Спам бот для форумов

Спам бот для форумов

Please complete the security check to access happy-hack.ru

Why do I have to complete a CAPTCHA?

Completing the CAPTCHA proves you are a human and gives you temporary access to the web property.

What can I do to prevent this in the future?

If you are on a personal connection, like at home, you can run an anti-virus scan on your device to make sure it is not infected with malware.

If you are at an office or shared network, you can ask the network administrator to run a scan across the network looking for misconfigured or infected devices.

Another way to prevent getting this page in the future is to use Privacy Pass. You may need to download version 2.0 now from the Chrome Web Store.

Cloudflare Ray ID: 582768f2f996d8d5 • Your IP : 5.45.65.94 • Performance & security by Cloudflare

По всей видимости, автоматизированные спам-боты нашли способ расшифровки кода визуального подтверждения (CAPTCHA) в phpBB 3.0.4. В phpBB 3.0.5 вводится ряд новых изменений в CAPTCHA, с помощью которых мы надеемся остановить этих ботов. До выхода phpBB 3.0.5 в вашем распоряжении имеются многочисленные вещи, которые вы можете использовать для ограничения или даже для полного прекращения проблем со спам-ботами.

Часто задаваемые вопросы

  • Что такое спам-бот?
    Говоря простым языком, спам-бот (в контексте phpBB) — это программа, которая способна регистрировать учётные записи, и публиковать сообщения на конференции.
  • Являются ли спам-боты угрозой безопасности?
    Нет. Хотя иногда и может казаться, что спам-боты прорываются через вашу защиту, но на самом деле они могут делать не больше из того, что могут делать настоящие пользователи (регистрироваться, публиковать сообщения и так далее). Следовательно, спам не является уязвимостью, и не должен рассматриваться в контексте уязвимости.
  • Как они работают?
    Спам-боты делают только то, что они запрограммированы делать, и ничего более. Неспособность ботов к адаптации на лету ставит их в невыгодное положение, когда они пытаются атаковать конференции информированных администраторов. Хитрость в успешном отражении спам-ботов состоит в том, чтобы всегда быть на один шаг впереди их авторов. Почти все модификации, направленные на борьбу со спам-ботами, сосредотачиваются на изменении формы регистрации и формы отправки сообщений, чтобы препятствовать ботам корректно заполнять эти формы.
  • Боты заполняют формы таким способом, как и люди?
    Нет, большинство ботов отправляют свои ответы напрямую, не загружая созданные вами формы. В практическом плане это означает, что лишь одно только изменение формы HTML не даст никакого результата в борьбе со спамом. Нужно полностью изменить метод интерпретации передаваемой информации. Это означает необходимость редактирования файлов PHP. Если вы используете модификации, которые редактируют только HTML, то будьте уверены — они бессмысленны.
  • Надо ли блокировать доступ ботам по IP или email-адресам доменов верхнего уровня (.ru, .info, и т. п.)?
    Если ваша цель состоит в экономии времени, то эта стратегия не поможет. IP-адреса часто циклически повторяются, и существуют тысячи прокси-серверов, которые могут быть найдены с помощью обычного поиска. Заблокировав IP-адреса, вы, в конечном итоге, заблокируете настоящих пользователей. Поскольку боты для своих email-адресов используют различные домены верхнего уровня (включая .com, .org и .net), поэтому блокировка международных доменов вроде .ru может незначительно помочь, но вы вновь в конечном итоге заблокируете настоящих пользователей (и при этом не заблокируете почти ни одного бота). Иными словами, мы должны сосредоточить внимание на предотвращении так многих ботов, насколько это возможно, при этом не добавляя настоящим пользователям дополнительных хлопот.
  • А что можете сказать насчёт человеческих спамеров?
    Борьба с человеческими спамерами гораздо сложнее, чем борьба с ботами. В то время как боты будут пытаться вслепую регистрироваться и публиковать свои сообщения по возможности на каждой возможной конференции, человеческие спамеры хотят удостовериться, что их спам действительно видят другие пользователи. Следовательно, хитрость в борьбе с человеческими спамерами состоит в устранении всех стимулов, которые они могут найти на вашей конференции.
  • Удастся ли мне остановить спам, следуя рекомендациям данного руководства?
    Как уже было сказано выше, человеческих спамеров остановить очень трудно, а некоторые боты могут быть специально адаптированы для работы на вашем сайте. И, тем не менее, после прочтение данного руководства и применения предлагаемых в нём рекомендаций, вы сможете привести к значительному снижению количества спама на своей конференции, начиная с самого первого дня.
Читайте также:  Планшеты какой лучше выбрать рейтинг

