La prevención de los robots de spam en el sitio?

Question

Estamos teniendo un problema en uno de nuestros sitios web con bastante grandes robots de spam. Parece que los robots son la creación de cuentas de usuario y publicar entradas de diario que conducen a diversos enlaces de spam.

Parece que están pasando por alto nuestro código de imagen de alguna manera - ya sea que ha sido roto o que están usando otro método para crear cuentas.

Estamos buscando hacer la activación de correo electrónico de las cuentas, pero estamos cerca de una semana lejos de la implementación de tales cambios (debido al horario de trabajo).

Sin embargo, no me siento como esto será suficiente si están utilizando un SQL explotar en algún lugar en el sitio y hacer todo el asunto de cross site scripting. Así que mi pregunta para usted:

Si están usando algún tipo de XSS explotar, ¿cómo puedo encontrarlo? Estoy declaraciones asegurando en lo que pueda, pero, de nuevo, es un sitio bastante grande y me gustaría tomar un tiempo para limpiar activamente sentencias SQL para evitar XSS. ¿Me puede recomendar algo para ayudar a nuestra situación?

Answer 1

1) Como se mencionó anteriormente reCAPTCHA es un buen comienzo.

2) Askimet es una gran manera de correo no deseado bandera antes de que se publique. Es lo que usa Wordpress para detener el spam y es extremadamente eficaz. A continuación, podría rechazar o cola de la entrada a la moderación en base a los resultados. Es API es ridículamente fácil de usar, también. (Tengo código PHP si lo necesita). Es posible que necesite para uso comercial, aunque estoy seguro de que pueda comenzar a utilizar la versión gratuita.

3) La verificación de direcciones de correo electrónico es definitivamente una buena idea, ya que requiere una cuenta de correo electrónico válida que muchos spammers no tienen. Sólo asegúrese de hacer la verificación de la dirección de correo electrónico fácil como si es demasiado difícil que puede convertir a los usuarios legítimos de distancia también.

Answer 2

Si los robots estaban explotando un agujero en un script en alguna parte, no debe haber evidencia de que en los registros. Compruebe por comentarios directos a comandos de creación de usuarios y los scripts de creación de entrada de diario sin la actividad de navegación habitual "normal" antes del golpe: Los robots pueden haber controlado el sitio sólo una vez y están sin pasar por la etapa de destrucción de las formas y pretendiendo llenar en. Busque peticiones GET con datos de tipo XSS obvias en las cadenas de consulta.

También puede incrustar una muestra al azar en un campo oculto dentro de las formas y requieren que los contadores a estar presente para la activación / publicar que pasar. Si los robots sólo se analizan las secuencias de comandos de registro una vez y están haciendo los mensajes directos, esto detendrá en sus pistas hasta que los creadores de bots pongan al día y buscar el token. Pero le daría un respiro para implementar un mejor sistema.

Si las tablas de cuenta de usuario no tienen algún tipo de sello de tiempo de tiempo de la creación en ellos, y poner uno en el servidor de crear la marca de tiempo, no en sus scripts de usuario. De esta manera se puede reducir el período (s) de tiempo para escanear los registros de la actividad bot y ver lo que están haciendo. Y si no otra cosa, que podría bloquear las direcciones IP de los robots están enviando desde.

Answer 3

Me sorprende que alguien puede aconsejar Akismet y se acepta como respuesta:

• compromiso Akismet es ilegal en la UE como una infracción de las leyes de protección de privacidad ;
• Cualquier sistema de listas negras href="https://stackoverflow.com/questions/1762189/blacklist-ip-database/4790734#4790734"> ;
• Los sistemas colectores spam para analizarlo están condenados a actuar con carácter retroactivo siempre a la zaga de los spammers avances y técnicas de desarrollo bot;
• ¿Por qué acumular y analizar el spam alimentado por los robots en lugar de bloquear los robots de spam?