Seite 3 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 21 bis 30 von 36

Thema: Schläfer auf Foren?

  1. #21
    Mitglied Avatar von Q__
    Registriert seit
    22.02.2006
    Ort
    Continuum
    Beiträge
    398

    Standard

    Da hat doch heute schon wieder so ein Spritzer um Einlass gebeten: ted for pan* mit [Link nur für registrierte Mitglieder sichtbar. ] .... whois:hiretin.info ergibt: "The requested URL / was not found on this server."

    Seine angegebene Website whois: [Link nur für registrierte Mitglieder sichtbar. ] ist völlig leer (und sein Account in meinem Testforum mit einem Posting wird weiterhin gesperrt bleiben :P )

    Er hat "english" als Board-Sprache gewählt... Was er will, wird mir bis auf weiteres verschlossen bleiben...

    Gruß,
    Q

    *) googlefreundliche Leerzeichen von Q eingefügt...
    Live long and prosper =/\=

  2. #22
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Glückwunsch! Du hast einen Bot der [Link nur für registrierte Mitglieder sichtbar. ] gewonnen.

    hiretin.info = 69.50.161.61 = [Link nur für registrierte Mitglieder sichtbar. ]

    Leider musst du deinen Gewinn mit vielen Leidgenossen teilen: [Link nur für registrierte Mitglieder sichtbar. ]
    Irren ist menschlich - aber für richtig dumme Sachen braucht man einen Computer.

  3. #23
    Mitglied Avatar von Q__
    Registriert seit
    22.02.2006
    Ort
    Continuum
    Beiträge
    398

    Standard

    Zitat Zitat von Sirius Beitrag anzeigen
    Glückwunsch! Du hast einen Bot der [Link nur für registrierte Mitglieder sichtbar. ] gewonnen. ]
    Danke, danke, ich bin sooo gerührt vor zu viel Ehre...


    Zitat Zitat von Sirius Beitrag anzeigen
    Leider musst du deinen Gewinn mit vielen Leidgenossen teilen: [Link nur für registrierte Mitglieder sichtbar. ]
    Nun ja, da ich nicht so gerne teile, habe ich meinen "Gewinn" eben nicht angenommen...

    Gruß,
    Q
    Live long and prosper =/\=

  4. #24
    Neues Mitglied Avatar von Fuxe
    Registriert seit
    16.09.2006
    Beiträge
    38

    Standard

    Zitat Zitat von Marlowe Beitrag anzeigen
    Ist meines Wissens aktiviert, ich habe mich auf dem Foum lang nicht mehr neu registriert.

    Wie bereits erwähnt, die technischen Schutzmassnahmen sind bekannt, die entsprechende Knowledge ist mit Sicherheit auch vorhanden, mir geht es nur darum, ob ähnliches auf anderen Foren auch bekannt ist.

    Hi, Marlowe.

    Auch ich bin Mod auf einem grösseren Board und habe genau dieselben Probleme wie Du.

    Ich bin mittlerweile dazu übergegangen, die Userliste jeden Tag durchzugehen, die ganzen Bots zu kicken und mit den gewonnenen Daten die Bannliste zu füttern...

    Anders gehts nicht; das Captcha ist für die Bots kein ernstes Hindernis.

    Gruss
    Fuxe

  5. #25
    Mitglied Avatar von Q__
    Registriert seit
    22.02.2006
    Ort
    Continuum
    Beiträge
    398

    Standard

    Interessant, heute hat mir der Bot den User wko toh rof ( [Link nur für registrierte Mitglieder sichtbar. ]) whois:foteret.info für whois: [Link nur für registrierte Mitglieder sichtbar. ] vobeigeschickt!

    Email wieder aus Miami, Domain wieder von softlayer°com. Lt. Server-Log kam der Bot diesmal von whois:66.98.172.235

    Da beide Webseiten auch diesmal leer erscheinen, schlußfolgere ich mal: damit der Foren-Admin nicht sofort aufmerksam wird, sind die Schläfer-Webseiten zunächst leer. Damit soll vielleicht noch der Pagerank verbessert werden.