Остановка спама — методы и стратегии

  1. Дополнительные поля в профиле
    В нашей базе знаний имеется статья, в которой подробно рассказывается об использовании дополнительных полей в профилях пользователей в качестве метода сдерживания спама. Это довольно эффективный метод отсеивания большинства ботов.
  2. Активация администратором
    Данный метод не подойдёт для больших конференций, но он прекрасно подойдёт для небольших конференций. Множество спам-ботов регистрируются с использование электронных адресов Gmail или доменов .cn, а в качестве имён пользователей часто используют случайные комбинации букв и цифр.
  3. Задержка сообщений
    В phpBB 3.0.3 введена новая функция, позволяющая администраторам откладывать сообщения, если количество сообщений у отправившего их пользователя меньше определённого значения. Перейдите в Панель администратора → Общие → Размещение сообщений и включите опцию «Включить очередь сообщений». Это означает, что при включении данной опции сообщения зарегистрированных пользователей будут ставиться в очередь для проверки модератором, если количество оставленных ими сообщений меньше указанного значения. Ваши постоянные пользователи не будут видеть первые сообщения вновь зарегистрированных пользователей, и поэтому, если эти сообщения оставлены спам-ботами, вы сможете удалить их и отключить учётные записи спам-ботов.
  4. Модификации (MODs)
    Модификации — это наилучший метод предотвращения спама, и заключается он в создании уникальной конференции, используя средства сдерживания спама, не входящие в стандартную установку phpBB3. Ниже перечислен список модификаций, предназначенных для борьбы со спам-ботами. Если вы являетесь автором модификаций, и считаете, что ваша модификация должна быть включена в данный список, то отправьте личное сообщение любому члену группы поддержки.
  • Advanced Visual Anti Bot
    Модификация «Advanced Visual Anti Bot» — это эффективное решение для предотвращения спам-ботов. Она заменяет стандартный фон визуального подтверждения случайным изображением. После этого спам-бот не может распознать код подтверждения с помощью оптического распознавания символов (OCR). Фоновые рисунки можно менять по желанию. Кроме того, «Advanced Visual Anti Bot» не требует каких-либо изменений в базе данных или конфигурирования в панели администрирования
  • Anti-Bot Question
    Эта модификация добавляет на страницу регистрации контрольный вопрос. Контрольный вопрос администратор может изменять в панели администрирования.
  • Anti-Spam ACP
    Эта модификация предотвращает спам на многих конференциях phpBB3. Эта модификация не утверждена группой MOD Team.
  • Automatic Spammer Detection
    Эта модификация использует «Stop Forums Spam» и «Bot Scout» для проверки имени пользователя, адреса электронной почты и IP-адреса потенциального спамера. Если что-нибудь возвращается, то все основатели получают личное сообщение с уведомлением о пользователе. Модификация в панели администрирования имеет настройки для включения и отключения, а также для выбора объектов для проверки. Эта модификация не утверждена группой MOD Team.
  • Prime Anti-bot
    Модификация осуществляет основанную на тексте систему проверки на человечность для проверки того, что форма отправляется человеком, а не ботом. Модификация запоминает успешные проверки на человечность, поэтому пользователям, успешно прошедшим проверки, не придётся каждый раз проходить её заново. Все фразы, вопросы и ответы полностью настраиваемы, и вы можете ввести их столько, сколько пожелаете (один вопрос выбирается из списка наугад каждый раз при необходимости). Модификация может быть настроена на проверку новых регистраций и гостевых сообщений. Эта модификация не утверждена группой MOD Team.
  • daroPL_AntiSpam
    Модификация блокирует регистрации спам-ботов через изменение имени поля кода подтверждения для создания уникального хэша. Кроме того, модификация случайно изменяет размер поля кода подтверждения.
    Описанные рекомендации, используемые по отдельности или вместе, замедлят или полностью остановят проблему спама.

Дополнительные поля в профилях

Дополнительные поля в профилях пользователей могут быть использованы в качестве эффективного инструмента для ограничения регистраций спам-ботов.

Для этих целей я использовал два типа дополнительных полей. Первый тип — это раскрывающийся список, который является более простым для пользователей, но также является и более простым для спам-ботов, поскольку он имеет всегда два выбора. Во второе поле предлагается ввести определённое число.

Читайте также:  Знаки на духовке bosch

В обоих случаях поле имеет значение по умолчанию, которое не соответствуют значению, нужному для успешной регистрации.

Перейдите на страницу «Панель администрирования → Пользователи и группы → Дополнительные поля».

