Verhindern von Spam-Bots vor Ort?
https://stackoverflow.com/questions/2433602
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben ein Problem auf einem unserer ziemlich großen Websites mit Spam-Bots. Es scheint, die Bots Benutzerkonten erstellen und dann Journaleinträge veröffentlichen, die zu verschiedenen Spam-Links führen.
Es scheint, dass sie unsere Captcha irgendwie überbrücken - entweder es ist geknackt oder sie verwenden eine andere Methode zum Erstellen von Konten.
Wir suchen E-Mail-Aktivierung für die Konten zu tun, aber wir sind über eine Woche weg von der Umsetzung solcher Änderungen (aufgrund Terminkalender).
Doch ich fühle mich nicht wie diese wird genug sein, wenn sie eine SQL verwenden ausnutzen irgendwo auf dem Gelände und machen die gesamte Cross-Site-Scripting-Sache. Also meine Frage an Dich:
Wenn sie irgendeine Art von XSS ausnutzen verwenden, wie kann ich es finden? Ich Sicherung Aussagen, wo ich kann, aber auch hier, es ist ein ziemlich großer Ort, und es würde mich nehmen eine Weile aktiv aufzuräumen SQL-Anweisungen XSS zu verhindern. Können Sie etwas empfehlen unsere Situation zu helfen?
Lösung
1) Wie oben erwähnt reCAPTCHA ist ein guter Anfang.
2) Askimet ist eine gute Möglichkeit, Spam-Flag, bevor es veröffentlicht wird. Es ist, was Wordpress verwendet, um Spam zu stoppen und es ist äußerst effektiv. Sie könnten dann ablehnen oder den Eintrag Warteschlange für die Moderation auf der Grundlage der Ergebnisse. Es ist API ist lächerlich einfach zu bedienen, auch. (Ich habe PHP-Code, wenn Sie es brauchen). Sie könnten eine kommerzielle Lizenz benötigen, obwohl ich sicher bin, können Sie die kostenlose Version mit loszulegen.
3) Überprüfung von E-Mail-Adressen ist auf jeden Fall eine gute Idee, da es ein gültiges E-Mail-Konto erforderlich, die viele Spammer nicht haben. So stellen Sie sicher, dass Sie die E-Mail-Adresse machen Verifizieren leicht, als ob es zu schwierig ist, kann es legitime Benutzer weg und drehen.
Andere Tipps
Wenn die Bots wurden ein Loch in einem Skript irgendwo zu nutzen, sollte es, dass der Nachweis der in den Protokollen sein. Überprüfen Sie für die direkte Beiträge Zur Erstellungsskripts und den Journaleintrag Erstellungsskripts ohne den üblichen „normalen“ Surfen Aktivität vor dem Hit: Die Bots haben die Website nur einmal gesteuert und unter Umgehung der Schritt des Ziehens die Formen nach unten und so zu tun zu füllen sie in. Geben sie für GET-Anfragen mit offensichtlichen XSS-Typ-Daten in der Abfrage-Strings.
Sie könnten auch einbetten ein zufälliges Token in einem versteckten Feld innerhalb der Formen und erfordern, dass die Token vorhanden für die Aktivierung sein / Buchung durch zu gehen. Wenn die Bots Ihre Anmeldeskripten nur analysiert einmal und direkte Beiträge tun, werden diese sie in ihren Tracks zu stoppen, bis die Bot-Schöpfer auf und sucht den Token fangen. Aber es würde Ihnen etwas Luft zum Atmen gibt ein besseres System zu implementieren.
Wenn Ihr Benutzerkonto Tabellen nicht über irgendeine Art von Time-of-creation Zeitstempeln auf sich, steckte man in und haben den Server den Zeitstempel erstellen, nicht Ihre Benutzer-Skripten. Auf diese Weise können Sie den Zeitraum einschränken können (n) die Protokolle für Bot-Aktivitäten zu scannen und sehen, was sie tun. Und wenn nichts anderes, können Sie die IP-Adressen blockieren die Bots von Mitteilung verfassen.
Ich bin überrascht, dass jemand Akismet beraten und es wird als Antwort akzeptiert:
- Akismet Engagement ist illegal in der EU als Schutzgesetze zu verletzen ;
- Alle schwarze Listen System hilft Kriminellen, Internet machen unbrauchbar von legit Benutzer ;
- Systems Spam sammeln zu analysieren rückwirkend zu handeln, sind dazu verdammt, immer hinter Spammers Techniken Fortschritte hinken und bot Entwicklung;
- Warum Spam-Bots gefüttert zu sammeln und zu analysieren, anstatt Spam-Bots blockieren?