    Irgendwann mal - bei gutem Rank vielleicht? - werden die verlinkten Seiten dann mit Inhalt gefüllt oder - nun wertgesteigert - gewinnbringend verhökert!



    Gruß,
    Q


    PS: Ganz offensichtlich stellt für diesen Bot das phpBB-Captcha keine Hürde dar!
    Geändert von Q__ (17.09.2006 um 13:02 Uhr) Grund: PS
    Live long and prosper =/\=

  6. #26
    Neues Mitglied
    Registriert seit
    25.08.2006
    Beiträge
    22

    Standard

    In einem gar nicht so grossen Board notiere ich tgl. im Durchschnitt 12 solche Versuche. Zunehmend viele haben mit Captchas auch kein grosses Problem. Dieses Board läuft nun in der Ecke "Hobby" und themenbedingt gibt es dort schon genug "echte Krisenpatienten" abzuwehren. Beim Morgenkaffee regelmässig erstmal einige Bots manuell wegzuräumen, macht da ehrlich wenig Freude.

    Anstelle laufend irgendwelchen mehr oder minder guten MODs hinterherzujagen, die dann spätestens wegen ihrer Verbreitung doch wieder rasch ausgehebelt werden, habe ich daher neulich mal in den Apfel gebissen, etwas Zeit investiert und einfach weniger standardisierte Änderungen nach eigenem Gusto eingebaut. Seitdem ist noch kein einziger Bot durchgekommen.

    Im wesentlichen sind die Änderungen dabei alles andere als grossartig. Die meisten generischen Bots stolpern bereits, wenn der nötige Wert für den mode-Parameter mal nicht 'register' ist. Das lässt sich notfalls auch mit relativ beschränkten php-Kenntnissen und fast blind bewerkstelligen, trifft in einem File aber schon einige Stellen (vielleicht zuviele als dass jemand das in irgendeinem Standard-MOD machen würde). Dahinter heisst das Spiel hauptsächlich weiter "Parameter etwas ändern und Fallenstellen", wie auch bei Gästebüchern, nur mit etwas produktbezogener Phantasie und immer etwas abseits vom Standard. Details behalte ich für mich. Wichtig aber: Ich habe bisher nur einen einzigen Fall gesehen, der wirklich einmal zu parsen schien, aber dummerweise dabei mit einem unsinnigen Referrer ankam. Man braucht also wirklich nicht gleich eine riesige Orgie loszulassen.

    Erwähnenswert ist noch, dass bei getriggerter Falle bei diesem Board das ganze /16 über 24h für Folgeversuche mit einem freundlichen Hinweis gesperrt wird. Das nicht per phpbb-Ban, sondern isoliert nur für Profil-Operationen draufgesetzt. Kollateral-User können weiter normal auf das Board zugreifen. Es lag dabei nah, den Mechanismus etwas handhabbarer zu gestalten als die IP-Bans in phpbb, d.h. die wesentlichen dauerhaften Sperren z.B. von APNIC-Netzen laufen nun auch auf dem Weg und für den Fall, dass ein echter User in seinem Urlaub betroffen ist, gibt es eine eigene Meldung.

    Dazu wird seitdem alles separat geloggt, was bei einem Anmeldeversuch übertragen wurde. Das ist mit das wesentliche. Diese Infos gingen bisher bisher leider verloren. Und dabei bin ich auch endlich beim eigentlichen Thema.

    Die notorischen Bot-Kampagnen auf dieses Board kommen z.Z. aus zwei primären Richtungen mit unterschiedlichen Schemata:

    1. Yambo

    Die Anmeldungen kommen allesamt aus Asien, die Mail-Adressen sind klassische Yambos, wie bekiso.info, foteret.info, hiretin.info, kerasifo.info, die Webhosts liegen alle im 208.101.0.0/18 von softlayer.com.

