Spamrobots weren uit reactieformulier website

Pagina: 1
Acties:
  • 166 views sinds 30-01-2008
  • Reageer

  • Barracuda_82
  • Registratie: September 2001
  • Laatst online: 19-12-2024

Barracuda_82

mkTime(), not war!

Topicstarter
Op mijn website heb ik een aantal tutorials staan. Onlangs heb ik de website vernieuwd en een reactiemogelijkheid toegevoegd zodat bezoekers een berichtje achter kunnen laten die betrekking heeft op een tutorial. De drempel om een reactie te plaatsen wil ik absoluut zo laag mogelijk houden. Een bezoeker hoeft alleen zijn naam en een reactie in te vullen.

Nu heb ik de laatste tijd heel veel last van spamrobots die het formulier volspammen met allerlei links naar sex/casino/etc websites. Dit probleem is op te lossen dmv een verificatie met een code in een plaatje, maar dan wordt de drempel om een reactie te plaatsen al veel te hoog.

Ik zoek een oplossing om deze robots te weren en de drempel toch laag te houden voor bezoekers om een bericht achter te laten. Op internet wordt steeds de code-verificatie optie als oplossing aangedragen, maar dat vind ik geen goede oplossing.

  • KatirZan
  • Registratie: September 2001
  • Laatst online: 06-02 15:25

KatirZan

Wandelende orgaanzak

tja, picture identity er op plaatsen (plaatje met cijfers/letters die de poster moet invullen, is dit fout dan gaat de post niet door ;) )

Wabbawabbawabbawabba


  • Barracuda_82
  • Registratie: September 2001
  • Laatst online: 19-12-2024

Barracuda_82

mkTime(), not war!

Topicstarter
KatirZan schreef op donderdag 11 mei 2006 @ 12:22:
tja, picture identity er op plaatsen (plaatje met cijfers/letters die de poster moet invullen, is dit fout dan gaat de post niet door ;) )
Dat snap ik. Maar zoals ik al 2 keer in mijn SP zeg is dat dus geen optie.

  • MADG0BLIN
  • Registratie: Juni 2001
  • Laatst online: 21:53
Wij hebben ook van alles geprobeerd. Uiteindelijk werkt toch de combinatie met cijfers/letters het beste. Op alle andere manieren bleeft het doorgaan.
Ik ben benieuwd of je wat anders vind.

[ Voor 14% gewijzigd door MADG0BLIN op 11-05-2006 12:24 ]


  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 21:31

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Kijk anders eens naar J.A.G van crisp. Volgens mij heeft die ingebouwde bot-afwering (afaik) :)

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)


Verwijderd

SpamPoison >:)

Zorgt ervoor dat de searchbot in een infinet loop komt een hun database vervuilt })

[ Voor 41% gewijzigd door Verwijderd op 11-05-2006 12:27 ]


  • MADG0BLIN
  • Registratie: Juni 2001
  • Laatst online: 21:53
Outerspace schreef op donderdag 11 mei 2006 @ 12:24:
Kijk anders eens naar J.A.G van crisp. Volgens mij heeft die ingebouwde bot-afwering (afaik) :)
Die gebruik ik voor prive ook, maar daar heb ik zeker last van Spam gehad. Er zit wel een ban optie in, maar ze bleven terugkomen.. :(

  • Cartman!
  • Registratie: April 2000
  • Niet online
Verwijderd schreef op donderdag 11 mei 2006 @ 12:26:
SpamPoison >:)

Zorgt ervoor dat de searchbot in een infinet loop komt een hun database vervuilt })
Dat is erg interessant, maar die makers van de bots zijn toch ook niet achterlijk? Als die eenmalig een check inbouwen of er spampoison.com in de url staat en hem dan weert, dan is het waardeloos toch?

Ik heb in een gastenboek hetzelfde probleem gehad en heb een check ingebouwd die het geplaatste bericht controleert of enkele woorden (zoals viagra, pharma, sex, free etc.) en sindsdien is het gastenboek schoon terwijl daarvoor wekenlang er elke nacht zo'n 50 entry's met spam in kwamen. Misschien een idee?

Verwijderd

ik zit er ook over na te denken, ik heb een tijdje met javascript de action van het form pas op de client gezet, dit werkte op zich wel een tijdje, maar nu komt men er toch door

wat je zou kunnen proberen (ik moet het zelf ook nog eens uitzoeken)
- op de server controleren of de reactiepagina is uberhaupt opgevraagd (dit voorkomt een aantal bots die direct posten)
- op de client de action met javascript zetten (weert bots zonder javascript), eventueel pas na een x aantal seconden
- een cookie verificatie (weert bots die geen cookies kunnen)

verder sta ik open voor ideeen

  • Shaidar
  • Registratie: September 2001
  • Laatst online: 06-01 14:43

Shaidar

Op m'n wordpress heb ik vroeger eens geexperimenteerd met een "didyoupassmath" plugin. Die vroeg om 2 simpele getalletjes op te tellen en de som in te vullen, en alleen bij een correct antwoord werd de rest van de code afgehandeld.

