Prévenir les robots collecteurs de mails sur le site?

Question

Nous allons avoir un problème sur un de nos sites assez grands avec les robots collecteurs de mails. Il semble que les robots créent des comptes d'utilisateurs, puis l'affichage des entrées de journal qui conduisent à divers liens spam.

Il semble qu'ils contournent notre captcha en quelque sorte - soit il a été fissuré ou ils utilisent une autre méthode pour créer des comptes.

Nous cherchons à faire l'activation e-mail pour les comptes, mais nous sommes sur une semaine de mise en œuvre de ces changements (en raison des horaires chargés).

Cependant, je ne me sens pas comme cela sera suffisant si elles utilisent un SQL exploit quelque part sur le site et de faire toute chose de cross site scripting. Donc, ma question:

S'ils utilisent une sorte de XSS exploiter, comment puis-je le trouver? J'obtenir des déclarations où je peux, mais, encore une fois, son site assez grand et il allait me prendre du temps pour nettoyer activement les instructions SQL pour empêcher XSS. Pouvez-vous recommander quoi que ce soit pour aider notre situation?

Answer 1

1) Comme mentionné ci-dessus reCAPTCHA est un bon début.

2) Askimet est un excellent moyen de spam drapeau avant qu'il ne soit publié. Il est ce que Wordpress utilise pour arrêter le spam et il est extrêmement efficace. Vous pouvez ensuite rejeter ou la file d'attente à l'entrée de la modération en fonction des résultats. Il est API est ridiculement facile à utiliser, aussi. (Je code PHP si vous en avez besoin). Vous pourriez avoir besoin d'une licence commerciale bien que je suis sûr que vous pouvez commencer à utiliser la version gratuite.

3) La vérification des adresses e-mail est certainement une bonne idée car il nécessite un compte de courrier électronique valide que beaucoup de spammeurs n'ont pas. Assurez-vous de faire vérifier l'adresse e-mail facile que si elle est trop difficile, il peut transformer les utilisateurs légitimes loin ainsi.

Answer 2

Si les bots exploitaient un trou dans un script quelque part, il devrait y avoir des preuves de cela dans les journaux. Vérifier POSTs directement aux scripts de création d'utilisateur et les scripts de création d'entrée de journal sans l'activité de surf habituelle « normale » avant le coup: Les bots peuvent avoir contrôlé le site qu'une seule fois et sont sans passer par l'étape de tirer vers le bas les formes et faire semblant de remplir eux. Recherchez les requêtes GET avec évidentes données de type XSS dans les chaînes de requête.

Vous pouvez également intégrer un jeton au hasard dans un champ caché dans les formes et exiger que jeton d'être présent pour l'activation / affichage à passer. Si les bots ne parsés vos scripts d'inscription une fois et font les messages directs, ce qui les arrêter dans leurs traces jusqu'à ce que les créateurs de bots attrapent sur et chercher le jeton. Mais il vous donner un peu d'espace de respiration pour mettre en place un meilleur système.

Si vos tables de compte d'utilisateur ne sont pas une sorte de temps de création horodatage sur eux, mettre un dans le serveur et ont crée l'horodatage, pas vos scripts utilisateur. De cette façon, vous pouvez limiter la période de temps (s) pour analyser les journaux d'activité de bot et voir ce qu'ils font. Et si rien d'autre, vous pouvez bloquer les adresses IP les robots des messages à partir.

Answer 3

Je suis surpris que quelqu'un peut conseiller Akismet et il est accepté comme réponse:

• engagement Akismet est illégale dans l'UE comme portant atteinte à la législation de protection de la vie privée ;
• Tous listes noires aide les criminels, ce qui rend Internet inutilisable par les utilisateurs légitimes ;
• Les systèmes de collecte du spam pour l'analyser sont condamnés à agir de façon rétroactive à la traîne toujours derrière les progrès des techniques de spammer et le développement de bot;
• Pourquoi accumuler et analyser le spam alimenté par des robots au lieu de bloquer les robots collecteurs de mails?