Spambot Registrierungen

Im Forum gabs bestimmt schon ein Eintrag hierzu. Ich find Ihn leider nicht :frowning:

Aktuell haben wir ca. 10 Registrierungen / Teilweise 6 - 7 am Tag die wohl von einem Spambot kommen.

Eintrag sieht meist so aus:
Vorname Nachname: rdheeneyrayfo rdheeneyrayfo
EMAIL: xxxxxxx
Strasse: The five Street
PLZ: rdheeneyrayfo
Ort: NewYork
Telefon: rdheeneyrayfo
Kundenummer: xxxxxx

Wobei Telefon, Vorname, Nachname und PLZ sich immer gleich ändern.

Martina hatte doch da mal was geschrieben!

Wie verfahrt Ihr bei diesem “Problem”? Gibs da eine Lösung?

Grüsse
Thomas

http://www.oxid-esales.com/forum/showthread.php?t=4844&page=2

War es das ?

Sollte man über die htaccess sperren können. Man muss nur in den Log-Dateien die IP-Adressen finden.
Sowas kommt oft aus China, Brasilien etc.

Naja da wird man dann ja alle Nase lang IPs pflegen müssen, und “intelligente” Spam Bots wechseln ihre IPs, und oder tunneln, oder aber nutzen IPs von infiltrierten Rechnern, die es auch in D gibt …

Da könnte sein, muss aber nicht. Muss man halt erst rausfinden. Meine Lösung ist halt einfach und schnell umzusetzen. Hat auch vor 2-3 Wochen bei einem anderen User funktioniert…

Ich habe den gleichen Spambot am Hals. Da ich die IPs der Besucher nicht mitlogge, habe ich natürlich wenig unternehmen können. Nachdem in der letzten Woche aber eine (recht übersichtliche) DDoS-Attacke meinen Server “paralysiert” hat, habe ich aber doch etwas unternehmen müssen …

Bei mir war während der letzten Woche die ganze Zeit die Konsole geöffnet. Sobald die Zugriffszeiten des Servers (logge ich über http://serverstate.de/ mit) hochgehen, oder mir der SMTP-daemon anzeigt, dass er eine E-Mail nicht zustellen konnte (passiert gelegentlich bei den Spam-Bot-Registrierungen) werfe ich einen Blick auf die Konsole und schreibe die IP (deren Standort ich über http://www.utrace.de/ erst kontrolliere) mit einem DROP-Befehl in die Iptables.

Mühselig und eigentlich auch eher als Maßnahme gegen DDoS gedacht, aber darüber erwischt man auch die Spambots.

Letzten Endes würde natürlich nur die Eintragung in eine dedizierte Firewall helfen (als Prophylaxe gegen einen fetten DDoS), aber ich habe nun mal momentan nur eine Shared-FW.

Nur mal so der Vollständigkeit halber die Konsolenbefehle.

Der Befehl “[B]netstat[/B]” zeigt Dir die Verbindungen an:

[B]netstat -tapn[/B] (zeigt Dir alle IPs)

[B]netstat -tapn | grep :80[/B] (zeigt Dir alles auf Port 80)

[B]netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n[/B] (identische IPs werden addiert)

Gibt noch viele weitere Varianten. Mit [B]netstat --help[/B] kannst Du Dir alle anzeigen lassen.

Und dann werden die Pappenheimer gedropt.

[B]iptables -A INPUT -s 111.111.1.1 -j DROP[/B] (eine Adresse)

[B]iptables -A INPUT -s 111.111.1.0/24 -j DROP[/B] (alle von x.x.x.0 bis x.x.x.254)

Man kann auch an Stelle des DROP ein REJECT setzen. Dann bekommt der Vogel eine Info, dass die Seite für Ihn gesperrt ist. Man kann ihm auf diesem Weg auch mitteilen, was man von ihm hält :D. Aber ich will lieber niemanden provozieren.

[B]iptables -D INPUT -s IP-Nummer -j DROP[/B] löscht eine falsch eingegebene Regel … falls Du Dich mal selbst rausschmeisst :wink:

Mit [B]iptables --list[/B] kannst Du Dir Regeln anschauen, die Du in die iptables geschrieben hast.

Das Ganze kann man auch über ein Skript automatisieren. Aber ich bin nicht so der Linux-Freak und noch hält sich die Nerverei auch in Grenzen.

Liest sich alles vielleicht ein wenig spröde, geht aber eigentlich recht fix und anders bin ich dem Thema nicht beigekommen. Du kannst auch mal nach [B]+Apache +GEOIP[/B] googeln. Kann auch ein Weg sein. Die Methode über die [B].htaccess[/B] geht auch (ist in diesem Blogbeitrag prima beschrieben http://www.beedy.de/2011/06/10/spamkommentare-ein-leidiges-thema/), aber gilt dann natürlich nicht für den ganzen Server. Egal wie man es macht, irgendwann leidet bei zunehmender Anzahl von Eintragungen auch die Performance, da ja erst alle Regeln durchlaufen werden müssen.

Wir können ja einen Thread aufmachen, in dem wir “böse” IPs eintragen … aber der wird lang und ganz kommt man dem Thema sicher nie bei.

