WoltLab Community Forum

Ich habe mittlerweile schon rund 30 IP-Ranges (nicht einzelne IPs) gesperrt, aber die Spammer haben immer wieder neue. Für mich ist derzeit das stopforumspam-Plugin die einzige Hoffnung. Denn 99% "meiner" Spammer sind dort gelistet.

Quoted from "Schnödewind"

mmmh ...

Lesen alle eigentlich diese Threads komplett?
Es gibt keine Eier legende Wollmilchsau in Sachen SPAM.

Doch hab ich gelesen aber mal ehrlich... die Aufgabe eines Admins kann nicht sein, Spambots zu löschen. Ich hab da andere Dinge zu tun als das.
Wie King555 schon schrieb: Viele Spamer sind in dem "Stopforumspam" Ding drin. Wenn das Plugin für das WBB laufen würde, dann hätten wir als Admin ein wenig mehr Ruhe.
Und bevor jemand sagt... "Dann programmiere das Plugin doch"... ich bin Admin und Anwender und KEIN Programmierer.

@Hexo
Du sprichst mir aus der Seele aber jetzt hilft es nun mal nichts, jeder hat sie und keiner will sie.....also bleibt uns nicht viel übrig dieses Ungeziefer rauszufiltern und zu löschen.
Ich hätte das Teil ja auch schon installiert, nur WEIL ich das Thema gelesen hab und eben nichts gutes bei dem Plugin gesagt wurde hab ichs nicht installiert, hab einfach keinen Bock mir das Forum zu crashen.
Testforum hab ich keins und wenn dann müsste dies exakt ident sein zum öffentlichen, damit man auch sieht ob das Plugin auch mit anderen harmoniert.
Also.....meine Devise ist sowiso....was ich selber sehe, kann ich auch getrost löschen, wobeis bei mir jetzt schon total ruhig geworden ist.....3 Tage ohne Spambot!

Quoted from "King555"

Ich habe mittlerweile schon rund 30 IP-Ranges (nicht einzelne IPs) gesperrt, aber die Spammer haben immer wieder neue. Für mich ist derzeit das stopforumspam-Plugin die einzige Hoffnung. Denn 99% "meiner" Spammer sind dort gelistet.

Ist es denn so problematisch, das Plugin wieder in Gang zu bringen? Mag sich keiner Bereit erklären, das zu übernehmen?
Bin bin mir sicher, dass sich auch eine Zahl Leute finden würde, die einen kleinen Obulus dazu geben würde. Mich nervt das kolossal.

Ich hab gerade Antwort von Sascha, dem Autor vom Stopforumspam-Plugin, erhalten.
Er weiss von dem Problem und kümmert sich um das Plugin sobald er Zeit findet.

Ich habe das Problem mit stopforumspam untersucht und zwei Fehler gefunden. Nach Beseitigung der Fehler funktioniert das Plugin hervorragend, bisher wurden sämtliche Spammer geblockt. Das liegt auch mit an der sehr aktuellen Datenbank bei stopforumspam.com.

Problem 1: Die Email-Adresse wird nicht korrekt übermittelt, sie wird ein Mal zuviel urlencoded.
Ersetze in der Klasse StopForumSpamListener:


durch



Das ist der Hauptfehler, danach arbeitet das Plugin schon. Allerdings werden die ACP-Einstellungen 'Registrierung überwachen' und 'Post-/Threaderstellung überwachen' komplett ignoriert. Das bedeutet, der Dienst wird bei jeder Posterstellung befragt. In einem Fall hat dies bei uns zu einem Doppelpost mit SQL-Fehler 'Duplicate entry' in der Tabelle 'wbb1_1_post_hash' geführt, so dass der Verdacht besteht, dass durch das Plugin irgendwie Beiträge doppelt eingetragen werden. Der Zusammenhang ist aber noch unbewiesen. Diesen Fehler kann man kann ebenfalls in der Klasse 'StopForumSpamListener' beseitigen, indem man die Optionen 'STOPFORUMSPAM_CHECKREGISTRATION' und 'STOPFORUMSPAM_CHECKPOSTING' auswertet.