Zoiets is héél simpel te maken, of je kan alles uit die plugin halen ... misschien is die drempel lager?

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)


  • frickY
  • Registratie: Juli 2001
  • Laatst online: 17-02 09:21
Genereer je reactie-formuliertje vanuit een javascript ;) Als je dat een beetje handig aanpakt snapt geen botje het meer.

  • TRON
  • Registratie: September 2001
  • Laatst online: 17-02 12:21
Barracuda_82 je kan wellicht proberen om de meest gebruikte woorden automatisch te weren. 'k Blokkeer in m'n shoutbox bijvoorbeeld de woorden:
"porn", "gay", "viagra", "sex", "http",
"href", "src", "onclick", "animal", "beastality",
"lolita", "www", ".com", ".org", ".net",
".ru", ".xxx", ".nl", ".tk", "seks",
"blowjob", "video-poker", ".cc", "img", ".nu",
"bingo", "casino"
En sindsdien heb ik vrijwel geen last meer van spammers (van 10 berichten per DAG, naar max. 3 per week).


Misschien is het voor jou handig om http, www, etcetera wel toe te laten, maar zorg er dan in ieder geval voor dat de rest wel geblokkeerd wordt.

[ Voor 25% gewijzigd door TRON op 11-05-2006 12:48 ]

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)


Verwijderd

misschien met js de tijd tussen pagina openen en submitten uitrekenen, meesturen, op de server delen door het aantal characters in de post en als dat te bizar hoog is verwerpen

  • André
  • Registratie: Maart 2002
  • Laatst online: 20-02 09:23

André

Analytics dude

Ik heb een extra invulveld gemaakt waar mensen "123" in moeten typen. Werkt als een tiet, daarna nooit meer problemen gehad. Ik denk dat het voor kleine sites ook meer dan afdoende is.

Voor grotere sites moet je inderdaad naar andere oplossingen kijken: woordfilters, linkfilters, captcha, ip-lijsten, enz. :)

  • Rowanov
  • Registratie: Februari 2004
  • Niet online

Rowanov

Kop eens wat anders...

Ik gebruik een stukje javascript wat onsubmit een hidden veld aan het formulier toevoegt met een md5 van de datum; die kan ik dan serverside checken. Het ging bij mij niet om een reactie veld, maar om een mailformulier wat een aantal keer een header injectie heeft gevangen en misbruikt is om mee te spammen. Voor zover heb ik na deze wijziging geen spambots er doorheen zien komen.

  • BtM909
  • Registratie: Juni 2000
  • Niet online

BtM909

Watch out Guys...

Waarom niet de volgende oplossing:

* Invulveld voor "random" nummer
* Met JS het veld invullen voor de bezoeker

Ondersteunt de bezoeker geen JS, dan moeten ze die code invullen (bots), ondersteunen ze JS dan is de drempel laag genoeg?

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.


  • djexplo
  • Registratie: Oktober 2000
  • Laatst online: 21-12-2025
In mijn code check ik elke het aantal toetsaanslagen met onchange, in het bericht veld. Dit aantal stuur ik mee in een hidden-field als dit kleiner dan 10 is negeer ik het bericht.
ps. nog nooit last gehad van een spam-bot...
Ondersteunt de bezoeker geen JS, dan moeten ze die code invullen (bots), ondersteunen ze JS dan is de drempel laag genoeg?
Er zijn geanvanceerde bots die wel JS ondersteunen, deze laden de pagina in een browser en voegen via een soort copy-past acties de data in. Bij mijn code worden die ook genegeert aangezien ze geen 10 veranderingen in het tekstveld veroorzaken.

[ Voor 47% gewijzigd door djexplo op 11-05-2006 13:15 ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'


  • TRON
  • Registratie: September 2001
  • Laatst online: 17-02 12:21
djexplo schreef op donderdag 11 mei 2006 @ 13:07:
In mijn code check ik elke het aantal toetsaanslagen met onchange, in het bericht veld. Dit aantal stuur ik mee in een hidden-field als dit kleiner dan 10 is negeer ik het bericht.
ps. nog nooit last gehad van een spam-bot...


[...]
Er zijn geanvanceerde bots die wel JS ondersteunen, deze laden de pagina in een browser en voegen via een soort copy-past acties de data in. Bij mijn code worden die ook genegeert aangezien ze geen 10 veranderingen in het tekstveld veroorzaken.
Behalve als men gericht op jouw website wil spammen. Men zoekt de hidden-field op en post die gewoon mee met een grotere waarde dan 10 :)

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)


  • Barracuda_82
  • Registratie: September 2001
  • Laatst online: 19-12-2024

Barracuda_82

mkTime(), not war!

