Registrierungs-Spam vermeiden / Bot Registrierungen aussperren


#1

System: OXID CE 4.10.1 auf einem Strato V-Server mit CentOs, weitestgehend out of the Box.

In den letzten Tagen erleben wir eine Vielzahl von BOT Registrierungen. Irgendwelche chinesischen Bots versuchen im Sekundentakt Benutzerkonten anzulegen. Dies funktioniert auch, wir merken es meist erst dann, wenn die E-Mail Adressen für die Kontobestätigungen bouncen.

Wenn wir das mitbekommen holen wir uns aus den Apache Logs die IP der Session und sperren die IP per IPTables aus. Dann schauen wir uns den Adressbereich an und sperren bis zum höchstmöglichen Punkt der Adresse.

Glücklich bin ich mit der Lösung aber nicht. Meist sind trotzdem 50 Konten angelegt, die man mühsam wieder löschen muss.

Ein paar Fragen:

  • Gibt es Kollegen mit ähnlichen Erfahrungen?
  • Gibt es eine Quick und Dirty Möglichkeit, das Captcha aus dem Kontaktformular in die Registrierung einzubauen?
  • Habt ihr besser Ideen bzw. Möglichkeiten, wie man das Problem in den Griff bekommen kann?

Danke & Grüße, Torsten


Massenhafte Anmeldungen
#2

eine Lösung:

  • in den Formularen ein über css verstecktes Eingabefeld mit dem Namen ‘url’
  • bots füllen dieses Feld brav aus
  • wenn Feld gefüllt -> die()
  • evtl. kann man noch IP zukünfig blocken …

#3

Eine Möglichkeit wäre z.B. unser Google ReCaptcha: https://www.responsecommerce.de/OXID-Module/Google-ReCaptcha.html


#4

Ich hatte das gleiche Problem. Ich verwende das Honeypot-Modul von Oxid-Design https://www.oxid-design.com/blog/spam-schutz-mit-honeypot/
Leider greift der Honeypot nicht (?). Mit der zusätzlichen Captcha-Funktion klappt das aber. Vorsicht beim GEO-Blocking. Damit habe ich mir dann den Unmut der Angreifer zugezogen. Ich hatte dann so viele Angriffe, dass der Server in die Knie gegangen ist.


#5

Versteckte Felder sind nicht zu empfehlen.
Bei einer der nächsten Updates würde Chrome die Seite als unsicher anzeigen.


#6

hast Du dazu mehr Infos?
In den Projekten wo ich das verwende habe so etwas noch nicht gesehen


#7

Danke für die Vorschläge. Sowohl der Ansatz mit dem Captcha als auch mit dem HoneyPot sind aus meiner Sicht eine gute Idee.

Die Frage die sich mir stellt, wäre ob man das Problem nicht auf Seiten des Betriebssystems mit dynamischen IP Sperren und iptables lösen kann? Hat da jemand Erfahrung?


#8

Wir arbeiten seit langem damit http://www.bot-trap.de/home/ Lässt sich individuell anpassen. Es können zudem eigene Black - und Whitelist angelegt werden.