Zur Navigation

Abwehr von Spam-Bots

1 Gabi

[Anm. Jörg: Dieser und die folgenden Beiträge wurden aus diesem Thread abgetrennt]

Vielleicht sollte man die Flood-Sperre von der IP unabhängig machen.

In Veerle's Blog sieht es mir mit dem Allow 5 minutes between posts fast schon danach aus.

Gruß Gabi

04.01.2007 10:49 | geändert von Jörg: 05.01.2007 18:47

2 Jörg Kruse

Das heißt, das Gäste nur alle 5 Minuten posten könnn (ich habe dort keine Beschreibung gefunden)?

So eine Lösung wäre hier allerdings nicht notwendig gewesen, da mein Spamfilter den Bot ja bereits zu 100% blockte, d.h. es kam kein einziger Eintrag durch. Allerdings beeinträchtigten die zahlreichen Zugriffe auf das Script (an einem Tag über 18.000) die Performance des Forums. Deswegen musste ich den amoklaufenden Bot bereits außerhalb des Scriptes, in der .htaccess abfangen.

04.01.2007 11:51

3 Gabi

Zitat von Jörg
Das heißt, das Gäste nur alle 5 Minuten posten könnn (ich habe dort keine Beschreibung gefunden)?

Ich auch nicht, das habe ich da nur hineingedeutelt, weil diese Seite durch ihr PageRank bestimmt extrem spamgefährdet ist.

Zitat von Jörg
mein Spamfilter den Bot ja bereits zu 100% blockte
Ich weiß. Der ist ja auch so klasse, dass ich den seinerzeit bei mir auch gleich noch in sämtliche anderen Formulare meiner Webseiten eingebaut habe! :-)

Zitat von Jörg
bereits außerhalb des Scriptes, in der .htaccess abfangen.
Solange man das kann, ist es ja auch besser so, ich meinte das andere eher für alle Fälle: Ich habe bei mir mysteriöse Zugriffe auf bestimmten Seiten und konnte dort zumindest auf die Schnelle keine IP feststellen. Und wenn man sie hat, hilft es eben auch nicht immer weiter.

Mit Foren kenne ich mich nicht so gut aus, aber ich dachte, wenn jeder 5 Minuten Zeit hat, um seinen Beitrag nochmal durchzulesen, kann das doch dabei bestimmt meistens auch nicht so schaden.

Gruß Gabi

04.01.2007 12:54

4 Jörg Kruse

Ich habe bei mir mysteriöse Zugriffe auf bestimmten Seiten und konnte dort zumindest auf die Schnelle keine IP feststellen. Und wenn man sie hat, hilft es eben auch nicht immer weiter.

Ja, viele wechseln inzwischen bei jedem Zugriff die IP - entweder gehen sie über verschiedene Proxies oder über ein Botnet.

Mit Foren kenne ich mich nicht so gut aus, aber ich dachte, wenn jeder 5 Minuten Zeit hat, um seinen Beitrag nochmal durchzulesen, kann das doch dabei bestimmt meistens auch nicht so schaden.

Naja, die Durchschnitts-Spambots wird das nicht treffen, die posten ja schon in größeren Abständen, und wenn mal etwas nicht durchkommt, ist das aus ihrer Sucht sicher nicht tragisch. Wenn alle fünf Minuten ein Post durchkommt, ist das ja schon ein Erfolg :/

Dieser Spam-Bot aus Bulgarien war hier aber schon die Ausnahme, sein brachiales Vorgehen war ja irgendwo auch ohne Sinn und Verstand. Bei dem hätte ein solcher Floodingschutz auch nicht verhindert, dass die Zugriffe das Forum lähmen. Dem war es anscheinend auch egal, ob überhaupt etwas durchkommt oder nicht. Zum Glück ist er aber noch so plump, dass man ihn relativ leicht filtern kann. Und seit kurzem gibt er Ruhe, vielleicht hat er sich ja doch endlich aufgrund der 403er andere Ziele gesucht (wenn dies nicht die berühmte Ruhe vor dem nächsten Strum ist ;))

04.01.2007 17:13 | geändert: 04.01.2007 17:17

5 Gabi

Dieser Spam-Bot aus Bulgarien war hier aber schon die Ausnahme

Noch.

sein brachiales Vorgehen war ja irgendwo auch ohne Sinn und Verstand.

