Spamrobots weren uit reactieformulier website

tja, picture identity er op plaatsen (plaatje met cijfers/letters die de poster moet invullen, is dit fout dan gaat de post niet door )

Wij hebben ook van alles geprobeerd. Uiteindelijk werkt toch de combinatie met cijfers/letters het beste. Op alle andere manieren bleeft het doorgaan.
Ik ben benieuwd of je wat anders vind.

[ Voor 14% gewijzigd door MADG0BLIN op 11-05-2006 12:24 ]

Kijk anders eens naar J.A.G van crisp. Volgens mij heeft die ingebouwde bot-afwering (afaik)

SpamPoison

Zorgt ervoor dat de searchbot in een infinet loop komt een hun database vervuilt

[ Voor 41% gewijzigd door Verwijderd op 11-05-2006 12:27 ]

Outerspace schreef op donderdag 11 mei 2006 @ 12:24:
Kijk anders eens naar J.A.G van crisp. Volgens mij heeft die ingebouwde bot-afwering (afaik)

Die gebruik ik voor prive ook, maar daar heb ik zeker last van Spam gehad. Er zit wel een ban optie in, maar ze bleven terugkomen..

Verwijderd schreef op donderdag 11 mei 2006 @ 12:26:
SpamPoison

Zorgt ervoor dat de searchbot in een infinet loop komt een hun database vervuilt

Dat is erg interessant, maar die makers van de bots zijn toch ook niet achterlijk? Als die eenmalig een check inbouwen of er spampoison.com in de url staat en hem dan weert, dan is het waardeloos toch?

Ik heb in een gastenboek hetzelfde probleem gehad en heb een check ingebouwd die het geplaatste bericht controleert of enkele woorden (zoals viagra, pharma, sex, free etc.) en sindsdien is het gastenboek schoon terwijl daarvoor wekenlang er elke nacht zo'n 50 entry's met spam in kwamen. Misschien een idee?

ik zit er ook over na te denken, ik heb een tijdje met javascript de action van het form pas op de client gezet, dit werkte op zich wel een tijdje, maar nu komt men er toch door

wat je zou kunnen proberen (ik moet het zelf ook nog eens uitzoeken)
- op de server controleren of de reactiepagina is uberhaupt opgevraagd (dit voorkomt een aantal bots die direct posten)
- op de client de action met javascript zetten (weert bots zonder javascript), eventueel pas na een x aantal seconden
- een cookie verificatie (weert bots die geen cookies kunnen)

verder sta ik open voor ideeen

Op m'n wordpress heb ik vroeger eens geexperimenteerd met een "didyoupassmath" plugin. Die vroeg om 2 simpele getalletjes op te tellen en de som in te vullen, en alleen bij een correct antwoord werd de rest van de code afgehandeld.

Zoiets is héél simpel te maken, of je kan alles uit die plugin halen ... misschien is die drempel lager?

Genereer je reactie-formuliertje vanuit een javascript Als je dat een beetje handig aanpakt snapt geen botje het meer.

Barracuda_82 je kan wellicht proberen om de meest gebruikte woorden automatisch te weren. 'k Blokkeer in m'n shoutbox bijvoorbeeld de woorden:

"porn", "gay", "viagra", "sex", "http",
"href", "src", "onclick", "animal", "beastality",
"lolita", "www", ".com", ".org", ".net",
".ru", ".xxx", ".nl", ".tk", "seks",
"blowjob", "video-poker", ".cc", "img", ".nu",
"bingo", "casino"

En sindsdien heb ik vrijwel geen last meer van spammers (van 10 berichten per DAG, naar max. 3 per week).


Misschien is het voor jou handig om http, www, etcetera wel toe te laten, maar zorg er dan in ieder geval voor dat de rest wel geblokkeerd wordt.

[ Voor 25% gewijzigd door TRON op 11-05-2006 12:48 ]

misschien met js de tijd tussen pagina openen en submitten uitrekenen, meesturen, op de server delen door het aantal characters in de post en als dat te bizar hoog is verwerpen

Ik heb een extra invulveld gemaakt waar mensen "123" in moeten typen. Werkt als een tiet, daarna nooit meer problemen gehad. Ik denk dat het voor kleine sites ook meer dan afdoende is.

Voor grotere sites moet je inderdaad naar andere oplossingen kijken: woordfilters, linkfilters, captcha, ip-lijsten, enz.

Ik gebruik een stukje javascript wat onsubmit een hidden veld aan het formulier toevoegt met een md5 van de datum; die kan ik dan serverside checken. Het ging bij mij niet om een reactie veld, maar om een mailformulier wat een aantal keer een header injectie heeft gevangen en misbruikt is om mee te spammen. Voor zover heb ik na deze wijziging geen spambots er doorheen zien komen.

Waarom niet de volgende oplossing:

* Invulveld voor "random" nummer
* Met JS het veld invullen voor de bezoeker

Ondersteunt de bezoeker geen JS, dan moeten ze die code invullen (bots), ondersteunen ze JS dan is de drempel laag genoeg?

