Bot Probleme

  • Affected Version
    WoltLab Suite 3.1

    Moinsen,

    Langsam weiss ich echt nicht mehr weiter. Ich habe auf meiner Seite das Problem, dass am Tag ca 2-3 Bots sich registrieren und ihren englischen Text spamen.

    Dachte erst es liegt am Captcha, aber da scheint alles in Ordnung sein. Im Anhang sind paar Userprofile die ich meine. Eventuell hatte ja jemand ein ähnliches Problem oder kann mir sagen, woran dies liegt - das ist jetzt nämlich erst seit ca 2 Wochen. Vorher war nie irgendwas.

    LG

  • Nutzt ihr nginx?

    Kann dir dann nur das hier ans Herz legen: https://github.com/mitchellkrogza…bad-bot-blocker

    TLS 1.0 und TLS 1.1 deaktivieren, also auf mindestens 1.2. Da ihr Cloudflare nutzt ist das nur ein Schalter:

    Bei Cloudflare:

    Unter SSL/TLS → Edge-Zertifikate → TLS-Mindestversion:

    Damit hält man automatisch schonmal Bots weg, welche diese Art von Verschlüsselung nicht implementiert hat. Außerdem sollte man diese sowieso schon lange deaktivieren, da eigentlich alle Geräte/Browser das Protokoll schon lange beherrschen.

    Und natürlich StopForumSpam. So wie das für mich ausschaut nutzt ihr sogar noch die 3.1. Da gibt es kein StopForumSpam. Jedoch gibt's von

    SoftCreatR einen kostenlosen Backport für 3.1: https://shop.softcreatr.com/product/98-stopforumspam/

    Ich weiß nicht, wie ihr euren Webserver konfiguriert habt. Jedoch reicht es in der Firewall die Cloudflare IP's über 443 zuzulassen, da ihr vermutlich ssl zum origin aktiv habt. Dazu empfehle ich TLS Client Authentification zu Cloudflare, was nochmal das Ganze etwas sicherer macht.

    Ich kann da gerne weiterhelfen:

    Ich denke mal, dass sowieso dein Webserver nur für Cloudflare konfiguriert ist und da nichts läuft, was man ohne erreichen soll.
    Falls du dazu noch ufw nutzt empfehle ich dir mein Skript: https://github.com/Mightful-Noobs/cloudflare-sync-ips

    Das Skript lässt in ufw Cloudflare IP-Adressen zu. Zudem aktiviert es für dich sowohl in nginx als auch Apache die real-IP.

    Dann können die Regeln von "anywhere" von port 80 und port 443 weg. Denn die werden ja durch das skript seperat zugelassen. So käme niemand sonst an deinen Webspace. Das wäre nochmal ein Sicherheitsaspekt mehr.

    Warum im Cronjob: Die IP's könnten sich ja mal ändern. So muss man nie selbst Hand anlegen.

    Falls noch fragen sind: Immer her damit.


    EDIT:

    TLS Client Authentification:

    Unten der Schalter inkl. der Konfiguration: https://support.cloudflare.com/hc/en-us/artic…ed-Origin-Pulls

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Ich muss ehrlich sagen, dass ich nicht weiß, ob sich Bots bei mir angemeldet haben. Zumindest können sie nicht gleich wild ihren Mist überall loslassen. Neue Benutzer sind ganz normale registrierte Benutzer, die aber so gut wie nichts können. Sie können z.B. keine Links in Beiträgen posten. Beiträge mit Links müssen erst freigeschaltet werden. Erst, wenn sie die "Probezeit" bestanden haben, kommen sie automatisch in die Gruppe "Erweiterte registrierte Benutzer". Und dann können sie das machen, was registrierte Benutzer normalerweise können.