Nicht unbedingt, siehe z.B. Spam 2.0 (Seite 1-5).
Der Artikel enthält auch den Gedanken, sich beim Programmieren der Spamfilter künftig vielleicht besser noch mehr auf die Erkennung der sauberen Postings statt auf die des Spam zu konzentrieren.

Falls man über die .htaccess mal nicht mehr weiterkommt, kann ich mir vorstellen, dass neben einem leistungsfähigen Filter vorläufig folgendes auch noch ganz gut helfen könnte:
1. Regelmäßiges Umbenennen der Dateinamen von Formularen bzw. des Skripts, welches die Formulardaten absendet.
1.1. ggf. zusätzlich öfter wechselnde Abfragen einbauen. Wobei das nicht so einfach ist, zu entscheiden, was wirklich jeder beantworten kann, auf meine Frage Wie heißt die deutsche Hauptstadt kam jedenfalls prompt die Antwort: Bonn. Letztes Jahr, versteht sich.
2. Die Site auf ein möglichst niedriges Google PageRank bringen: Wo ich nur 2 oder weniger habe, ist bisher kaum Spam festzustellen (BTW ohne dass es irgendeinen erkennbaren Einfluss auf die SERP hat).

Ich programmiere außerdem Spamfilter immer ohne Fehlermeldung, d.h. für den Sendenden ist nicht erkennbar, dass das Formular nicht abgeschickt wurde, um Reaktionen zu verzögern.

Gruß Gabi

05.01.2007 17:06

6 Jörg Kruse

Zitat von Gabi
Dieser Spam-Bot aus Bulgarien war hier aber schon die Ausnahme

Noch.

sein brachiales Vorgehen war ja irgendwo auch ohne Sinn und Verstand.

Nicht unbedingt, siehe z.B. Spam 2.0 (Seite 1-5).

Du meinst, dass Bandbreite wegen der Botnets für die Spammer immer weniger ein Problem ist? Das ist schon richtig. Dennoch ist es denke ich auch aus Sicht eines Spammers nicht sinnvoll, die Zugriffe derart massiv auf einzelne Hosts zu konzentrieren, wie es dieser Bot getan hat, d.h. mehrere Zugriffe pro Sekunde. Die Scripte können dann u.U. gar nicht so viele Posts auf einmal verarbeiten, vielmehr droht eine schnellere Entdeckung, wenn die Performance der betreffenden Scripte dann leidet - ich hatte hier deswegen auch Ausfälle auf dem gesamten Webspace. "Sinnvoller" aus Sicht eines Spammers wäre es wohl, die Posts auf möglichst viele Hosts zu verteilen und damit unterm Radar zu bleiben und aller Wahrscheinlichkeit nach dadurch auch wesentlich mehr Posts absetzen zu können.

Der Artikel enthält auch den Gedanken, sich beim Programmieren der Spamfilter künftig vielleicht besser noch mehr auf die Erkennung der sauberen Postings statt auf die des Spam zu konzentrieren.

Naja, ich würde sagen, es kommt darauf an, die Unterschiede zwischen Spam und Nicht-Spam herauszuarbeiten, dazu muss man natürlich beide miteinander vergleichen.

Falls man über die .htaccess mal nicht mehr weiterkommt, kann ich mir vorstellen, dass neben einem leistungsfähigen Filter vorläufig folgendes auch noch ganz gut helfen könnte:
1. Regelmäßiges Umbenennen der Dateinamen von Formularen bzw. des Skripts, welches die Formulardaten absendet.

Ja, v.a. bei Standardsoftware kann dies sinnvoll sein, da die standardisierten Dateinamen von Formularen in solchen Fällen automatisiert über Suchmaschinen gesucht werden

1.1. ggf. zusätzlich öfter wechselnde Abfragen einbauen. Wobei das nicht so einfach ist, zu entscheiden, was wirklich jeder beantworten kann, auf meine Frage Wie heißt die deutsche Hauptstadt kam jedenfalls prompt die Antwort: Bonn. Letztes Jahr, versteht sich.

