amiga-news DEUTSCHE VERSION
.
Links| Forums| Comments| Report news
.
Chat| Polls| Newsticker| Archive
.

amiga-news.de Forum > Forum und Interna > Spam-Welle [ - Search - New posts - Register - Login - ]

-1- [ - Post reply - ]

2014-03-19, 12:13 h

Holger
Posts: 8116
User
Hallo,
ihr werdet gerade massiv zugespammt. Hatte zuerst die „Kommentar melden“ Funktion benutzt, bevor ich gemerkt habe, wie viele Threads betroffen sind.

http://amiga-news.de/de/news/comments/thread/AN-2014-02-00038-DE.html
http://amiga-news.de/de/news/comments/thread/AN-2014-03-00030-DE.html
http://amiga-news.de/de/news/comments/thread/AN-2014-03-00031-DE.html

ist nur eine ganz kleine Auswahl.

Das schreit nach schnellen Gegenmaßnahmen…

--
Good coders do not comment. What was hard to write should be hard to read too.

[ - Answer - Quote - Direct link - ]

2014-03-19, 16:23 h

cgutjahr
Posts: 2779
[Administrator]
Ja, so macht der Betrieb einer Webseite Spaß :/

Hab mal eine IP-Sperre eingerichtet, das sollte uns hoffentlich erst mal ein bisschen Ruhe verschaffen bis Sven sich eine Lösung überlegt hat.

Der erste, der die Abschaltung anonymer Kommentare fordert, macht 50 Strafliegestützen!

[ - Answer - Quote - Direct link - ]

2014-03-19, 18:10 h

huepper
Posts: 481
User
Zitat:
Original von cgutjahr:...
Der erste, der die Abschaltung anonymer Kommentare fordert, macht 50 Strafliegestützen!


Ok, dann aber auch abschalten. :P :D
--
Signatur ? hmm wo hab ich sie nur wieder ?

[ - Answer - Quote - Direct link - ]

2014-03-20, 10:41 h

Doc
Posts: 355
User
Auf einer meiner Seiten fordere ich fürs Gästebuch die Lösung einer einfachen mathematischen Aufgabe. Summanden und Ergebnis werden dann ans eintragende Script übergeben. Das ist mein eigener Code und damit für Spambots nicht identifizierbar. Musste ich nach einem ersten Angriff 2011 schreiben und hat mir seither Probleme vom Hals gehalten.

Nur für den Fall, dass auch weiterhin anonyme Einträge gestattet bleiben sollen ;-P.
--
Ex Amiga-Computerist

[ - Answer - Quote - Direct link - ]

2014-03-20, 11:58 h

_PAB_
Posts: 3016
User
Eine schnelle Lösung wäre evtl. auch einen IP-Blocker zu verwenden, der (übrigens wie im Forum!) nach einer bestimmten Anzahl von (anonymen) Postings innerhalb einer gegebenen Zeitspanne anspringt.

[ Dieser Beitrag wurde von _PAB_ am 20.03.2014 um 11:58 Uhr geändert. ]

[ - Answer - Quote - Direct link - ]

2014-03-20, 18:09 h

cgutjahr
Posts: 2779
[Administrator]
Zitat:
Original von huepper:
Zitat:
Original von cgutjahr:...
Der erste, der die Abschaltung anonymer Kommentare fordert, macht 50 Strafliegestützen!


Ok, dann aber auch abschalten. :P :D

LOL, träum weiter ;)

[ - Answer - Quote - Direct link - ]

2014-03-21, 16:35 h

Holger
Posts: 8116
User
Wenn ihr dem User immer die gleichen Rechenaufgabe stellt, wird dieser Schutz allerdings nicht sehr lange halten…

--
Good coders do not comment. What was hard to write should be hard to read too.

