WoltLab Community Forum

Quoted from "Black Rider"

Bei mir kommt da der entsprechende Inhalt.

also bei mir ist zwar der text der variable eingetragen aber er kommt nicht.... da der user englisch ist und das paket keine englische variable enthält und auch nicht darauf achtet was der für eine sprach der admin eingestellt hat

Dann solltest du dich mal beim Plugin-Hersteller melden.

Ja, das Plugin funktioniert nun endlich!

Ich benutze Deutsch-Du und da ist der Mailtext vorhanden.

Falls ihr (wie ich) eine Rezension mit niedriger Bewertung zum Plugin geschrieben habt, so bearbeitet die doch bitte. Ich glaube, der Autor hat da jetzt echt viel Arbeit reingesteckt und da sollte das Plugin besser bewertet werden. Ich selbst muss meine Rezension auch noch überarbeiten.

Quoted from "dpssl"

Vielleicht erklärt das einiges:
http://www.youtube.com/watch?v=mqIwwkqR-…player_embedded

Interessant ist vor allem folgendes... Wenn man sich die Seite ansieht, die diese Software vertreibt (ist eine typische amerikanische Verkaufsseite...) sieht man auch eine schöne Auflistung, mit welcher Forensoftware das ganze funktioniert.

Für interessierte hier mal der Link als Code eingefügt (Leerzeichen entfernen)



Unter anderem gibt's hier auch ein "Auto Captcha Solving"... Soviel dazu, dass hier "echte" Menschen dahinter sitzen Ich konnte gestern bei 3 meiner Foren die gleiche Anmeldung innerhalb von 2 Minuten verfolgen. Schneller konnte das Script scheinbar nicht arbeiten

Warum ist das Woltlab Burning Board ein Spammer freundliches Forum, vbulletin taucht aber in dieser Liste gar nicht erst auf ?

Da könnten wir jetzt auch ein lustiges Frage/Antwort Spiel draus machen

Interessant wäre es auch - nach meinem Blick über den Tellerrand - warum es bei der Konkurrenz von offizieller Seite nützliche Tipps und Tricks zur Spam-Abwehr gibt, hier im Forum das ganze aber auf Admins + Plugin-Entwickler abgeschoben wird.

Gerade unsere amerikanischen "Freunde" haben sich als erste über SPAM beklagt.
Die sollten so eine Seite sofort dicht machen.
Wenn man sich mal vorstellt wie viel unnötigen Traffic die Kunden dieser Bots im Internet verursachen ....

Was könnte denn als Ersatz für Captchas herhalten?
Selbstdefinierte Fragen und Antworten? Bei mehrsprachigen Foren wahrscheinlich schon wieder schwierig ....
Komplizerte Matheaufgaben?

Ich denke auch, das man hier ganz schnell tätig werden muss.

Ich sehe selbstdefinierte Fragen und Antworten als ersten richtigen Schritt... Bei mehrsprachigen Foren müsste man das ganze von der ausgewählten Sprache abhängig machen. Dann müsste es eigentlich funktionieren.

Gegen echte Menschen, die Spam verbreiten wollen hilft dies auch nicht wirklich, dass ist klar. Da es sich hier aber um automatisierte Vorgänge handelt, wäre dieses Problem damit wohl erledigt.

Welcher Spammer nimmt sich schon die Zeit, um in hunderten von Foren nachzusehen, wo welche Fragen hinterlegt sind und wie man diese beantwortet

Ich habe kürzlich ein nettes Beispiel bei einem vbulletin Forum gesehen...

Bei der Registrierung erscheint ein kleines Fenster mit dem Hinweis, sich die Forenregeln genau anzusehen, da es hierzu eine Sicherheitsfrage gibt.

Anschließend wurde zusätzlich zum Captcha die Frage gestellt, ob es eine Mindestbeitragszahl gibt, damit man Angebote im Marktplatz einstellen darf. Die Antwort war zwar relativ einfach (Ja), trotzdem wirksam.

Ziel erreicht meiner Meinung nach... Neue User kennen sofort eine wichtige Forenregel, Spambots haben ein Problem damit...

Ich habe extra bei diesem Admin nochmal nachgefragt. Spam Probleme dieser Art kennt er auf alle Fälle nicht.

Auch für diese Fragen gibt es genügend Bots die drauf abgerichtet sind. Das sind alles Techniken die es schon seit Jahren gibt. Man kann es versuchen den Bots so schwer wie möglich zu machen, aber aussperren wird man sie nie komplett können.

Die effektivste Möglichkeit hat nestrak bereits genannt. Die Registrierung nur bestimmten IP Bereichen erlauben.

Meines Wissens nach wurde Googles "reCaptcha" noch nicht geknackt. Da ich das einsetze und trotzdem viele Spammer habe, gehe ich davon aus, dass es definitiv echte Menschen sind, die zumindest die Captchas lösen.