Das ist das grundsätzliche Problem bei Captchas und solchen Question Mods, dass man manchmal auch menschliche Benutzer damit ausschließt. Letztens hatte ich an die 10 mal einen Captcha-Code eingeben müssen, der so verbogen war, dass nicht nur die Bots damit ihre Mühe haben ;) Und manche Spammer lassen solche Abfragen inzwischen auch indirekt über andere Webseiten lösen, wo menschliche User den Code z.B. eingegeben müssen, um Zugang zu einer Pornoseite zu erhalten. Das Script der Pornoseite schickt das Ergebnis dann wieder zurück an das eigentliche Spam-Script, welches damit dann seinen Eintrag tätigen kann. Aber einen Großteil der Bots kann man mithilfe von Captchas wohl noch am Sapmmen hindern

2. Die Site auf ein möglichst niedriges Google PageRank bringen: Wo ich nur 2 oder weniger habe, ist bisher kaum Spam festzustellen (BTW ohne dass es irgendeinen erkennbaren Einfluss auf die SERP hat).

Wenn es sich um eine reine Formularseite handelt, oder ohne Inhalt der indiziert werden soll, würde ich grundsätzlich sogar die Meta-Angabe "noindex" empfehlen. Dann wird das Formular nur selten von einem Bot gefunden.

05.01.2007 21:20 | geändert: 05.01.2007 21:27

7 Gabi

[Dateinamen umbenennen] v.a. bei Standardsoftware kann dies sinnvoll sein

Ja. Aber leider ist es gerade da meist alles andere als einfach. Auch um deren Spamfilter zu editieren, ist oft erheblicher Einarbeitungs-Zeitaufwand nötig, weil die Programme mit Funktionen so überladen sind. Wenn man mitunter liest, was WordPress & Co.-Benutzer in der Hinsicht mit Plugins für einen Aufwand betreiben müssen (die dann ihrerseits womöglich auch noch eigene Mängel haben), fragt man sich, wie sinnvoll es ist, zum Schreiben von Webseiten Standardsoftware zu benutzen. Die Zeit, die man bei der Einrichtung spart, verplempert man später jedenfalls mit Workarounds. Also doppelt glücklich, wer z.B. Jörgs Forum nutzen kann. :-)

reine Formularseite [...] Meta-Angabe "noindex" empfehlen.
Ja, und danke, das erinnert mich daran, das noch bei einigen älteren Seiten nachzuholen! Bin nur mal gespannt, ob das nachträglich noch was nützt. Insofern wäre vielleicht notfalls auch zu überlegen, ob man in Foren-Threads das Formular auslagert (wie z.B. in Deinem Blog) statt es unten ranzuhängen.

Gruß Gabi

07.01.2007 19:41

8 Jörg Kruse

Zitat von Gabi
[Dateinamen umbenennen] v.a. bei Standardsoftware kann dies sinnvoll sein

Ja. Aber leider ist es gerade da meist alles andere als einfach.

btw: die kommende Version der Forensoftware habe ich übrigens auch so geändert, dass man nurmehr eine Variable in der Konfiguration ändern muss, sowie den betreffenden Eintrag in der .htaccess um die URL des Scriptes zu ändern, über welches die Einträge vorgenommen werden :)

reine Formularseite [...] Meta-Angabe "noindex" empfehlen.
Ja, und danke, das erinnert mich daran, das noch bei einigen älteren Seiten nachzuholen! Bin nur mal gespannt, ob das nachträglich noch was nützt.

Nein, leider nur prophylaktisch - sobald die Schmeißfliegen das Formular gefunden, wird man die nicht mehr los :( - da hilft dann nur die Umbenennung

Insofern wäre vielleicht notfalls auch zu überlegen, ob man in Foren-Threads das Formular auslagert (wie z.B. in Deinem Blog) statt es unten ranzuhängen.

Das Script, an welches das Formular die Daten sendet, wird aber bereits über eine andere URL aufgerufen, die man auch leicht ändern kann - dazu muss man das Formular nicht verlegen

07.01.2007 21:35 | geändert: 07.01.2007 21:38

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]