    Die Namen der Web-Domains passen dabei sehr gut ins Yambo-"Portfolio": softwaretoplist.com, touslogiciels.net, electronicsfr.com, perscare.net. Software und Viagra passt hier.

    Zum Weiterverhökern nach PR-Aufbau sind diese Aktionen sicher nicht gedacht - jedenfalls nicht im klassischen Sinn, höchstens als Motivation für einen Partner. Meine Vermutung ist, dass für diese Domains eine Grundbekanntschaft aufgebaut wird und bald die Email- bzw. Kombi-Spams folgen, die dann auf entsprechende Shops dort verweisen. Dann wird kurz eingesammelt. Evtl. ziehen die Domains nochmal um, bevor Content drauf kommt. Als Umzugsort würde ich einen der asiat. Standorte vermuten, wenn's was grösseres wird. Aber das muss nicht sein: Mitten in einer Pharma-Kampagne ist man letzte Woche auch mal von Asien auf anscheinend unbedarfte US-Hosts gegangen.

    2. unklare Quelle (wahrscheinlich verwandt; es gibt Überlappungen)

    Die Anmeldungen kommen gerade primär aus Süd- und Mittelamerika, die Mail-Adressen liegen bei Providern und Forwardern verschiedenster Grösse, die Webhosts im 85.255.112.0/20 von inhoster.com und laufen auf verschiedene Ukrainer.

    Die URLs sind verschiedene Kombinationen aus "Hotel"-Zeug, Casino, sexuellen Begriffen in verschiedenen Sprachen usw. Content ist jeweils vorhanden: vorwiegend Sexkram und anderer Schmodder auf unterschiedlichste Weise angekocht. Analyse fehlt bisher. Ich habe auch keine rechte Idee, was das im Bündel soll. Vielleicht ganz einfache Zielgruppenauslese: Wer DA ernsthaft weiterguckt, hat mit Sicherheit irgendeinen Notstand, nicht nur an dem Abend zuviel getrunken, garantiert keine alternative Befriedigungsmöglichkeit und ist ein echtes Opfer.
    dig -x 222.252.79.106

  7. #27
    Mitglied
    Registriert seit
    09.09.2006
    Beiträge
    149

    Standard

    Na, das schräge bei uns ist halt, dass diese "Schläfer" echte Tarnschläfer sind. Usernamen sind relativ unauffällig, IPs aus dem Apnic-Bereich, als Mailer werden gerne whois:gawab.com und whois:mail.ru verwendet.

    Als Schläfer bezeichne ich sie, weil eben keine Werbung im Profil eingetragen ist. Keine Webseiten, nix.

  8. #28
    Neues Mitglied
    Registriert seit
    22.11.2006
    Beiträge
    1

    Standard

    Zitat Zitat von MeinerEiner Beitrag anzeigen
    Es gibt aber möglichkeiten dies auch zu verhindern. Wie schon angesprochen verschlüsseln den der Admin kann auch das Passwort eines Users nicht sehen selbst wenn er es wollte es würde schon einiges an mühe mache es zu entschlüsseln. Das Ver - und Entschlüsselb geht aber immer zu lasten der Rechnerleistung was bei langen Texten zu Problemen führen kann.
    Das es zu Lasten der Rechnerleistung geht ist ja noch (logischerweise) richtig. Dass dies bei langen Texten aber zu Problemen führen könnte aber mit absoluter Sicherheit falsch. Gemessen an der Gesamt CPU-Zeit die pro Post verbraten wird, handelt es sich um höchstens den Bruchteil eines Prozentes ... die da zusätzlich verbraten werden würde ... es genügte nämlich eine Extremeinfachverschlüßelung der PN Texte um Admin klar zu machen:

    Hier hängt ein Schloß vor. Du mußt einen Dietrich benutzen um das Schloß zu öffnen.

    Mir persönlich ist es egal ob ein Admin meine PN´s liest den wer in seinen PN_s was schreibt was ein Admin nicht wissen darf ist selbst schuld.
    Ja ja, dumme User wie Miss daisy oder ich sind mal wieder selber schuld.