    Zusätzlich nutze ich StopForumSpam, wobei mir da allerdings in letzter Zeit nicht viele Benutzer ins Netz gegangen sind. Und um der "Über mich"-Problematik Herr zu werden, nutze ich das Plugin Benutzer-Profilfelder Zugriffskontrolle von CWalz. Hiermit habe ich die Berechtigungen so gesetzt, dass alle registrierten Benutzer das Profilfeld sehen können. Ändern können es aber nur die Benutzer, die die Probezeit bereits bestanden haben. Klappt ganz gut damit. :thumbup:

  • Sie können z.B. keine Links in Beiträgen posten. Beiträge mit Links müssen erst freigeschaltet werden. Erst, wenn sie die "Probezeit" bestanden haben, kommen sie automatisch in die Gruppe "Erweiterte registrierte Benutzer". Und dann können sie das machen, was registrierte Benutzer normalerweise können.

    Kannst du mir erklären wie ich das mit den Links in Beiträgen einstellen kann?

    Zusätzlich nutze ich StopForumSpam,

    Das ist doch in der 5.2 bereits im Standard enthalten, wenn ich mich nicht irre?

  • Danke norse, aber das Plugin hat doch scheinbar noch das größere Problem mit den "News-Bot" und Usern bei denen die Limits einfach gesagt nicht richtig greifen (Quelle: Kommentare zu dem genannten Plugin). Oder wurden die Probleme bereits beseitigt?

  • Danke norse, aber das Plugin hat doch scheinbar noch das größere Problem mit den "News-Bot" und Usern bei denen die Limits einfach gesagt nicht richtig greifen (Quelle: Kommentare zu dem genannten Plugin). Oder wurden die Probleme bereits beseitigt?

    Ich kenne das Problem mit dem News-Bot. Hatte das auch. Aber seit langem schreibt mein Bot keine News mehr. Ab und zu habe ich das Gefühl, dass manchmal Beiträge zur Moderation anstehen, obwohl sie es nicht dürften, aber damit kann ich leben. Es ist auf jeden Fall besser, als dieses Plugin nicht einzusetzen. ;)

    Das ist doch in der 5.2 bereits im Standard enthalten, wenn ich mich nicht irre?

    Ja, ist es. Man kann die Funktion aber deaktivieren, wenn man sie nicht benötigt. ;)

  • hab auch tls 1.0 und 1.1 aktiv aber keine bots bzw hatte noch nie bots bei mir ob das wirklich an tls liegt.

    Nicht nur, aber auch ;)

    Und nur, weil du keine hattest, heißt das nicht, dass das nicht irgendwann passieren kann/wird.

    Fakt ist, dass man die beiden Protokolle sowieso schon lange nicht mehr nutzen sollte. Viele Bots können nunmal kein TLS1.2. Somit können die auch dabei nicht mehr aktiv werden, da die ja gar nicht mehr connecten können. Ich kann bei Canna sehen, dass 1.0 und 1.1 noch immer aktiv ist.

    Canna Am besten schaust du die einzelne konfiguration hier an:

    https://ssl-config.mozilla.org/

    Wichtig ist, dass du auch die SSL Cipher übernimmst, damit du schwache Protokolle direkt mit deaktiviert hast und mindestens auf "intermidiate" stellen.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Du könntest auch auf eigene Sicherheitsfragen umstellen anstatt Captcha zu nutzen.

    Wichtig ist nur keine Fragen von der Stange zu nehmen wie z.b was legt ein Hund oder 1+1 ist.

    Am besten eine Frage die mir dein Projekt zu tun hat. Mein Liebling ist z.b. wie viele Buchstaben hat unser Name.

  • Nicht nur, aber auch ;)

    Und nur, weil du keine hattest, heißt das nicht, dass das nicht irgendwann passieren kann/wird.

    Fakt ist, dass man die beiden Protokolle sowieso schon lange nicht mehr nutzen sollte. Viele Bots können nunmal kein TLS1.2. Somit können die auch dabei nicht mehr aktiv werden. Ich kann bei Canna sehen, dass 1.0 und 1.1 noch immer aktiv ist.

    Auch wenn mein Forum ned so blebt ist seit über 6 Jahren nicht ein Bot.

    Bei den meisten Servern wird 1.0 und 1.1 noch aktiv sein sowie bei bei meinem server.

    @ontopic

    Schwache captcha könnte auch verantwortlich sein weiß jetzt aus dem stehgreif nicht wie das ganze bei ihm konfiguriert ist, aber auch da könnte man es evtl bische schärfer einstellen. Glaub so eine einstellung gab es mal.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!