Zaspamowane phpBB
Zaspamowali mi forum (a raczej - nam, bo to forum pewnej grupy programistycznej), oparte o phpBB. Jakiś spamerski bot lata po forum i dodaje nowe tematy czy też odpowiedzi w starych, a w nich zamieszcza linki (między innymi), bo oprócz nich - na przykład przed momentem zauwazylem - umieścił dowcip (ale już go znałem ;-)). Ale skoro pojawiają się linki “buy tramadol online” czy “free porn” to nie można tego tolerować. Póki co nie jest zbyt dużo tych wątków, mogą jednak pojawiać się nowe. W końcu phpBB to popularny system, sporo botów spamowych na niego napisano - tak samo popularny jest np. Wordpress, system blogowy, a wystarczy spojrzeć - już znaleziono u mnie nawet kilkadziesiąt spamów w komentarzach (na szczęście jest dokonała wtyczka Spam Karma).
O właśnie. Jak się zabezpieczyć przed spamem na forum opartym o phpBB? Szukałem dzisiaj tego specjalnie i jedyne co znalazłem to wpisywanie tokenu z obrazka. Ale ta metoda jest zła, o czym kiedyś pisał Robert Drózd. CAPTCHA to nie to. Oczywiście, zrobienie czegoś takiego, i w rejestracji i przy pisaniu posta przez osoby niezalogowane znacznie by ułatwiło sprawę. Ale tokeny są denerwujące i nie chcę zwyczajnie ich używać.
Inną metodą jest zabronienie używania tagów [img] bądź [url]. Ale to chyba przesada, zwykli użytkownicy też czasem używają tych znaczników, zwłaszcza url, niekoniecznie do niecnych celów.
Ciekawym pomysłem jest wtyczka Disable Spambots, które sprawdza jak długo trwa pisania posta - i jeśli poniżej pewnego limitu czasowego to zamiast wysłać posta częśtuje “piszącego” podglądem. Czyli w praktyce zapętla go. Ciekawe jak to działa, myślę, że warto sprawdzić.
Sam wpadłem na pomysł napisania wtyczki, która opierać się będzie na zmodyfikowanej zasadzie wpisywania “tekstów z obrazka”. Mianowicie nakazać użytkownikom by wpisywali pewne słowo, gdzieś podane, w jakiś tagach <strong> czy czymś takim. A przy okazji niech sprawdza czy użytkownik posiada JavaScript - i jeśli tak, to niech go wyręcza w tym wypełnaniu pola. Proste i skuteczne? Okaże się, gdy tylko modyfikację opracuję, a na forum się ją wprowadzi. Teoretycznie powinna być skyteczna na wszystkie boty nieprofilowane na dane forum, by było by to nieszablonowe i stosowane tylko u nas rozwiązanie.
Pewną metodą było by także wykorzystanie do walki ze spamem kawałków istniejących mechanizmów, choćby właśnie WordPressowej Spam Karmy - mechanizm karmy, czarne i białe listy, analiza bayesowska treści, sprawdzanie ilości linków i ewentualne zabezpieczenie przez Captcha pozwoliłoby być może na powstrzymanie ataku spambotów na fora oparte o phpBB. Swoją drogą, trzeba się będzie przyjrzeć, czy w następnej wersji systemu będą jakieś rozwiązania na ten temat. A i spróbować mechanizmy podane wyżej moze do jakiejś wtyczki (czy raczej modyfikacji) zainstalować. Ale to jak będę miał dużo czasu.
A na razie to pozbieram klasy adresowe KORNET-u i je zablokujemy, bo użytkowników z Korei się nikt nie spodziewa (oprócz spambotów). I od razu pół spamu zniknie (bo najwięcej z Korei przychodzi), a druga część, pochodząca z Chin i USA, poczeka sobie na antyspamowe rozwiązanie.