Ich habe auch den Plugin-Ersteller per Mail informiert. Ich hoffe, dass er sich kümmert.

Quoted from "Sir Henry"

Die Email-Adresse wird nicht korrekt übermittelt, sie wird ein Mal zuviel urlencoded.

Der Fehler ist mir auch aufgefallen. Allerdings ist die Frage, warum die IP auch nicht zur Sperrung führt. Denn viele Spammer bei mir hatten eine bei SFS gelistete IP. Und bei einer IP kann urlencode() ja eigentlich nichts falsch machen.

Quoted from "nitram70"

Ich hab gerade Antwort von Sascha, dem Autor vom Stopforumspam-Plugin, erhalten.
Er weiss von dem Problem und kümmert sich um das Plugin sobald er Zeit findet.

das hört sich doch schon mal nach einer guten sache an !

Also ich kann nur sagen, aus meinen Erfahrungen die ich mit dem WBB gemacht habe nun schon seit fast 10 Jahren, das hier Roboter am werk sind und die irgend eine kleine Lücke gefunden haben wie sich sicherheitsdinge um gehen können beim WBB. Das ist nun meine ganz persönlich Vermutung! Ob sie stimmt weiß ich leider nicht, da fehlen mir die Kenntnisse um das raus zu finden.

Mitlerweile haben wir in unserem Forum schon 150 IP Adressen gesperrt die sich in den letzten 15 Tagen registriert haben und das schlimme es es werden nicht weniger user pro tag, sondern einfach mehr IP adressen die es versuchen, die alten versuchen es weiterhin werden aber nun geblockt.

Ich denke mal einige oder hoffe eher zumindest das jemand versucht einfach nachzuvollziehen wie die roboter es schaffen sich permantent zu regestrieren. Ich kann mir nicht vorstellen das bei der masse an anfragen und betroffenen Foren da noch menschen hinter sitzen.

Wie schon hier im Thread gesagt wurde, handelt es sich vermutlich NICHT um Roboter, sondern um echte Menschen. Ich gehe nicht von einer Sicherheitslücke aus. Sicher wird das Ganze wenigstens halbautomatisiert sein, aber die ganzen Sperren umgehen bestimmt Menschen.

Quoted from "King555"

vermutlich NICHT um Roboter

wie du sagst du vermutest es so, ich sage mittlerweile was anderes, nach dem ich nun schon seit fast einem monat drann bin und zugemüllt werde. Denn sonst kann ich mir nicht erklären wie ein user sich innerhalb von 2 min mit 6 ipadressen einloggen kann.

Auch wenn es schwer zu glauben ist, das es eine Lücke im WBB geben sollte, aber das ist immer das Katze-Maus Spiel. vielleicht gibt es ja mittlerweile ein script um das captcha beim wbb zu um gehen. Ich weiß das sind alles Vermutungen aber wenn man zugemüllt wird mit neuen Usern und Werbung, dann fängt man sich automatisch an Gedanken zu machen wie man das stoppen kann.

@King555: hast du denn auch 20 Registrierungen pro Tag die nur spam sind?

Die Registrierung selbst läuft automatisiert ab. Lediglich die Captcha Eingabe läuft manuell. Solche "Tools" gabs schon vor 15 Jahren in vielen Bereichen.

Quoted from "Flashdancer"

Denn sonst kann ich mir nicht erklären wie ein user sich innerhalb von 2 min mit 6 ipadressen einloggen kann.

Die IP, die dir das Forum anzeigt, kann man ohne Probleme fälschen, gibt sogar ein Firefox-Plugin dafür.

Quoted from "Flashdancer"

@King555: hast du denn auch 20 Registrierungen pro Tag die nur spam sind?