Метод с раскрывающимся списком

Здесь я использовал простой вопрос «Бот ли вы?» с простыми ответами «Да» и «Нет».

Обратите внимание на то, что значение по умолчанию утвердительное. Поэтому, если вы предоставите больше двух вариантов ответа, то автоматически обойти вопрос будет чуть сложнее.

Цифровой метод

Здесь я использовал набор из 5 цифр от 1 до 5

Обратите внимание на одинаковое использование минимального и максимального допустимого числа. Но значение по умолчанию отличается от минимального и максимального числа.

Здесь не обязано использовать простые числа. Можно ввести и такие числа: 1234, 5367, 8746, 9456, 3426.

При вводе пользователем максимального или минимального значения, а не значения по умолчанию, поле будет работать.

Эта функция позволит вам эффективно использовать «код». При желании использовать цифровое поле в качестве кода не вводите никаких чисел на первую страницу в качестве примеров (где поставлены цифры от 1 до 5). Вам будет необходимо предоставить пользователям какой-нибудь другой метод получения «кода», чтобы иметь возможность его ввести, как, например, с помощью приглашения по электронной почте, в котором будет соответствующий код, или можете разместить код на своей конференции в открытой теме и так далее.

При использовании числового метода вы можете изменить языковой файл, в котором содержится сообщение об ошибке, выводимое при вводе пользователем неверного значение. Для этого изменения проделайте следующее:

Результат

Конечный результат двух используемых полей:

Резюме

Чтобы эта техника работала исправно, важно, чтобы все конференции использовали разные вопросы и разные ответы. Подобно всем анти-ботовским модификациям, чем больше идентичных вопросов и ответов будет на большинстве конференций, тем большее количество спам-ботов будут «подогнаны» под эти вопросы. Поэтому используйте свои собственные идеи, используя приведённые рекомендации лишь в качестве шаблона. Чем более уникальными будут ваши вопросы и ответы, тем сложнее спам-ботам будет пробиться к вам.

Не прошло и нескольких дней с момента выхода phpBB 3.0.6 RC-1, как сторонними разработчиками было подготовлено несколько дополнительных модулей CAPTCHA к этой версии phpBB. Все эти модули одобрены официальными членами команды phpBB. Вот эти модули:

  1. Crazy Maths CAPTCHA Plugin. Этот модуль использует mimeTeX для генерации математических вопросов. В итоге CAPTCHA отображает сложные математические вопросы пользователям и ботам.
  2. Fancy jQuery Captcha. Эта CAPTCHA отображает четыре изображения, создавая одно случайное изображение, которое может перетащить пользователь в специально отведённое место.
  3. Rotate Image Captcha Plugin. Эта CAPTCHA поворачивает изображения, и просит, чтобы боты идентифицировали вертикальное изображение.
  4. SimpleMath Captcha Plugin. Этот модуль отображает небольшую арифметическую задачку, которую должен решить пользователь.
  5. Sortables CAPTCHA Plugin. Эта CAPTCHA выводит два столбца. Вы можете добавлять различные варианты ответа в каждый столбец. Все варианты будут отображены в одном столбце, а пользователь должен будет перетаскивать мышью правильные варианты из одного столбца в другой.

Все эти дополнительные модули написаны для phpBB 3.0.6, и для их установки не требуется редактирования каких-либо файлов — все модули ставятся методом копирования файлов в нужные папки.

Сообщество phpBB выявило наилучшие модули CAPTCHA для phpBB 3.0.6

Результаты голосования показывают следующее:

Выбор сообщества: Fancy jQuery Captcha от mtotheikle
Выбор phpBB Team: Sortables CAPTCHA Plugin by Derky
Первый одобренный: Fancy jQuery Captcha от mtotheikle

Есть небольшой форум на phpbb3, крутится на шаред хостинге. Недавно на форум начали активно лезть спам-боты, в результате мало того, что надо разгребать и удалять пользователей, так еще и для провайдера такая массовая регистрация выглядит как DDoS и в результате аккаунт уже один раз засуспендили. Включил самую мощную капчу которая была, поставил проверку IP на предмет содержания в блеклисте, ограничил количество попыток, но боты все равно прут.

Читайте также:  Как открыть веб камеру на виндовс 7

Какой эффективный способ вы можете подсказать еще? ReCaptcha? Подтверждение регистрации по e-mail (у меня сейчас оно отключено)? Переезд на vps с последующей настройкой фаервола? Анти-DDoS сервисы?

Update 1: Включил рекапчу, но все равно пролазят.

Update 2: Полгода вроде уже прошло, полет нормальный — ни одного спам-бота!

  • Вопрос задан более трёх лет назад
  • 12709 просмотров

Поставил три простых вопроса, за ночь ни одного бота. Похоже что это работает, если будут лезть дальше — применим нестандартные решения.

Нужна любая нестандартная самописная защита, пусть и самая банальная. Просто боты настроены стандартно, врядли кто-то их будет переписывать конкретно под ваш форум.
Можно через javascript добавить какое-то лишнее поле в POST форму регистрации и проверять его наличие в php скрипте.
Что-то типа такого. Код добавляет скрытое поле в форму регистрации (нужен jquery). Боты не будут его вставлять в форму и по такому признаку их можно отсекать.

Как вариант можно добавить какой-то алгоритм, который на основании ип адреса, например, будет совершать какой-то крипт или просто брать хэш и потом проверку на стороне пхп, но в 99% это будет лишнее, ибо если боты залетные, они и без этого сдуются.

Я не слышал о том что сейчас существует рабочий алгоритм обхода рекапчи,
из чего я делаю вывод, что подключенная рекапча на вашем форуме нормально не работает. Вероятно в силу какой то алгоритмической ошибки.

Поддерживаю всех вышеписавших о том, что интегрируете самую элементарную процедуру слегка модифицирующую стандартный процесс регистрации на форуме. Это не остановит человека, который целенаправленно собирается вредить именно Вам, но остановит 99% автоматов.

1) Как защититься от ботов. Если боты не написаны специально под ваш сайт, то просто чуть-чуть переделайте код регистрации (например, сделайте поле email приманкой или считайте код подтверждения яваскриптом или флешем) и боты отвалятся. Они же привыкли к стандартным формам.

Не хотите переписать код/нанять кого-то/лень/ищите кто за вас все сделает бесплатно? Мучайтесь дальше тогда.

Запретите или сделайте подтверждение телефона для регистраций из проблемных стран (список стран ниже), с тора и прокси.

2) Про высокую нагрузку. Не стоит использовать shared hosting вообще. Сейчас облачные сервера с минимальным конфигом очень дешевые и стояит примерно столько же, сколько ваш хостинг, но там вам никто не будет парить мозги про соотношения трафика и загрузку процессора, сколько готовы оплатить, на столько и грузите. Сайт на shared хостинге легко положить даже со школоботнета — хостеру проще отключить нагруженный сайт, чем искать причины проблем.

На своем сервере всех ботов можно легко забанить при помощи iptables и ipset. Я бы советовал не ждать, пока к вам придут боты, а превентивно забанить все IP из стран: Индонезия, Таиланд, Китай, Филиппины, Польша, Бразилия. Как показывает опыт, в этих странах люди не слышали про антивирусы, используют ИЕ (вот идиоты), а провайдеры игнорируют абузы (почтовые ящики из вхуиза не работают либо переполнены и не принимают письма). Как вы понимаете, ценные посетители на ваш сайт оттуда вряд ли придут, а вот спам, трояны, ботнеты и прочая дрянь — легко. Я бы лично эти страны вообще от интернета и цивилизованного мира отключил, достали уже.

«Анти-DDOS» сервисы нужны при атаке хотя бы от полгигабита, меньший трафик легко банится вручную на iptables. Бесплатный антиддос (и блокировку упомянутых стран), кстати предлагают сервисы вроде cloudflare. Зачем платить конские тарифы всяким вымогателям из анти-ддос сервисов, когда можно не платить?

Я правил форму регистрации на предмет Content-Type: multipart/form-data. Обычно этот тип используется только броузерами при наличии полей аплоада. В ботах с мультипартом вообще никто никогда не парится.

На стороне сервера просто проверял Content-Type. Если не мультипарт — прочь демон, прочь.

Ссылка на основную публикацию
Смарт часы что они умеют
В этой статье мы поговорим о том, для чего нужны умные часы, а также какими функциями они располагают чаще всего....
Сервер не поддерживает символы не ascii
Многие из нас пользуются замечательным FTP сервером FileZilla Server. Думаю, не я один столкнулся с проблемой некорректного отображения русских букв...
Сервера для обновления nod32 бесплатно
Отличие полной версии от триальной Полные (не триальные) антивирусные базы и программные компоненты Eset Antivirus и Eset Smart Security! Отличия...
Смарт часы самсунг с сим картой
Хотите быть современным и модным человеком? Перестать зависеть от своего громоздкого смартфона? Только представьте, вы можете не брать телефон на...
Adblock detector