Liczba komentarzy: 19
»Wątek RSS dla komentarzy tego wpisu · Adres trackback
czerwiec 8, 2006 godzina 17:20
A nie wystarczy wymuszanie rejestracji na forum? ;-)
czerwiec 8, 2006 godzina 18:42
@Fipaj: Nie wystarczy. Na pewnym moim forum jest rejestracja, ale znajdują się trolle i codziennie kilku nowych userków jest dodanych, którzy po prostu podają w profilu adres porno/leko sajtów. Posty/wątki się też trafiają, ale rzadziej.
czerwiec 8, 2006 godzina 19:06
MySZ: te boty umieją odpowiadać na linki aktywacyjne w mailach? :)
czerwiec 8, 2006 godzina 19:11
Nie umieją. Ale wymaganie rejestracji jest głupie. I jestem przeciwko takim rozwiązaniom. Już wolałbym chyba CAPTCHA dla niezarejestrowanych niż wymaganie rejestracji.
czerwiec 8, 2006 godzina 19:39
Jak wiadomo phpBB jest tak dziurawe, że co wersje łatają stare dziury a pojawiają się nowe. Więc patrząc pod względem bezpieczeństwa phpBB nie jest warte choćby instalacji na serwerze bo to męczarnia dla takowego. Ale co zrobić jak IPB jest płatne a lepszej - darmowej - alternatywy jeszcze nie ma.
A co do spambotów to dużo o nich słyszałem lecz łatek żadnych na to nie widziałem a sam takowego w akcji też nie widziałem.
czerwiec 8, 2006 godzina 19:56
No ale piszesz ze to forum pewnej grupy programistycznej.
Wiec chyba codziennie sie ona nie zmienia wiec rejestracja nie jest az taka trudnoscia.
czerwiec 8, 2006 godzina 19:57
@Fipaj: nie umieją, ale chodziło mi raczej o zagadnienie spamu jako takiego a nie tylko o same boty. U mnie na blogu chroni mnie Akismet (wcześnie SK2) i jest ok - niezależnie od tego czy to bot czy ręcznie wklepany jeden z spamowych tekstów/linków. Jak wiadomo, nie ma rzeczy ani kodu idealnego i ręcznie da się to obejść, ale jak na razie żadnego spamu mi nie przepuściło…
czerwiec 8, 2006 godzina 21:07
Czara - ale to nie jest tak. Forum jest przeznaczone nie tylko do dyskusji między członkami grupy, ale także użytkownikami programów, którzy dzięki niemu mogą programy komentować i te pe.
czerwiec 8, 2006 godzina 21:31
Dot: a szybka rejestracja na PhpBB trwa naprawde sekunde
i dla uzytkownika to nie duzy problem
a mniej problemow bedzie mial administator forum ;)
czerwiec 8, 2006 godzina 22:46
Miałem zdaje się dwukrotnie incydent z botem, który pisał posty. Obecnie boty jedynie próbują rejestrować konta z podanym adresem strony. Udawało im się to, nawet kiedy włączyłem CAPTCHA. Postanowiłem wprowadzić drobną modyifkację. Na formularzu rejestracyjnym, przy polu Strona WWW napisałem, że nie wolno go wypełniać, że będzie można dopiero po aktywacji konta :) Kto się nie zastosuje, trafia w pułapkę (na razie prowizorka). CAPTCHA wyłączyłem.
Jeśli chodzi o przyszłą wersję phpBB, to znajdzie się w niej całkiem nowy moduł CAPTCHA. Trzeba przyznać, że imponujący. Będzie także bardzo rozbudowany system uprawneń, tak więc można np. zabronić niezarejestrowanym używania BBCode.
czerwiec 9, 2006 godzina 08:59
Szybka rejestracja może i trwa sekundę, ale jeśli miałaby być z potwierdzeniem tożsamości mailem albo coś, to już kombinowanie. Do tego szybka rejestracja jest dostępna tylko w wersji Przemo, nie wspominając o tym, że zajmuje miejsce na ekranie.