[ - Answer - Quote - Direct link - ]

2014-03-22, 21:24 h

_PAB_
Posts: 3016
User
@Holger:
Sehen wir mal...
Wenn man bedenkt, wie lange wir "ohne alles" ausgekommen sind, könnte es vielleicht eine Weile gut gehen. ;-)

[ - Answer - Quote - Direct link - ]

2014-03-25, 09:51 h

Archeon
Posts: 1810
User
50 Strafliegestützen würden manchen gut tun um Pfunde zu verlieren
;(
--
Ich liebe Arcadespiele :)

http://www.arcadezentrum.com

[ - Answer - Quote - Direct link - ]

2014-04-02, 15:53 h

MsaerdnA
Posts: 2
User
Dann melde ich mich auch mal zu Wort...

Ich habe das Captcha-Thema hier angesprochen:
http://amiga-news.de/de/news/comments/thread/AN-2014-03-00062-DE.html

Worauf cgutjahr folgendes geantwortet hat:
Zitat:
Das hängt davon ab, welche Kriterien du zur Bewertung benutzt:

1. Funktioniert
2. War in drei Minuten implementiert

Ich nenne das effizient - aber vielleicht ist das auch so ein Web 2.0-Ding ("wer hat das größte Captcha"), davon verstehe ich nichts.


Da es dort keinen wirklich Sinn macht zu antworten und cgutjahr eh gern alles löscht, was ihm nicht passt, habe ich mich mal angemeldet um meine Meinung dazu kundzugeben.

cgutjahr:
6! Setzen!

Ein Captcha dient dazu, vor allem Bots abzuwehren. Euer "Captcha" ist eine statische Rechnung, diese ist schneller ausgehebelt, als die Implementierung. Man muss nur schauen welche Variable mit dem Wert "2" übergeben wird und übergibt diese dann manuell. Das bekommt man sogar über die URL hin...

Mit "Wer hat das größte Captcha" hat das gar nichts zu tun und Effizient ist es auch nicht, eher ziemlich dumm (sorry für den Ausdruck!). Du beweist mit der Aussage nur absolutes Unwissen bei dem Thema Sicherheit... Und nein, mit Web 2.0 hat das auch nichts zu tun!

Und um dein Argument der einfachen und schnellen Einbindung auch noch auszuhebeln. Eine 0815 Google Suche nach "Simple PHP Captcha" gibt so viele einfache Möglichkeiten aus, dass euer Sicherheitssystem und deine seltsame Argumentation auf einem Niveau erscheint, welches mit der NSA-Affäre und den Leuten gleichzusetzen ist, die sagen:"Betrifft mich ja eh nicht"...

Da Google natürlich sehr schwer zu bedienen ist, habe ich einfach mal ein paar Beispiele aufgeführt:
http://www.abeautifulsite.net/blog/2011/01/a-simple-php-captcha-script/
http://99webtools.com/php-simple-captcha.php
http://www.phpcaptcha.org/
http://captchas.net/
http://webspamprotect.com/
http://www.snaphost.com/captcha/
http://www.php-help.ro/php-tutorials/simple-php-gd-capcha-image/

PS: Da diese Rechenaufgabe statisch und einfach ist, wehrt man damit sicherlich auch keine Leute ab, die nur trollen wollen...

[ - Answer - Quote - Direct link - ]

2014-04-02, 17:16 h

Senex
Posts: 491
[Administrator]
@MsaerdnA:

Danke für die Lösungsvorschläge, aber wie gesagt: es bestand ein Problem, welches schnell und vergleichsweise unaufwendig behoben wurde. Solange dieser Damm hält, egal wie primitiv er sein mag, ist aus unserer Sicht alles in Butter.

[ - Answer - Quote - Direct link - ]

2014-04-02, 19:52 h

AndreasM
Posts: 2478
User
Alles viel zu kompleziert.

Falls ihr wirklich mal nen Schutz braucht dann stellt nen Seitenbezogene oder Amigabezogene Frage. Damit hebt ihr alle Bots aus. Die menschlichen Spamer bzw. Account-Erzeuher natürlich nicht.
--
Andreas Magerl
APC&TCP
Amiga Future, Amiga Poster, AmiATLAS, CygnusEd, DigiBoosterPro, Marblelous, Desert Racing, Amiga Guru Book, Flyin High, Pinball Brain Damage, Roadshow, Scene Archives...

