Spam Bots im Gästebuch

[oldputz1990]

Hallo!

Ich habe jetzt ein ganz einfaches Gästebuch programmier, ohne Spam Schutz.

Nun sind extrem viele Spaneinträge, wie z.B.:

A truly marvelous website Let's be friends Visit my site and find what you want http://links.hxsugar.com/denim-skirt.html & Masonic lodge & http://links.hxsugar.com/roof-racks.html & Delta dental plan & http://links.hxsugar.com/alprazolam-pill-identification.html & Foreign bride & http://links.hxsugar.com/drug-eckerd-store.html & Diamond earring

Was soll ich jetzt machen?

Kann ich vl. die IP der Bots sperren?

(ip: 82.137.***.131)

Danke!

 

[tholmer]

Du kannste:

1. einen Flood Schutz einbauen, d.h. jeder darf nur alle 15 sek. zb. einen Gästebuch Eintrag verfassen.
2. Visual Confirmation (wenn man das mal so nennen darf ), d.h. die Gäste müssen erst was aus einem Bild aptippen um zu posten.
3. Hab ich letzens mal gelesen: Du baust in die Gästebuch-Form noch ein Feld ein mit dem Namen (bsp.) email2 und machst dies aber nicht sichtbar für die Gäste. Ein SPmabot wird so viele Felder ausfüllen wie möglich und wahrscheinlich selbst das, weil es ja ein Programm ist. Dann checkst du noch ob dieses Feld ausgefüllt wurde, wenn ja ist es ein Bot und wenn nicht dann ist alles gut.
4. Text nach auffälligen Worten durchsuchen (zb. online casino usw)

mehr fällt mir nicht ein.

 

[oldputz1990]

Hallo!

Also, ich habe jetzt Punkt 3 ausprobiert:

<input type="hidden" size="30" class="submit" name="email2">

Ich überprüfe das so:

,
<?php

$spam_bot = $_POST['email2'];

if(!empty($spam_bot)){
echo '<span class="error">FEHLER!</span><p>';
echo '<p>';
echo '<a href="javascript:history.back(-1)" class="link">Zurück</a>';
}
else{
...
}

Mal schaun, ob das Problem jetzt gelöst ist.

 

[Hirnhamster]

ich dachte immer man mach das mit style="display:no;"

 

[Descartes]

Hallo!

Also irgendwie kann ich mir nicht vorstellen, dass das mit einem hidden Feld funktionieren soll.

Zudem hätte ich es ähnlich gelöst wie Hirnhamster.
style="position: absolute;top:-1000;left:-1000;overflow:hidden;"

Außerdem verstehe ich nicht, warum ein Bot soviele Felder wie möglich ausfüllen soll? Steh ich da gerade auf dem Schlauch?

Zu 2.:

http://www.tutorials.de/forum/php/259431-komische-mails-bei-einsatz-des-mail-befehls-2.html

habe ich gestern ein paar Links gepostet. Ob CAPTCHA da noch Sinn machen?

Zu 1.: Ist ja auch nicht wirklich sicher.

Grüße

Martin

 

[Descartes]

Hallo!

Hab nochmal über Punkt 3 nachgedacht und das kann m.E. nicht (sicher) funktionieren.

1. Ein input type=hidden Feld kann weder von einem Bot noch von einem ausgefüllt werden (Gehe ich mal davon aus).
2. Wird ein input type=text Feld verwendet, kann es zwar vor einem User per CSS versteckt werden. Hat der User aber warum auch immer keine CSS Unterstützung (Textbrowser, Screenreader etc.), wird das Feld angezeigt und kann auch vom User ausgefüllt werden. Eine Unterscheidung läßt sich also nicht mehr (eindeutig) vornehmen.

Vielleicht besser: Ein User braucht mindestens xx Sekunden bis er das Feld ausgefüllt hat, ein Bot macht das in 1-2 Sekunden. Also Zeitlimit einbauen. (Idee von http://www.drweb.de/webmaster/sichere-formulare-teil4.shtml

Grüße

Martin

 

[Dr Dau]

Hallo!