czerwiec 9, 2006 godzina 14:10
Nie, żadnych rejestracji. Szybkiej czy wolnej, z e-mailem, czy bez - nieważne. Anonimowi muszą móc pisać posty. Czara, uwierz, to jest problem. Jeżeli jestem zmuszany do rejestracji by wypowiedzieć moje zdanie na temat programu, a program jest mało popularny, to mi się zwyczajnie nie chce - a deweloperzy tracą feedback. Bo na jakiś popularniejszych, w rodzaju forach Microsoft Connect, to się mogę zarejestrować, co mi tam ;-)
Lamper - IPB jest płatne. Wystarczy tyle komentarza ;-) A dziurawość phpBB… jakoś ostatnio żadnych krytycznych dziur już nie ma… a myślałem, że to jak z Microsoftem będzie ;-)
A ja biorę się za pisanie teraz właśnie tegoż mikro-zabezpieczenia, czyli dodatkowego pola w formularzu.
{o}: Widziałem co phpBB 2.2 umożliwia w kwestii ustawiania zabezpieczeń. Mniam :-)
A CAPTCHA nie zauważyłem w nim (ale ja dawno się tym bawiłem), ale nawet jeżeli jest niezłe to i tak z pewnością znajdzie się sposób by to obejść - i chyba jedynie mechanizmy antyspamowe z prawdziwego zdarzenia albo coś unikalnego dla forum zdadzą egzaminy.
październik 7, 2006 godzina 04:35
Sorry for your time…. Why i can’t see images on this resource?
My Browser is: Opera.
Thank you.
listopad 1, 2006 godzina 12:37
Hello!
I live in New-York. I am a typical American. I have a horrible problem. Many people in America suffer from this problem too.
The problem is big weight. I dont want to talk about it, but i cannot take any longer. I ask anyone who knows some ways of loosing weight. Help me! If
something has helped you, tell me about it. If you do not help me ,i will die!
Today i told to my girlfriend that I love her .And she spoke a lot of uncomplimentary words about my weight.
This message is posted not only in this forum. You can find it everywhere. I am down and out.
maj 14, 2007 godzina 00:05
I tutaj masz troche spamu…
Na blogi i phpBB pomoże Sblam!.
sierpień 23, 2007 godzina 00:03
Ze spamowaniem for spotkałem się parę razy- w zasadzie to nie nowość. Ciekawe(oraz skuteczne) rozwiązanie znalazł administrator jednego z for na którym się udzielam. Polega ono na tym, że w pierwszym poście nie mogą się pojawić jakiekolwiek linki. Działa to skutecznie, choć jak zaobserwował wywłowuje to sztuczny ruch- boty siedzą na forum, lecz nie mogą nic napisać. Być może sposób będzie na tyle łatwy i skuteczny, że zostanie użyty na Twoim forum.
Pozdrawiam,
Karol
czerwiec 12, 2008 godzina 02:34
Ban lista botów
http://www.clanorb.com/banlist.php
czerwiec 18, 2008 godzina 13:48
Добрый день, уважаемая администрация форума http://www.ktos.info!
В мой ящик на mail.ru simpakisa@mail.ru пришло за ночь 430 писем со всякой дурацкой рекламой гостиниц, медикаментов, порно, и т.д.. Обратный адрес указан admin@www.ktos.info , administrator@www.ktos.info alex@www.ktos.info и другие. И все адреса с Вашего сайта!
Убедительно прошу Вас, вычеркнуть мой адрес из списка Вашей рассылки и не слать мне впредь всякую гадость. В противном случае, я буду вынуждена принять меры.
С уважением,
Лариса.
czerwiec 21, 2008 godzina 13:44
GuireeSip: I am sorry, but you - as me and most of the world - are under spam attack. None of this e-mail addresses exists on my mail server - there are all sent with fake sender address. I am receiving also a lot of stupid advertisement mails (about 30 a day!). Only what you (and me) can do is use anti-spam software or filters.