Im Beispielvideo gab es doch ein Eingabefeld, wo das Captcha als Text erschien. Kann es nicht sein, dass man das dort selbst eingeben kann und der Bot den Rest macht?

Edit: Ich beobachte laufend, wie sich hier im Woltlab-Supportforum Bots registrieren und ihr Benutzerprofil bearbeiten. Aber es erscheinen keine Links. Hat Woltlab womöglich ein eigenes Plugin entwickelt, welches die Bots vom Profilspam abhalten?

Nur mal eine kleine Statistik für diesen Monat von meinem Forum (Stand 12:00 heute Mittag):

Aufrufe der Registierungsseite: ~1000
davon Crawler: ~100
Aufruf von echten Registrierungsversuchen: ~50
Dann noch Abzug einiger Testaufrufe um die ich Mitglieder gebeten hatte: ~50

Rest ca. 800, davon muss ich ca. 40% als doppelt gezählt (die "&action=register") abziehen = ~320
(nur ca. 40%, da das "&action=register" seit ein paar Tagen abgefangen wird und diese Art von Registrierungsversuche erst gar nicht bis dahin durchkommt)
Dann verbleiben ca. 480 in diesem Monat, sagen wir einmal pauschal 450 Spam-Accounts-Registrierungsversuche bei mir im Forum.
Durchgekommen 2, wobei ein zusl. nicht genau zuzuordnen ist, da eine nicht zustellbare E-Mail-Adresse angegeben wurde und diese E-Mail-Adresse auch nicht spamauffällig war/ist.
Also rechne ich diesen Versuch mal mit ein => 3 Stück
Davon eine manuelle Registrierung mit dem Zweck die typischen PNs "ich bin ein Mädchen und suche ... schreibt mir an meine E-Mail-Adresse...." an User zu verschicken. Nach 47 PNs war Schluss es konnten 2 PNs pro Minute manuell bei mir an Mitglieder verschickt werden.
Von den 2 übriggebliebenen konnten keine weiteren Profilfelder ausgefüllt werden.

=> ich bin mit meinen eigenen Schutzmaßnahmen durch Auswertung der Logdateien recht zuversichtlich, dass es auch nicht viel mehr in diesem Monat werden.

Eine kleine Hilfe, um nicht alle möglichen Benutzerprofile einzeln durchsehen zu müssen, habe ich mir mit ein paar Shellskripten gebaut (klar, man muss dafür Shell-Zugang zum Server haben).
Vielleicht nützt es ja auch ein paar anderen. Hier ist zu beachten, dass ich direkt auf der Datenbank arbeite, d.h. das Ganze u.U. nicht update-fest ist (also bei einer neueren WBB-Version vermutlich angepasst werden muss).

Zunächst der Cronjob:


Die Mail versende ich dann so:


Für das Mail-Versenden benutze ich mutt, weil der sich schön batchmäßig benutzen lässt, andere gehen sicher auch. Der Mailversand muss auf dem System natürlich vorher eingerichtet sein.

Auf die Art kriege ich sehr zeitnah alle Profil-Spammer direkt gemeldet. Was mir jetzt noch fehlt, ist ein Lösch-Link direkt aus dem Forum heraus (also ohne über das ACP zu müssen).

was Ihr hier Euch den Kopf zerbricht und Euch tot schreibt.. bin nur am smilen

Meine Lösung noch mal kurz: Aktivierung "nur durch Admin" und das Addon von Black "noprofileeditforguest" installieren, und die neu registrierten Benutzer können ihr Profil vor der Aktivierung NICHT bearbeiten.
Das witzige an dem Addon ist: sie können zwar nach dem Hinweis "ein admin.. blablabla Freischaltung blabla" ihr Profil ausfüllen, NUR es lässt sich nicht speichern, kommt Fehlermeldung das er noch nicht freigeschaltet ist

seit dem ich das so eingestellt habe gab es nur noch 3 Versuche und seit ca einer Woche ist ruhe
Bei mir sind keine IP's gesperrt o.ä.

LG

Lupo

Quoted from "lupopa"

Aktivierung "nur durch Admin"

Das ist bei großen Boards aber eine enorme Arbeit und sorgt nicht gerade für zufriedene User.

Das Plugin für stopforumspam.com hilft bei mir auch bestens. Habe dadurch auch keine Spammer.

Quoted from "lupopa"

Meine Lösung noch mal kurz: Aktivierung "nur durch Admin"

Bei großen Foren nicht wirklich machbar. Außerdem haben die meisten Admins noch Studium oder Arbeit nebenbei, was dann unnötige Wartezeiten hervorrufen würde.

Quoted from "lupopa"

... seit dem ich das so eingestellt habe gab es nur noch 3 Versuche und seit ca einer Woche ist ruhe
Bei mir sind keine IP's gesperrt o.ä. ...