[ - Answer - Quote - Direct link - ]

2014-04-02, 22:36 h

Holger
Posts: 8116
User
Ein wesentlicher Faktor ist die Lösungsmenge. Solange diese nur aus einem Element besteht, ist es egal, ob dieses Element "2" oder "Agnus" ist. Arithmetische Aufgaben haben den Vorteil, mittels zufälliger Operanden eine große Lösungsmenge generieren zu können, nutzen aber in dem Moment nichts mehr, wenn der Bot die Aufgabe versteht. Zu kompliziert dürfen die Aufgaben ja auch nicht werden...

Für Amiga-Fragen müsste man alle möglichen Antworten manuell hinterlegen.

Eine andere Frage ist natürlich auch, woher der Server weiß, welche Frage er dem Client gestellt hat. Wenn die Zuordnung anhand von Formular-Daten erfolgt, die der Client selbst übermittelt, nutzt es gar nichts, viele Fragen mit unterschiedlichen Lösungen zu haben, der Bot würde natürlich immer die Daten zu einer Frage übermitteln, zu der er die Antwort kennt.

Die einzige Lösung zu diesem Problem besteht darin, Server-seitig Daten zu halten, was die Komplexität deutlich erhöht.
--
Good coders do not comment. What was hard to write should be hard to read too.

[ - Answer - Quote - Direct link - ]

2014-04-03, 08:54 h

AndreasM
Posts: 2478
User
Also bei uns funktionierts. Seit wird eine simple Frage zum Thema Amiga stellen ist das SPAM praktisch Richtung Null gegangen.
Von bis zu 20 Bots-Accounts am Tag auf praktisch 0.
Nur die Spam-Accounts die per Hand angelegt werden, da kommen noch einige durch.
--
Andreas Magerl
APC&TCP
Amiga Future, Amiga Poster, AmiATLAS, CygnusEd, DigiBoosterPro, Marblelous, Desert Racing, Amiga Guru Book, Flyin High, Pinball Brain Damage, Roadshow, Scene Archives...

[ - Answer - Quote - Direct link - ]

2014-04-03, 11:07 h

Holger
Posts: 8116
User
Zitat:
Original von AndreasM:
Also bei uns funktionierts. Seit wird eine simple Frage zum Thema Amiga stellen ist das SPAM praktisch Richtung Null gegangen.

Das gleiche gilt natürlich derzeit auch für die „1+1=“ Frage auf AN. Da solche Maßnahmen immer dazu dienen, das Aufwand-Nutzen Verhältnis für den Spammer zu verschlechtern, haben weniger besuchte Foren da bessere Karten. Was auf AN oder AF funktioniert, würde möglicherweise auf SPON hoffnungslos versagen…
Zitat:
Nur die Spam-Accounts die per Hand angelegt werden, da kommen noch einige durch.
Es besteht ja die Vermutung, dass für AN aufgrund der Foren-Exotik immer jemand von Hand die passende URL zum Posten zusammenschustern und in den Bot einpflegen muss. Deshalb gibt es nur in größeren Abständen Spam-Wellen, die oftmals auch nur in Uralt-Threads Beiträge posten. Ein Sperren von alten Threads oder eine simple Änderung der Voraussetzungen, wie diese „1+1=“ Frage, beenden dann die aktuelle Welle.

AN hat eben keine 20 Bots am Tag, die man mit einer hohen Komplexität stoppen müsste.

Es bedeutet aber eben andersherum, dass die Art der Frage relativ egal ist, die nächste Welle wird irgendwann kommen.

--
Good coders do not comment. What was hard to write should be hard to read too.

[ - Answer - Quote - Direct link - ]

2014-04-03, 13:34 h

_PAB_
Posts: 3016
User
> AN hat eben keine 20 Bots am Tag, die man mit einer hohen Komplexität stoppen müsste.