    Nein Gutster, so einfach ist das nicht. Dass bezüglich des Postgeheimnisses bei Admins jegliches Gefühl für Moral und Anstand verloren geht ... daran seid Ihr schon selber schuld ... die Entwickler der Boards tragen natürlich das ihrige dazu bei ... Deinem Ich habe 3 Versch. Foren im Einsatz und es gibt für jedes einen "Hack" das man die PN_s direkt lesen kann entnehme ich, dass diesbezüglich ja ein regelrechter Wettbewerb zu herrschen scheint, die Hürde PNs zu lesen gegen NULL tendieren zu lassen.
    Geändert von Bell (22.11.2006 um 14:07 Uhr)

  9. #29
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Kann vielleicht ein Schnellschuss sein, aber mir will gerade nicht einfallen, wie man PNs effektiv verschlüsseln kann, so dass der Admin drauf keinen Zugriff hat.

    Das würde doch eine Verschlüsslung per public/private-Keys erfordern?
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  10. #30
    Neues Mitglied
    Registriert seit
    25.08.2006
    Beiträge
    22

    Standard

    Das liest sich langsam schon ein wenig paranoid...

    @exe: Hast schon Recht. Mit etwas techn. Verstand (mal mehr mal weniger) oder eben einem öff. Hack zum Thema ist für jeden mit ausreichenden Rechten auf der Maschine jede Verschlüsselung leicht knackbar, die mit reinen Forenmitteln passiert. Das bräuchte dann schon private Mittel der beiden PN-Partner und/oder Key-Verfahren.

    Aber was soll das?

    1. Sicher gibt es einige Foren, in denen sich die "Admins" als sonstwas fühlen mögen und in die PNs lunzen. Aber wer sich in solchen pubertären Dingern bewegt, braucht sich soch bitte auch nicht zu wundern, wenn die Vertraulichkeit auf gleicher Schiene läuft. Und ob das, was da per PN ausgetauscht wird, sooo interessant für den Rest der Welt ist, wage ich zu bezwefeln. Das Thema hat i.a. doch eher eine ähnliche Güte wie die Sorge, dass jemand ein Papierbriefchen zwischen Schulbänken abfängt.

    2. In ernsthafen Foren mit ernsthaften Betreibern sollte sowas wirklich kein Thema sein. Da kenne ich auch keinen, dem solche Lunzerei irgendwie in den Sinn käme.
    An eine einzige Ausnahme kann ich mich erinnern. Dabei lag ein stark begründeter Verdacht vor, dass ein Teilnehmer das Forum zur Anbahnung illegaler Geschäfte missbraucht. In dem Fall hat schliesslich 1 Admin in Abstimmung mit 2 weiteren den PN-Verkehr kurz in Augenschein genommen, konnte ein Nein geben und hat sich danach wieder um anderes gekümmert. Gut, dass dabei keine verschlüsselte Kommunikation lief. Sonst wäre rasch ein ziemliches Fass draus geworden.

    3. Allgemein: Wirklich vertrauliche pers. Infos benötigen auch entsprechende Kanäle. PNs in irgendeinem Forum, das möglicherweise noch irgendwo billg hingepfriemelt ist, gehören i.a. klar nicht dazu.

    Aber zurück zum alten Thema:
    Es mag sie geben, aber in eigenen Foren habe ich immer noch keinen Bot gesehen, der nach Registrierung tatsächlich PN-Spam ausgespuckt hätte. PN-Spambots würde ich wegen der geringen Reichweite auch nirgends grossartig erwarten - jedenfalls nicht, wenn nicht dabei über Riesenlücken echte Mails an sonstwen generiert werden können. Vielleicht mal von einem vereinzelten planlosen Script-Kid oder eher noch von jemandem, der dem konkreten Forum Ärger machen will. Aber das ist was anderes.
    dig -x 222.252.79.106

Seite 3 von 4 ErsteErste 1234 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen