PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Auch mein Gästebuch wird gespammt



codac
03.03.2006, 10:41
Ich betreibe eine World of Warcraft Gildenseite.
Unser Gästebuch wird seit einigen Tagen vollgespammt.

Hier der Link zum GB:
http://www.darkbones.de/modules.php?name=Guestbook

Aussehen tut sowas z.B. folgendermaßen:
Nick: Hayden
Spam-Schutz
EMail-Adresse verborgen
http://cialiss.blog.kataweb.it/cialis-online.html
Good design!
--------------------------------------------------------------------------------

2.3.2006 16:59 | Host: cust.fiber-lan.vnet.lk.85.194.50.159.stunet.se |

Der Host ändert sich mit jedem Eintrag und die Homepageadresse ebenfalls.

was kann ich dagegen tun?

Wie kann ich z.B. seine IP sperren, wenn der Host ständig wechselt?

derSCHMIDT
03.03.2006, 11:39
du könntest eine einfache Sperre einbauen wie das ein Freund von mir gemacht hat. Seitdem hat er Ruhe vor diesen Pennern.
Siehe hier (nospam/bäh spam): http://www.stohl.de/sunlog/entry.php?id=02259#comments

codac
03.03.2006, 13:01
hmm naja das wäre etwas umständlich...

ich habe versucht den spammer über die ip-range zu blocken..

.htaccess:

ErrorDocument 403 403.html
Order deny,allow
Deny from 221.144.0.0
Deny from 80.84.128.0
Allow from all

Scheinbar funktioniert das aber nicht.. wie kommts?

Goofy
03.03.2006, 15:15
ich habe versucht den spammer über die ip-range zu blocken..
Scheinbar funktioniert das aber nicht.. wie kommts?

Weil der Spammer jedesmal wieder mit einer neuen IP arbeitet (meistens wohl chinesische Proxies).

Spamgegner
03.03.2006, 18:10
Eleganter fände ich es, wenn man für einen Gästebuch-Eintrag ein Zufallswort oder Code eingeben müsste.
So etwas lässt sich auch recht leicht realisieren.

codac
04.03.2006, 13:31
hättest du da ein beispel bzw. quellen!?

Spamgegner
04.03.2006, 15:23
Also Du hast ja eine Seite, auf der der Eintrag eingegeben wird.

Wenn diese ein PHP oder Pearl-Script ist, kannst Du via Zufallsgenerator einen Zufallscode generieren lassen und diesen entweder in einer MySQL Tabelle oder einer Datei speichern. Zu dem Code speicherst Du auch noch die IP-Adresse des Besuchers (Und am besten noch das aktuelle Datum). Der Code wird dem Besucher auf der Eintragsseite angezeigt und muss dort in einem Feld mit eingegeben werden. Wenn der Eintrag gespeichert werden soll müsste das Script prüfen dann ob Zufallszahl und IP-Adresse stimmen, bzw. vorhanden sind.

Wenn ja wird der Eintrag angenommen und gespeichert.
Wenn nein wird der Eintrag abgelehnt und das Eingabe-Feld (mit dem eingegebenen Eintrag) wieder angezeigt. Ebenso wird eine neue Zufallszahl generiert, die die bisherige Ersetzt.

Bei der generierung und Speicherung solltest Du natürlich prüfen, ob die IP-Adresse des Besuchers bereits gespeichert ist und ggf. einfach den vorher gespeicherten Zufalls-Code ersetzen.

Wenn du zu Zufallszahl und IP-Adresse wie oben vorgeschlagen auch noch Datum und Uhrzeit, bzw. den Unix-Timestamp mitspeicherst kannst Du diese nach einem willkürlichen zeitraum automatisch löschen lassen.


Das sind jedenfalls so meine ersten Gedanken dazu...

Spam-Killer
05.03.2006, 07:28
Es gibt sehr viele Möglichkeiten ein GB durch Programmierung vor Spam-Einträgen zu schützen. Leider keine mit 100% Erfolgsgarantie.
Eine Graphik oder einen Zufallscode generieren zu lassen ist ein Hindernis aber kein unüberwindbares für Spammer. Über eine Sicherung per .htaccess bestimmte IP's zu sperren ist leider auch nicht so empfehlenswert, da die Spammer ihre IP's sekündlich wechseln können. Ich habe logins von einem Spammer innerhalb einer Sekunde mit sechs verschiedenen IP's. .
Vielleicht in diesem Zusammenhang mal diese Seite ansehen:
http://blog.koehntopp.de/archives/509-UEber-Spam.html
Zitat:"
Wichtig sind auch Mechanismen, die einem Kommentator beim ersten Zugriff auf ein Blog einen kryptographischen Cookie geben - Kommentare von Personen ohne Cookie werden moderiert, Kommentare von Personen mit Cookie, deren Kommentar einmal positiv moderiert wurde, werden zugelassen (und der Cookie wird mit jedem Kommentar gespeichert, so daß man retroaktiv alle Kommentare mit dem gleichen Cookie in einem Arbeitsgang löschen kann)..."
Sinnvoll ist aber immer nur eine Kombination verschiedener Filter.
Als erstes empfehle ich aber immer wieder ein generelles Werbeverbot als Hinweis.
In diesem GB ist Werbung unerwünscht und verboten. Zuwiderhandlung wird strafrechtlich verfolgt.

Erst wenn das deutlich ist, wird es für den Spammer gefährlich. Das gilt für Personengruppen, die z.Bsp. deutschem Recht unterstehen und das trifft auf die Tätergruppe *blackjack* mit Sicherheit zu.
siehe auch: http://www.antispam-ev.de/forum/showthread.php?t=10191&page=3
Alleine der Hinweis bewirkt eine Reduzierung der Spam-Einträge dieser Gruppe um mindestens 80% und man hat erst dann eine rechtliche Grundlage. Eine Reduzierung deshalb, weil Phen alias cialis etc. vorsichtig wird. Seine massenhaften Einträge sind weg aber er versucht z.T. geschickt simple einzeilige Posts als normale zu tarnen.
Den Rest kann man dann auch noch fast komplett ausfiltern.
Gestern habe ich mir das mal angesehen :
http://www.antispam-ev.de/forum/showthread.php?t=9958
http://freewebs.com/grauzone/diarrhea.zip
in dem Script adress.php ist z.Bsp. eine Funktion, die versucht die wahre IP eines Zugriffs herauszufinden. u.s.w.
Kommt darauf an, wie gut Du programmieren kannst. :cool:

Spamgegner
05.03.2006, 11:02
Naja Zufallscodes verhindern automatisierte Einträge. Wenn jemand von Hand spammt bringen die natürlich nix (Aber wer tut das schon im großen Stil?).
Und Cookies lassen sich auch leicht von Hand löschen, deshalb hat auch Deine Methode Lücken.
Zudem muss gem Bundesdatenschutzgesetz auf die Verwendung von Cookies hingewiesen werden.
Rechtliche Hinweise helfen in der Praxis nur bei Spammern aus Deutschland, da die meisten Spammer aber im Ausland sitzen haben die keine Angst vor sog. rechtlichen Konsequenzen.

Was man tun kann ist Spammern ein wenig den Spass zu verderben, in dem man URLs in php-scripts via ereg_replace(); ein wenig verändert oder aussortiert.

Man kann eine Liste von verbotenen URLs anlegen. Wenn eine solche URL in einem Eintrag angegeben wurde wird der Eintrag in einer Quarantäne-Datei gespeichert oder als Spam-Markiert und für wenige Minuten gespeichert, um den Spammer zu täuschen.
Auch das bringt zwar nicht viel, wenn Spammer immer andere URLs benutzen, aber man kann ihnen ein wenig den Spaß verderben...

Am Ende hilft wohl nur eine Kombination aus allen Methoden um den Spam in einem GB massiv einzudämmen. Wobei sich hier auch die Frage stellt, in wie fern sich der Aufwand lohnt.

Spam-Killer
05.03.2006, 11:21
"Aber wer tut das schon im großen Stil ..."
Genau der von dem wir reden bzw. von dem ich rede. Alle Einträge die ich auf http://www.darkbones.de/modules.php?name=Guestbook gesehen habe sind von der Gruppe *blackjack*. Das kann man sich kaum vorstellen aber es ist kein Bot sondern vermutlich 2 Deutsche.
Diese Irren verursachen ein schier unglaubliches Spam-Aufkommen. Sie sitzen Tag und nacht vor dem Computer und treiben hauptsächlich manuell aber auch per Script ihr Unwesen.

Spamgegner
05.03.2006, 11:57
Am einfachsten ist es dann wohl, das Angeben von Homepages zu verhindern, bzw. nicht zu zulassen. Ist zwar ne Einschränkung der ehrlichen Besucher aber ich sehe in dem Fall kaum eine andere Möglichkeit...

Spam-Killer
05.03.2006, 12:32
Als der bei mir sein Unwesen trieb war es das erste, was ich machte. Ich verhinderte zuerst, daß Links im Textbereich als Link erschienen und schließlich mußte ich auch bestimmte Teile des Strings wie 'http, www., URL u.s.w.' entfernen. Danach war das Setzen eines Links im Textfeld nicht mehr möglich.
Anhand einer badwordlist verhinderte ich zusätzlich noch die meisten Einträge.
Damit habe ich ihm zwar gründlich den Spaß verdorben, aber er hörte nicht auf. Als ich Phen und blackjack Eintragungsverbot erteilt habe, hat er noch einmal einen Eintrag unter gambling vorgenommen. Dann ist mir der Geduldsfaden gerissen und ich habe ihn direkt darauf angesprochen, daß er sich nennen kann wie er will. Nach meiner Recherche und mittels Programmierung war ich fast sicher es mit einer Person zu tun zu haben, die mehrere Namen und wechselnde IP's benutzt. Als ich das Verbot generell machte und er sich ertappt fühlte, war er nicht mehr zu sehen.
Sichtbare Einträge habe ich nicht mehr aber Zugriffe auf die *.php per POST ohne sichtbaren Eintrag. Merkwürdige vereinzelte Zugriffe per Bot etc.
Es könnte sein, daß er auf diesem Weg auch Unheil anrichten kann. Momentan weiß ich aber noch nichts genaues.

202.56.224.42 - - [01/Mar/20xx:xx:xx:33 +0100] "POST /Gaeste.php HTTP/1.1" 200 5 "-"

sowas ohne sichtbares Posting.

Grüße an alle, ich muß weg. ;)
bis später

codac
05.03.2006, 14:09
super Leute!! Vielen dank für die ganzen Posts!
Ich werde mal sehen welches Vorgehen was bewirkt!

Auf jeden Fall komme ich so schonmal ein gutes Stück vorwärts!

Spam-Killer
05.03.2006, 18:53
Fang bitte mit einem gut sichtbaren generellen Eintragungsverbot an und tue so, als könntest Du alle Einträge genau zuordnen. Manchmal ist er sehr geschickt getarnt und tätigt nur einen kurzen Eintrag.
Solche Tricks müssen umgehend durchschaut werden. Wenn er merkt, daß er auch damit kaum Erfolg hat und identifiziert wurde, gibt er meistens gleich auf.
Viel Glück

Spastispam
07.03.2006, 02:02
Fang bitte mit einem gut sichtbaren generellen Eintragungsverbot an und tue so, als könntest Du alle Einträge genau zuordnen. Manchmal ist er sehr geschickt getarnt und tätigt nur einen kurzen Eintrag.
Solche Tricks müssen umgehend durchschaut werden. Wenn er merkt, daß er auch damit kaum Erfolg hat und identifiziert wurde, gibt er meistens gleich auf.
Viel Glück

Eintragsverbot...
Dass ich nicht lache.
Das sind Bots, du Spezialist. Die können nicht mal lesen, noch Deine Drohungen je verstehen. LOL.
Wann merkst Du das denn endlich?

Eine "Tätergruppe" wäre wohl 32 Stunden am Tag (man bedenke, daß der Tag bloss 24 Stunden hat) damit beschäftigt all diesen Spam (alleine in Deutschland) zu posten...


Ist Euch eigentlich schon mal aufgefallen, daß es sich hierbei immer um ein und dieselben Arten bzw. Typen von Open Source Gästebüchern handelt? Wei diese GBs nämlich alle auf ein und dieselben PHP Login Skripte und Formular Submit Verfahren zugreifen. Es passiert niemals bei Gästebüchern, die von Grund auf selbst geschrieben wurden.

Sehr typisch und unverkennbar für Bot-Aktivitäten also.

mac
11.03.2006, 21:39
hallo aus wien,


Es passiert niemals bei Gästebüchern, die von Grund auf selbst geschrieben wurden.
naja, ganz so isses ja nicht (sag niemals nie ;) , eines meiner ist von grund auf selbst geschrieben und wurde auch zum opfer (jetzt aber nimmer)

wenn man einfach nur ein einfaches formular erstellt, nur die variablen auf deren plausibiltät überprüft, die variablen dann auch noch so einfallsreich benamst wie (name, email, message oder nachricht) dann kann das schon passieren, das ein selbst erstelltes gbook auch solchen angriffen ausgesetzt wird,

wenn das dann der fall ist, muss man sich dann eh wieder was überlegen und das gästebuch dann noch weiter absichern

lg
mac

Claus
12.03.2006, 19:20
Mein Guestbook erfordert zur Verifizierung die Eingabe eines festgelegten Wortes, das auch nicht einfach ausgelesen werden kann. Seitdem ist Ruhe im Schacht und keine automatisierten Einträge mehr zu verzeichnen. :D

Spastispam
16.03.2006, 20:29
Mein Guestbook erfordert zur Verifizierung die Eingabe eines festgelegten Wortes, das auch nicht einfach ausgelesen werden kann. Seitdem ist Ruhe im Schacht und keine automatisierten Einträge mehr zu verzeichnen. :D

Ja, richtig. Bloss mit dem kleinen Nachteil, daß die echten Besucher Deiner Webseiten dafür bezahlen müssen, indem sie zusätzlich genervt und bestraft werden. Schlechte Idee nach meiner persönlichen Meinung.

Claus
16.03.2006, 21:33
Ich sehe die kleine Eingabe nicht als besonders nervig und wem das zuviel ist der muß eben ohne Eintrag gehen. Aber lieber ein paar Einträge weniger aber dafür SPAM frei.