Das kann ich so nicht bestätigen.
Unsere "Komplexität" bei der Registrierung erzeugen wir mit der Zusendung eines Links zum anklicken - ich glaube sogar mit Passwort-Eingabe... Das hält uns schonmal mindestens 98% des Bot-Aufkommens vom Hals. Die wenigen, die es dann schaffen, scheitern an unser gnadenlos umstrukturieren Foren-Software, die schon seit mindestens einem Jahrzehnt nicht mehr zur Gruppe der "Standard-Lösungen" (wie phpBB) gehört.

Wenn man also für das AN.de-Forum einen Bot programmieren möchte, kann man seine 100-200 Spams auch gleich von Hand eintragen, das kostet etwa gleich viel Zeit...

Ähnliches gilt meiner Ansicht nach auch für die News-Kommentare.

[ - Answer - Quote - Direct link - ]

2014-04-03, 16:36 h

cgutjahr
Posts: 2779
[Administrator]
Wie Holger richtig feststellt, ist unsere komplett selbst entwickelte Software bisher der beste Schutz gegen SPAM-Bots - in 13 Jahren ohne irgendeinen SPAM-Schutz im Kommentarbereich hatten wir vielleicht 30 bis 40 SPAM-Kommentare - und nachdem zwei Jahre alte Threads automatisch geschlossen werden, hatte sich das Problem seit Jahren komplett erledigt.

Im ANF (Senden von News per Formular an die Redaktion) reduziert die exakt selbe Mini-Lösung ("1+1") seit acht Jahren oder so das SPAM-Aufkommen von 40-50 Einträgen pro Nacht auf vielleicht fünf pro Woche.

Von den hier im Thread vorgeschlagenen fertigen Captcha-Lösungen kommen die ersten vier, die ich mir angesehen habe, für uns nicht in Frage - entweder weil sie ein eigenes Session-Handling mitbringen, oder weil sie mit Amiga-Browsern Probleme machen würden. In der Zeit, in der ich mir die vier Lösungen angesehen habe, hätte ich dreimal die "1+1"-Abfrage in das Kommentarskript einbauen können...

Ich bleibe dabei, die gewählte Lösung funktioniert für uns - und da es derzeit ja auch keinerlei SPAM-Probleme gibt, verstehe ich auch die Aufregung nicht wirklich.

[ - Answer - Quote - Direct link - ]

2014-04-03, 17:48 h

Holger
Posts: 8116
User
Zitat:
Original von _PAB_:
> AN hat eben keine 20 Bots am Tag, die man mit einer hohen Komplexität stoppen müsste.

Das kann ich so nicht bestätigen.
Unsere "Komplexität" bei der Registrierung erzeugen wir mit der Zusendung eines Links zum anklicken - ich glaube sogar mit Passwort-Eingabe...

Ich sprach natürlich von den anonym abgebbaren Kommentaren…

--
Good coders do not comment. What was hard to write should be hard to read too.

[ - Answer - Quote - Direct link - ]

2014-04-03, 20:36 h

_PAB_
Posts: 3016
User
@Holger:
> Ich sprach natürlich von den anonym abgebbaren Kommentaren…

Ja, ich auch.
Auch das ist selbstgestrickter Code, woran viele Bots (bzw. insbesondere Skript-Kiddies) schon scheitern.

[ - Answer - Quote - Direct link - ]

2014-04-03, 20:51 h

Wolfman
Posts: 3668
User
Immerhin scheinen die anonymen Kommentatoren tatsächlich 1+1 zusammenzählen zu können - was ich bei manchem bisher bezweifelt hatte :P
--
God forgives - who forgives God ?

[ - Answer - Quote - Direct link - ]


-1- [ - Post reply - ]


amiga-news.de Forum > Forum und Interna > Spam-Welle [ - Search - New posts - Register - Login - ]


.
Masthead | Privacy policy | Netiquette | Advertising | Contact
Copyright © 1998-2024 by amiga-news.de - all rights reserved.
.