In mijn code check ik elke het aantal toetsaanslagen met onchange, in het bericht veld. Dit aantal stuur ik mee in een hidden-field als dit kleiner dan 10 is negeer ik het bericht.
ps. nog nooit last gehad van een spam-bot...

Ondersteunt de bezoeker geen JS, dan moeten ze die code invullen (bots), ondersteunen ze JS dan is de drempel laag genoeg?

Er zijn geanvanceerde bots die wel JS ondersteunen, deze laden de pagina in een browser en voegen via een soort copy-past acties de data in. Bij mijn code worden die ook genegeert aangezien ze geen 10 veranderingen in het tekstveld veroorzaken.

[ Voor 47% gewijzigd door djexplo op 11-05-2006 13:15 ]

djexplo schreef op donderdag 11 mei 2006 @ 13:07:
In mijn code check ik elke het aantal toetsaanslagen met onchange, in het bericht veld. Dit aantal stuur ik mee in een hidden-field als dit kleiner dan 10 is negeer ik het bericht.
ps. nog nooit last gehad van een spam-bot...


[...]
Er zijn geanvanceerde bots die wel JS ondersteunen, deze laden de pagina in een browser en voegen via een soort copy-past acties de data in. Bij mijn code worden die ook genegeert aangezien ze geen 10 veranderingen in het tekstveld veroorzaken.

Behalve als men gericht op jouw website wil spammen. Men zoekt de hidden-field op en post die gewoon mee met een grotere waarde dan 10

Een waslijst met ban-woorden gebruiken helpt tegenwoordig al bijna niet meer.
In plaats van "viagra" wordt het nu op 1001 manieren gespeld
- v i a g r a
- v1agra
En zo kun je er nog 10 verzinnen. En dan heb je het niet eens over alle woorden
van medicijnen en porno e.d. Ik kreeg er op mijn Wordpress site ook erg veel last van,
en heb een aantal dingen geprobeerd.

Als eerste een oneindige waslijst met namen ("v i a g r a" enzo), wat maar een tijdelijke
oplossing was. Daarna een emailcloaker... je emailadres met Javascript of simpele html
omzetten naar andere tekens (een soort geheimtaal). JavaScript werkt, maar als een
bezoeker dat uit heeft staan houdt dat feest ook op. En bots werden op ten duur slim
genoeg om die html-geheimtaal te ontcijferen.

De enige écht goedwerkende oplossing imho, is toch echt het laten invullen van een
derde veld. Dit kan zo'n simpele rekensom zijn of een code-image. Maar voor zover
ik heb kunnen ervaren was dat het enige wat echt alle spam tegenhield.
Er schijnen een aantal php-mogelijkheden te zijn, zoals het opbreken van je emailadres.
Maar daar heb ik dan helaas weer geen ervaring mee

Mvg,
Joram

works fine hier

Hier zijn al enorm veel topics over met nuttige tips. Zie bijv deze (laatste post vooral) en deze topic.

Mijn gastboek werd ook bedolven onders spam.

Ik heb het gastboek verhuist naar een nieuwe map en deze in bots.txt verboden voor zoekmachines.
Sindsdien geen enkel spam bericht meer ontvangen.

Wat bij mij 99% van de bots tegenhoud is controlleren op referer en http_user_agent. In veel gevallen is 1 van de twee leeg. Nadeel hieraan is dat een browser niet verplicht is 1 van deze twee mee te sturen, naar mijn weten doen de meeste gebruikte browsers dit wel.

P.S. controleer op enter karakters in velden waar een normale gebruiker geen enters kan zetten, dus alleen niet "textarea"-velden. Spambots proberen vaak BCC's te versturen door spul (met enters) te injecteren in je mail-header.

[ Voor 31% gewijzigd door Verwijderd op 11-05-2006 15:23 ]

Ik heb 2 oplossingen toegepast en beide werken tot nu toe probleemloos. CAPTCHA vond ik niks, maar dat heeft meer te maken het het feit dat de gemiddelde bezoekers van één van mijn sites niet zo bekend met computers & internet is.

- Het stellen van een simpele vraag zoals 'wat is de hoofdstad van Nederland'.
- Men moet een valid emailadres opgeven waarna zij een mailtje krijgen met een link om hun bericht te activeren.

Icey schreef op donderdag 11 mei 2006 @ 15:28:
Ik heb 2 oplossingen toegepast en beide werken tot nu toe probleemloos. CAPTCHA vond ik niks, maar dat heeft meer te maken het het feit dat de gemiddelde bezoekers van één van mijn sites niet zo bekend met computers & internet is.

- Het stellen van een simpele vraag zoals 'wat is de hoofdstad van Nederland'.
- Men moet een valid emailadres opgeven waarna zij een mailtje krijgen met een link om hun bericht te activeren.

Die laatste lijkt me al helemaal niks. Werden alle berichten ook echt geactiveerd?

Tot nu toe wel, op een paar uitzonderingen na... maar dat zijn dan vaak ook vrij kansloze berichten die het activeren niet waard zijn. Het is natuurlijk een afweging die je zelf moet maken, afhankelijk van je doelgroep/bezoekers, content etc etc.