Bei uns ist es auch so eingestellt, dass die Registrierung durch den Admin freigeschaltet wird, insofern haben wir tatsächlich nicht das Problem mit unerwünschten Registrierungen.


Es würde mich aber interessieren, wie ob Deine Seite trotzdem von Bots besucht wird, die unnötiges Traffic verursachen. Ich denke, das Aufrufen der URL lässt sich nicht verhindern. Bei uns ist seit wenigen Tagen der allseits bestens bekannte "Pixray seeker" ständig da und hat allein in den letzten drei Tagen etwa 1000 Seitenaufrufe gemacht - obwohl es in unserem geschlossenen Forum (Gäste und Jeder keinerlei Rechte) für nicht-registrierte Besucher absolut nichts zu lesen gibt, außer Impressum, die Hilfe und die Nutzungsbestimmungen. Auch der Anmelde- und Registrierungsbutton erfreut sich immer wieder neuer Beliebtheit ...
Nervig, einfach nur nervig und ich wüsste gern einen Weg, diesen absolut lästigen Bot loszuwerden.

Quoted from "hews"

Nervig, einfach nur nervig und ich wüsste gern einen Weg, diesen absolut lästigen Bot loszuwerden.

Dass der Bot die Seite aufruft, lässt sich nicht forenseitig verhindern. Die einzige Möglichkeit wäre, die Firewall des Server so einzustellen, dass sie Verbindungen von der IP des Bots gar nicht erst akzeptiert. das kann allerdings schwierig sein, wenn der Bot von mehreren IPs aus zugreift.

Alternativ, wenn der Bot immer wieder in Schüben crawlt, lässt sich da ggf. etwas mit mod_evasive oder anderen, ähnlichen Tools machen (sollte auch für andere Webserver ähnliches geben) - sobald mehr als X Verbindungen in Zeit Y von IP Z kommen werd diese IP erstmal für Zeit T geblockt. Hier wählt man dann einen Wert, der hoch genug ist, dass normale Besucher davon nicht erfasst werden, agressive Bots aber schon. Bewährt hat sich hier bei mir auch eine Progression: Beim ersten mal wird die IP nur 15 Minuten geblockt, die Zeit verdoppelt sich aber mit jeden mal, wenn die IP geblockt wird. Diese Progression hat eine gewisse Reset-Zeit, die an die Blockzeit gekoppelt ist. (Reset dauert 4*Blockzeit aktuell).
Dazu kann man dann mitloggen, wenn eine IP geblockt wurde, und häufig auftauchende IPs wie oben beschrieben gleich über die Firewall sperren.

Das sollte dann auch den von dem Bot verursachten Traffic deutlich reduzieren.

Ich habe irgendwo mal gelesen, dass sich jemand die Mühe gemacht hat, mal alle IP's aufzulisten, die dieser Bot benutzt, die er dann in eine .htaccess eingefügt hat. Die Liste war schon ganz ordentlich. Auch bei mir kommen sie manchmal nur über eine IP, aber gelegentlich auch über zwei oder drei IP's gleichzeitig.

Die anderen Dinge, die Du genannt hast, sagen mir zunächst mal nichts (muss ich mal googlen), aber zunächst hört sich das für mich an, als wäre das eine Sache, die zumindest zum Teil nur der Hoster erledigen kann.

Quoted from "hews"

Die anderen Dinge, die Du genannt hast, sagen mir zunächst mal nichts (muss ich mal googlen), aber zunächst hört sich das für mich an, als wäre das eine Sache, die zumindest zum Teil nur der Hoster erledigen kann.

Ja, das geht nur mit entsprechenden Root-Zugriff.

PHP-seitig bzw. mit .htaccess lässt sich da nur bedingt etwas machen - diese Maßnahmen greifen eigentlich schon viel zu spät. Die Verbindung wird dann bereits bearbeitet und erzeugt Traffic und Server-Load, was man ja eigentlich verhindern will. Das kann man nur verhindern, indem man solche Verbindungen gleich gar nicht erst akzeptiert, was sich nur mit Firewall bzw. solchen Tools wie mod_evasive für den Apache (und ähnlichen für andere Webserver) machen lässt.

Das hat aber nun nichts mit diesem Thema zu tun...
PS: mod_evasive is out, mod_qos ist angesagt.

Quoted from "Netsrak"

Das hat aber nun nichts mit diesem Thema zu tun...

Naja, am Rande schon ein wenig. Es geht ja im allgemeinen darum, sich Bots vom Hals zu halten. Das geht u.A. auch, indem man deren IPs blockt.

Quoted

PS: mod_evasive is out, mod_qos ist angesagt.

Danke für den Hinweis, ich bin was den Indianer angeht nicht mehr so auf dem Laufenden

Ich habe bei mir nun ein Profilfeld erstellt, welches bei der Registrierung das Ergebnis einer Addition zweier Zahlen verlangt (auf die richtige Validierung achten). Seitdem habe ich keine einzige Spam-Registrierung mehr.