Vielleicht besser: Ein User braucht mindestens xx Sekunden bis er das Feld ausgefüllt hat, ein Bot macht das in 1-2 Sekunden. Also Zeitlimit einbauen.

Ich habe mir die Seite von Dr. Web nicht angesehen.
Aber ich würde bei jedem erneuten Versuch einen Eintrag zu machen, immer prüfen ob das Zeitlimit schon abgelaufen ist.
Ist es noch nicht abgelaufen, dann beginnt es wieder von vorne.
Eine Zeitsperre ist zwar auch kein 100%iger Schutz, aber sie dämmt das Problem zumindest etwas ein.
Wenn man dieses noch mit z.b. einem Captcha kombiniert, steht man noch besser da.
Also nicht bloss auf ein Schutzmechanismus bauen, sondern auf eine Kombination mehrerer.

Zum Thema Bots anhand der IP aussperren:
Klar geht es..... so lange sie keine wechselnen IP's haben und Dir die IP's bekannt sind.
Entweder Du verbietest bestimmten IP's den Zugriff per .htaccess oder Du machst Dir eine Art Blacklist.
Bei jedem Versuch einen Eintrag zu machen vergleichst Du die IP des Posters mit den IP's in Deiner Blacklist.
Steht die IP in der Blacklist, wird der Eintrag halt verworfen.

Gruss Dr Dau

 

[Meccan]

Hallo Leute,

ich habe und hatte auch dasselbe Problem mit SpamBots.
Gelöst bekommen habe ich das Prblem nur durch eine Option,
eben die Visuelle Erkennung eines Codes, wie schon oben beschrieben.
Die Zeiterkennung habe ich auch anfangs ausprobiert, eine Weile
hat es auch geklappt aber dann waren die Bots eben schlauer und
konnten auch diese Umgehen genauso wie die IP Sperre.
Es gibt also zwei möglichkeiten
1. Die Visuelle Erkennung eines Codes
oder
2. Kein Gästebuch

MFG Meccan

 

[Dr Dau]

1. Die Visuelle Erkennung eines Codes

Nennt sich Captcha.
Die Bots werden aber immer schlauer..... so dass einige auch schon Captchas umgehen können.
Die 2. Möglichkeit ist natürlich die sicherste.
Will man jedoch nicht auf ein Gästebuch (oder was auch immer) verzichten, dann ist eine Kombination aus mehreren Sicherheitsmechanismen wesentlich effektiver als wie ein einzelner.
Oder man macht es wie ich..... ein Passwortschutz via .htacess und nur ganz enge Freunde bekommen einen Zugang.

 

[Descartes]

Hallo!

Die Zeiterkennung habe ich auch anfangs ausprobiert, eine Weile hat es auch geklappt

Wie Dr. Dau schon schreibt, ist der Zeitstempel mit Sicherheit kein ultimativer Schutz, aber er dämmt das Problem eben sehr ein.

Bsp.: Das Formular darf erst nach 10 Sekunden abgeschickt werden: Kein Problem das einem Robot einzuprogrammieren. Der Wartet halt dann 10 Sekunden. Trotzdem kann der Bot über eine Verbindung in der Minute keine 60 Formulare mehr absenden, sondern nur noch 6. Damit habe ich eine Reduktion um Faktor 10 und dass ist ja schon mal was.

Leider kann ein Bot ja gleichzeitig mehrere Verbindungen (mit verschiedenen IP's) aufbauen ... trotzdem ist es eine Barriere, die einfach zu implementieren ist und einigen Nutzen bringt, ohne die User zu nerven, denn die merken im Normalfall nichts von der Zeitsperre.

Zu den CAPTCHA kann ich nur nocheinmal auf die Links in meinem oben verlinkten Beitrag hinweisen, da die für mich im Hinblick darauf, was einem Bot heute schon möglich ist, sehr aufschlußreich waren.

Grüße

Martin