Topicstarter
Hoe gaan de robots te werk eigenlijk? Ik lees dat er verschillende manieren zijn waarop ze werken, maar welke wordt het meest gebruikt?

  • Kapotlood
  • Registratie: Mei 2006
  • Laatst online: 20-02 19:02
Een waslijst met ban-woorden gebruiken helpt tegenwoordig al bijna niet meer.
In plaats van "viagra" wordt het nu op 1001 manieren gespeld
- v i a g r a
- v1agra
En zo kun je er nog 10 verzinnen. En dan heb je het niet eens over alle woorden
van medicijnen en porno e.d. Ik kreeg er op mijn Wordpress site ook erg veel last van,
en heb een aantal dingen geprobeerd.

Als eerste een oneindige waslijst met namen ("v i a g r a" enzo), wat maar een tijdelijke
oplossing was. Daarna een emailcloaker... je emailadres met Javascript of simpele html
omzetten naar andere tekens (een soort geheimtaal). JavaScript werkt, maar als een
bezoeker dat uit heeft staan houdt dat feest ook op. En bots werden op ten duur slim
genoeg om die html-geheimtaal te ontcijferen.

De enige écht goedwerkende oplossing imho, is toch echt het laten invullen van een
derde veld. Dit kan zo'n simpele rekensom zijn of een code-image. Maar voor zover
ik heb kunnen ervaren was dat het enige wat echt alle spam tegenhield.
Er schijnen een aantal php-mogelijkheden te zijn, zoals het opbreken van je emailadres.
Maar daar heb ik dan helaas weer geen ervaring mee :)

Mvg,
Joram

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 21:57

chem

Reist de wereld rond

PHP:
1
2
3
4
if(preg_match('/(\\[url=)|(<a href=)/', $_POST['data']['reactie']))
{
    echo "<p><b>URL- en a href-tags zijn niet toegestaan!</b></p><hr>";
}

works fine hier :)

Klaar voor een nieuwe uitdaging.


  • Blaise
  • Registratie: Juni 2001
  • Niet online
Hier zijn al enorm veel topics over met nuttige tips. Zie bijv deze (laatste post vooral) en deze topic.

  • Primator
  • Registratie: September 2001
  • Laatst online: 20:45
Mijn gastboek werd ook bedolven onders spam.

Ik heb het gastboek verhuist naar een nieuwe map en deze in bots.txt verboden voor zoekmachines.
Sindsdien geen enkel spam bericht meer ontvangen.

There is no place like 127.0.0.1


Verwijderd

Wat bij mij 99% van de bots tegenhoud is controlleren op referer en http_user_agent. In veel gevallen is 1 van de twee leeg. Nadeel hieraan is dat een browser niet verplicht is 1 van deze twee mee te sturen, naar mijn weten doen de meeste gebruikte browsers dit wel.

P.S. controleer op enter karakters in velden waar een normale gebruiker geen enters kan zetten, dus alleen niet "textarea"-velden. Spambots proberen vaak BCC's te versturen door spul (met enters) te injecteren in je mail-header.

[ Voor 31% gewijzigd door Verwijderd op 11-05-2006 15:23 ]


  • Icey
  • Registratie: November 2001
  • Laatst online: 22-02 14:06
Ik heb 2 oplossingen toegepast en beide werken tot nu toe probleemloos. CAPTCHA vond ik niks, maar dat heeft meer te maken het het feit dat de gemiddelde bezoekers van één van mijn sites niet zo bekend met computers & internet is.

- Het stellen van een simpele vraag zoals 'wat is de hoofdstad van Nederland'.
- Men moet een valid emailadres opgeven waarna zij een mailtje krijgen met een link om hun bericht te activeren.

  • Muthas
  • Registratie: December 2005
  • Niet online

Muthas

O+

Icey schreef op donderdag 11 mei 2006 @ 15:28:
Ik heb 2 oplossingen toegepast en beide werken tot nu toe probleemloos. CAPTCHA vond ik niks, maar dat heeft meer te maken het het feit dat de gemiddelde bezoekers van één van mijn sites niet zo bekend met computers & internet is.

- Het stellen van een simpele vraag zoals 'wat is de hoofdstad van Nederland'.
- Men moet een valid emailadres opgeven waarna zij een mailtje krijgen met een link om hun bericht te activeren.
Die laatste lijkt me al helemaal niks. Werden alle berichten ook echt geactiveerd?

  • Icey
  • Registratie: November 2001
  • Laatst online: 22-02 14:06
Tot nu toe wel, op een paar uitzonderingen na... maar dat zijn dan vaak ook vrij kansloze berichten die het activeren niet waard zijn. Het is natuurlijk een afweging die je zelf moet maken, afhankelijk van je doelgroep/bezoekers, content etc etc.
Pagina: 1