
Klidně mi Vykejte, mohl bych být Vašim dědou...
1. Murphyho zákon: Na počátku nebylo nic. I to se pokazilo!

stránky: KK Zálabák Smiřice, test stránky pro všechny

[url=mailto://prolamy@email.cz?subject=phpBB%20pomoc]kontakt[/url] v případě pomoci - instalace systémů, založení databáze a tabulek, FTP přístup

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » ned 18. lis 2012 22:12:40

Chápu ten popis kódu tak, že se po tobě chce vložit číslici čtyři. Pokud ji nevložíš, tak se nedostaneš dál. To samo ale lze nastavit pomocí vlastních polí v profilu. Pokud zadám do Googlu: Napište křestní jméno Karla Gotta tak mi vypadnou tisíce příspěvků se správným skloňováním (navíc je to jedno - viz. dole).
3D kapča byla už proražena spammery.
Momentálně je nejlepší vytvořit otázku, ve které se zeptáš přihlašovacího na něco, co je pro tvé fórum unikátní. (nějaký text z obrázku v hlavičce, barva pozadí atd.).
Podle mě bude uživatelům vadit míň, že musí odpovědět na otázku, než že bude ve fóru plno spamu.

P.S. Pokusem jsem zjistil, že projdu se slovem janda (a i s jiným slovem, které má 5 znaků).
Pokud udělá bot chybu, tak se objeví chyba: Hodnota „Napište číslicemi dvanáct.“ je příliš dlouhá, maximum je 12 znaků, Pokud dám nižší číslo, tak se mi zobrazí, že hodnota je příliš krátká, minimum je 12 znaků, takže mě to vlastně dovede k odpovědi. To samo se týká i políčka s KG, kde jsem donucen k tomu, abych vložil pět písmen, což stačí.
Další problém je, že po vyřešení kapči, která už byla proražená, musí bot jen uhodnout jedno číslo a má na to tak dlouho, kolik potřebuje.

P.P.S. Trošku by mohlo pomoci upravit jazykový soubor langauges/cs/ucp.php (spamboti nebudou vědět, co mají vložit)

najít

Kód: Vybrat vše

	'FIELD_TOO_SMALL'			=> 'Hodnota „%1$s“ je příliš krátká, minimum je %2$d znaků.',
	'FIELD_TOO_LARGE'			=> 'Hodnota „%1$s“ je příliš dlouhá, maximum je %2$d znaků.',
vyměnit za

Kód: Vybrat vše

	'FIELD_TOO_SMALL'			=> 'Hodnota „%1$s“ není správná.',
	'FIELD_TOO_LARGE'			=> 'Hodnota „%1$s“ není správná.',
Zdroj: Vlastní pole jako nástroj proti spamerům.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » ned 18. lis 2012 23:01:40

Dík za rozbor, i když mě to co píšeš příliš netěší. Upravím to.
Ještě mě napiš co teda doporučuješ: Jen jedno pole v profilu? A jakto že projde jakékoliv slovo s pěti písmeny, to je nastavením?
Edit: Pořád nevím jestli to dobře chápu. I když zadám otázku Jaká je barva pozadí?, přičemž správná odpověď je "modrá" tak projde i ten co napíše "žlutá" protože je to stejný počet písmen?

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » ned 18. lis 2012 23:22:05

Otázka a odpověď jde nastavit na přesnou shodu. tzn. že uživatel musí zadat přesně to, co určíš jako odpověď. Nebo to jde nastavit s nerozlišováním velikosti písmen, ale i tak musí napsat to co máš jako odpověď.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » ned 18. lis 2012 23:25:47

Dík. Prosím tě kde nebo jak se nastavuje ta přesná shoda odpovědi? Já se v tom teď hrabu a zatím jsem to nenašla.

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » ned 18. lis 2012 23:31:05

Administrace - obrana proti spamu - vybrat plugin "Otázky a odpovědi" a kliknout na tlačítko "nastavit" za "Nastavit Captcha". Pak přidat otázku a dál je to jasný. Otázek můžeš vytvořit víc, ale doporučuje se jen jedna (alespoň víš, kterou dokázali spamboti projít a nemusíš jich mazat 5).

Nakonec ještě jednou zkontroluj jestli máš vybranou otázku a odpověď jako plugin (mě se to párkrát změnilo na jinou kapču - mám pocit, že je to tím, že jsem začal nastavovat otázku a odpověď bez toho, abych potvrdil, že tento plugin chci použít) a dole odešli změny.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » pon 19. lis 2012 1:39:29

Díky, nastavíme to.
Mám ještě jiný problém: Jak se bránit ručnímu nebo poloautomatickému spamu, kterému se říká astroturfing. Uživatel se zaregistruje, často i ručně a začne vkládat příspěvky s reklamními odkazy. Máme nastavené schvalování příspěvků, je to ale docela náročné. Není někde funkce, která zamezí skupině Noví členové fóra vkládat odkazy? Nebo nechystá takovou funkci někdo?