Viele Grüße
Jörg

selbst Captchas helfen ja nicht mehr wirklich, nicht mal das eigentlich hochgelobte recaptcha…

Aber was ganz gut hilft, sind themenbezogene Frage/Antwort Captchas, der User muss also bei der Anmeldung eine Frage beantworten. Diese sollte aus dem Themenbereich der Webseite kommen und mit ein bis zwei Worten beantwortbar sein. Von diesen Fragen erstellt man 3 bis 5 Stück und hinterlegt die richtigen Antworten, ggf. auch mit unterschiedlichen Schreibweisen, Groß-Klein etc…

Gibt einiges zu finden dazu, das hier nur mal eben auf die Schnelle:
http://www.php-einfach.de/codeschnipsel_8719.php

Hi,

wenn ich sehe, was an Spam-Meldungen hier im Forum einläuft, können wir uns noch glücklich schätzen, dass es so glimpflich und manuell handlebar ist. Auch auf der OXIDforge gibt es mittlerweile täglich neue tolle Seiten und Benutzer, außerdem Anmeldungen, die gar nichts an Content produzieren.
Ich frage mich auch, was das soll und ob das dicke Ende vielleicht noch kommt.
Grad im Forum habe ich das Gefühl, dass es sich nicht mal um Bots handelt sondern um “echte” Accounts, dann hilft auch kein Captcha mehr :frowning:
Übrigens werden Spam-Notifications an abuse@ offenbar geflissentlich vom Server-Owner ignoriert…

Gruß

[QUOTE=Marco Steinhaeuser;68390]Hi,

wenn ich sehe, was an Spam-Meldungen hier im Forum einläuft, können wir uns noch glücklich schätzen, dass es so glimpflich und manuell handlebar ist. Auch auf der OXIDforge gibt es mittlerweile täglich neue tolle Seiten und Benutzer, außerdem Anmeldungen, die gar nichts an Content produzieren.
Ich frage mich auch, was das soll und ob das dicke Ende vielleicht noch kommt.
Grad im Forum habe ich das Gefühl, dass es sich nicht mal um Bots handelt sondern um “echte” Accounts, dann hilft auch kein Captcha mehr :frowning:
Übrigens werden Spam-Notifications an abuse@ offenbar geflissentlich vom Server-Owner ignoriert…

Gruß[/QUOTE]

Das mit den “echten” Accounts unterschreibe ich mal. Betreue selber ein Forum im Sportbereich.

Hier kommt es in den letzten Tagen/Wochen zu mehreren Registrierungen. Was auffällt ist, dass diese Benutzer sich auch mittels Emailbestätigung legitimisieren und das Sie verschiedene Webseiten angeben. Teilweise 1 Thread erstellen mit der selben Webseite oder sich nur registrieren.

Hier half bisher auch kein Google Captcha.

Ich denke mal der Hintergrund an der Sache ist Webseiten mit Pagerank 3 und höher zu verwenden um sogenannte Backlinks zu erzeugen.
Gibt sehr viele Anbieter für Backlinks kaufen. So bestimmt auch ein Paar weniger Professionelle :wink:

Grüsse
Thomas

[QUOTE=ThomasR;68331]Im Forum gabs bestimmt schon ein Eintrag hierzu. Ich find Ihn leider nicht :frowning:

Aktuell haben wir ca. 10 Registrierungen / Teilweise 6 - 7 am Tag die wohl von einem Spambot kommen.

Eintrag sieht meist so aus:
Vorname Nachname: rdheeneyrayfo rdheeneyrayfo
EMAIL: xxxxxxx
Strasse: The five Street
PLZ: rdheeneyrayfo
Ort: NewYork
Telefon: rdheeneyrayfo
Kundenummer: xxxxxx

Wobei Telefon, Vorname, Nachname und PLZ sich immer gleich ändern.

Martina hatte doch da mal was geschrieben!

Wie verfahrt Ihr bei diesem “Problem”? Gibs da eine Lösung?

Grüsse
Thomas[/QUOTE]

Moin auch,

da die Einträge immer nach demselben Muster ablaufen und eigentlich immer Vor- und Nachname gleich sind, wäre es nicht eine Möglichkeit, eine Abfrage in die Anmeldung einzubauen. Bei gleichem Vor- und Nachnamen keine Registrierung möglich?
Oder denke ich da zu einfach?

Grüße,
monster-rc

ich hab die IP’s hier:

order deny,allow
deny from 61.152.
deny from 222.184.
deny from 222.185.
deny from 222.186.
deny from 222.187.
deny from 222.188.
deny from 222.189.
deny from 222.190.
deny from 222.191.
deny from 117.40.
deny from 117.41.
deny from 117.42.
deny from 117.43.
deny from 216.55.

das in die htaccess, seit dem ist ruhe

Best Wüsches
oberleiner

Ganz ehrlich: Lasst captchas aus registrierungsformularen. das ist eine usabilitysünde hoch 10. Ihr möchtet spambots dabei behindern das sie sich registerieren können, was aber viele nicht bedenken ist das captchas (je “stärker” sie sind) jeden Kunden behindern bei euch zu kaufen. Der Kunde muss immer möglichst wenig hürden haben bei euch zu kaufen!

Der umsatzverlust durch zu schwere bestellprozesse ist größer als die arbeit am tag 10 user zu löschen.