Soviele nicht. Ursprünglich waren es so ca. 15 pro Tag. Nach massiven Sperrungen und diversen Konfigurationsänderungen und Plugininstallationen sind es jetzt nur noch ca. 5 pro Tag.

okay, das mit 5 geht ja noch... Nun klar sicherlich kann man die ip fälschen, aber nun es sind leider die letzten Waffen die man hier wirklich einsetzen kann um wenigstens etwas mehr schutz zu haben.

ein deutlicher Hinweis warum das nicht so ganz mit rechten dingen zu geht ist einfach... bei mir im Forum gibt es die option "land" als select. standardmäßig steht das auf "germany" es sind aber auch alle anderen Länder der welt eingetragen. Diese spam user lassen dieses selectfeld immer auf dem standardwert. Aber die sprache die ausgewählt wird ist nur englisch. Ein normaler user der sich registriert wird dort immer sein land einstellen. ich habe es noch nciht erlebt das ein normaler user ein falsches land angegeben hat. und daran merkt man ja deutlich... kommt aus deutschland und spricht aber nur englisch und die schreibweise mit den drei großen buchstaben am ende.... ist dann doch schon auffälig.

ich gehe davon aus die robort (sofern es welche sind) wissen nicht was sie dort machen müssen bei dem Feld, weil es ein individuelles feld ist.

Also noch einmal:

Ich habe

1. die automatische Freischaltung nach der Registrierung deaktiviert
   (Die neuen User/innen werden nach einer Prüfung durch einem Admin oder Mod freigeschaltet)
2. Habe ich das "NoProfileEdit" ein Plugin von KittBlog installiert
   (somit ist es nicht möglich vor der Freischaltung sein Profil zu bearbeiten, was dann die Registrierung für diese "MENSCHEN" sinnlos macht, denn sie können dann nicht den Bot auf meine Seite schicken um das Forum zuzuspammen)

Seit dem ich das so eingestellt und das Addon installiert habe, habe ich in 2 Wochen maximal nur noch einen Registrierungsversuch

Also noch mal...
Es sind "Menschen" die dafür ggf sogar bezahlt werden um in Foren Useraccounts für Bots zu erstellen.
Die Leute registrieren sich wie DU und ich auch,
werden freigschaltet (Durch Emailcheck),
die Logindaten in einer Datenbank für automatische Bots gespeichert,
und später wird der Bot über ein Script oder ähnlichem diese Webseiten besuchen, wo eine problemlose Registrierung ablief, sich automatisch mit den registrierten Daten einloggen und die Foren "zusapammen"...

Ebenso bringt das ganze IP gesperre ebenfalls nix, mit Addons im Browser kann man nicht nur irgendwelche IP's vorgaukeln, sondern auch die Browserkennung...

Ich hab keine einzige gesperrte IP-Adresse oder Range .. wofür ... Schwachsinn :-p


LG

Lupo

PS: sucht Euch eine "freeProxy" seite, und gebt dort eine Seite ein, wo Ihr gesperrt seit, dann kommst du wieder ran. Ebenso kann man über einen Freeproxy auch youtube Videos anschauen die in Ger. verboten sind ...

das erklärt aber immer noch nicht warum dann diese angeblichen menschen nicht das Land korrekt ausfüllen, wenn sie die kompletten rest der adresse preis geben und ausfüllen freiwillig. ein select mit dem richtigen land auszufüllen ist ja dann für ein menschen total leicht....

Aber wieso sollten die sich die Mühe machen? Ich verstehe daher deinen Einwand nicht. Die wollen nur ihre Werbelinks loswerden und keine "korrekten" Accounts anlegen.

Es hängt immer davon ab worauf die Bots trainiert sind. Wie gesagt es füllt kein Mensch das Formular aus. Der Mensch gibt lediglich das Captcha ein. Alles andere läuft vollkommen automatisch ab.

Quoted from "King555"

Quoted from "Sir Henry"

Die Email-Adresse wird nicht korrekt übermittelt, sie wird ein Mal zuviel urlencoded.

Der Fehler ist mir auch aufgefallen. Allerdings ist die Frage, warum die IP auch nicht zur Sperrung führt. Denn viele Spammer bei mir hatten eine bei SFS gelistete IP. Und bei einer IP kann urlencode() ja eigentlich nichts falsch machen.

Ich habe einen weiteren Fehler gefunden. Auch die IP wird nicht korrekt übermittelt, nicht wegen urlencode, sondern wegen dem Namen. Statt ip_addr muss es laut API-Dokuip heißen.

Also ersetze:

durch

danke !