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » pon 19. lis 2012 2:01:03

Nemám s tím zkušenost, ale mohlo by pomoci tohle.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » pon 19. lis 2012 2:56:14

To je asi to co hledám.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » pon 19. lis 2012 15:00:21

Tak mám na fóru od včerejška registrovaných 9 nových robotických šmejdů. Napadlo mě, jestli by alespoň tady u nás nefungovalo blokovat registrace z prostřelených mailů, nejvíc je jich z gmailu. Další jsou 1x aol, 1x voyagebirmanie.net, 1x mornhfas.org.ua. Kdyby někdo udělal mod na blokaci registrací z gmailu a dalších adres z blacklistu třeba by to pomohlo.

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » pon 19. lis 2012 17:30:54

Takže jsem se podíval na tvoji registraci a zjistil:
Hodnota „Napište číslicemi dvanáct.“ je příliš dlouhá, maximum je 12 znaků. Pokud napíšu víc, zobrazí se chyba, že je hodnota dlouhá, pokud míň, hodnota je krátká, takže mě to dovede ke 12.
Políčko „Napište křestní jméno Karla Gotta.“ je příliš krátké, minimum je 5 znaků. Stejně jako minule je jedno, co do políčka napíšu. Pokud napíšu míň znaků, tak tak se mi zobrazí chyba, že musím napsat více znaků. Víc písmen než 5 napsat nejde, takže není těžké cokoliv vložit. Asi by pomohla úprava, kterou jsem popsal tady.
Napiš jméno fóra do kterého se registruješ.: Napsal jsem streda a prošlo to
Napiš číslicemi stopatnáct.: napsal jsem 110 a prošel.
Z toho víceméně plyne, že ty pole jsou zbytečný (vlastně jen otravují přihlašující). Otázka je asi OK, ale můžeš zkusit nějakou jinou. Bohužel momentálně není nic lepšího než dobrá otázka.

Spameři jsou Češi? Pokud ano, tak pro ně není problém projít registrací.
Mohlo by pomoci snížit počet registrací na 3, jestli jich máš víc. Taky je možné, že jsou spameři zaregistrovaní před tím, než jsi změnila otázku, jen nebyli aktivováni (v administraci je seznam neaktivovaných uživatelů, takže je možné se podívat, kdo tam je, popřípadě je vymazat. Další možnost je ta, že byly přihlášeni už dřív, ale psát začali až teď.

Jde nastavit, aby uživatelé ve skupině noví členové mohli psát pouze po schválení příspěvků a jen do určitého fóra, takže se spam nehromadí všude po fóru.

P.S. Existuje blokovací mod (Advanced Block MOD), který blokuje registrace podle různých blacklistů a má i další funkce.

Ivana
Příspěvky: 28
Registrován: ned 07. bře 2010 19:15:14
Bydliště: Brno
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od Ivana » pon 19. lis 2012 17:38:45

Dneska jsem to ladila, hrabala jsem se v tom tak jsem to nechala zapnutý všechno aby mi nějaký neprolezl pod rukou, od té doby co je tam nová otázka žádný nový neprolezl. Zkusím nechat jen tu jednu otázku a uvidíme. Otázku zkusím zdokonalit, tohle je to nejlepší co mě zatím napadlo.
Jinak nespamujou, mám registraci povolovanou administrátorem. Ale ráda bych zdokonalila ochranu, je to docela opruz prověřovat všechny zaregistrované. Počet pokusů o registraci jsem už včera nastavila na 3.

leschek
Příspěvky: 3014
Registrován: stř 09. lis 2011 0:09:51
Kontaktovat uživatele:

Re: Jak se bránit proti spamerům

Příspěvek od leschek » pon 19. lis 2012 17:45:34

Můžeš zkusit to schvalování prvních 1-3 příspěvků u nově registrovaných. Kromě toho jsem dostal nápad, že by se dala otázka napsat na vlastní obrázek, nebo něco z toho obrázku opsat, mám doma funkční verzi (v administraci přidáš obrázek, který se pak zobrazí při registraci), ale protože s php teprve začínám, tak je tam problém s tím, že se musí v administraci vložit nějaký obrázek, jinak vypadne chyba. Pokud se mi tohle podaří vyřešit, tak by to mohlo udělat otázku a odpověď o něco bezpečnější.

Zamčeno