Wie funktioniert ein Spambot?

[Schrödi]

Hallo zusammen,

kann mir jemand erklären, wie genau ein Spambot funktioniert?
Gibt es verschiedene Arten oder Methoden einen Bot zu konzipieren?

Ich weiß, dass das nicht gern gesehene Fragen sind, einerseits, weil man viel Unfug mit solchem Wissen anstellen könnte, andererseits weil es schon ein gut durchgekautes Thema ist.

Jedoch habe ich bisher noch keine Antoworten auf meine Fragen gefunden. Es wurden bisher immer nur mal bessere, mal schlechtere Ansätze für Lösungen geschrieben, jedoch war bisher keine dabei, die gut bzw. länger als ein paar Tage funktioniert hätte.

Unser aktuelle Schutz erzeugt einen Zufallsstring für die Formularnamen und den Button bei jedem Aufruf der Seite. Daraus würde ich jetzt ableiten, dass der Bot unsere speichern Datei nicht direkt nutzen kann, da die Post variablen sich nach jedem Aufruf ändern (die Namen sind in der Session gespeichert). Folglich muss er unser Formular direkt bedienen.

Liege ich hier richtig mit meiner Logik?
Würde Javascript dann hier weiterhelfen, oder ist Javascript absolut kein Ansatz?

Captchas würde ich nur als letztes Mittel in betracht ziehen.

Gruß Schrodi

 

[MArc]

Hi Schrodi,

euer Ansatz ist zwar gut gemeint, aber doch recht unwirksam
gegen 'besseres' Bots, wenn ich die mal so nenen darf ;-)

Du musst das so sehen: Die Daten (u.a. dein Zufalls-String),
die der Browser bekommt, bekommt auch der Bot - und genau die
verwertet er auch. Es ist ja nicht so, als dass der Bot dein Formular
1x besucht alles speichert und dann losschießt. Vielmehr
gehen viele Bots hin und müssen sich eben diesen ZufallsString
erst jedes mal besorgen, bevor sie einen validen Speicher-Vorgang
unternehmen dürfen.

Fakt ist aber: Das was der Benutzer sieht, sieht nicht unbedingt der Bot: Captchas.
Es gibt zwar diverse Algorithmen, Bilder so zu lesen, dass man die Zeichen
rausfiltern kann, aber die sind doch recht unwirksam, wenn der Captcha
nicht gerade nur aus den Zeichen bestehen, sondern zusätzlich viele Striche,
Kreise etc insich hat.

Fazit: Captchas die einzig gut funktionierende Waffe gegen diese Bots.

Grüße,
MArc

 

[Wolfsbein]

...
Fazit: Captchas die einzig gut funktionierende Waffe gegen diese Bots.
...

Praktisch jedes Captcha ist geknackt. Inklusive Goolge und Yahoo. Diese Aussage stimmt also nicht direkt. Sobald sich der Aufwand lohnt wird die notwendige Rechenpower eingesetzt. Wenn deine Seite klein ist, kann es helfen. Bei mir reicht eine "math comment spam protection". Die ist zudem barrierefrei. Im Prinzip jedoch einfacher zu knacken als ein Captcha.

 

[Schrödi]

HI,

danke für die beiden Anworten.

Ich generiere jetzt ein einfaches Captcha mit einer "Handschrift" - Schriftart.
Das Captcha ist eine Woche online und bis jetzt ist erst eine Spamnachricht eingestellt worden. (-> ich denke mal ein Versuch den Bot anzupassen).

Da wir eine relativ kleine Seite haben, wird hoffentlich Ruhe einkehren.

MfG

Schrodi

 

[Dennis Wronka]

Besser als normale Captchas, welche zudem auch laestig fuer den User sind, vor allem welche mit eingeschraenkter Sicht, z.B. Farbenblindheit, haben damit durchaus mal Probleme, sind diese Dinger wo man z.B. aus 3 Bildern ein bestimmtes Objekt aussuchen soll.
Das ist fuer den Menschen einfach, fuer den Computer schwer.
Beispiel: Ein Haus, ein Ball, eine Katze. Und der User soll nun ein bestimmtes Bild, z.B. die Katze, anklicken.

 

[Gumbo]

Unterschätzt auch nicht Human Computing. Sobald der Nutzen die Kosten übersteigen, ist auch das beste System dagegen nicht gefeit. Ein Beispiel: Die Time-Wahl der 100 einflussreichsten Menschen 2009.

 

[Schrödi]

Das Captcha ist sehr einfach gehalten (3 Buchstaben, zufällige Farben pro Buchstabe, zufällig positionierte Darstellung). Für einen Bot, der mit Captchas umgehen kann sicherlich kein Problem.

Dafür ist das Ding aber auch gut für den User lesbar. Ich hoffe, dass wir unwichtig genug sind. Wer mal schauen will, klicke hier: http://fsv-thalau.de -> FSV Talk

Die Logikfrage von Dennis Wronka hört sich auch gut an.
Jedoch sehe ich es mitlerweile auch so, dass es nicht DIE Waffe gegen Bots gibt. Man kann es den Übertätern nur so schwer wie möglich machen, was jedoch auch zu Lasten der User geht.

Aber wer ein sauberes Forum, Gästebuch, etc. nutzen will, muss sich leider damit abfinden.

 

[chmee]

Schriftliche Fragen sind ein statischer, aber funktionsfähiger Schutz.

In welcher Stadt ist dieser Verein ?

Du musst bedenken, dass jeder Spamschutz, der nicht wie die sonstigen Schutzmechanismen funktioniert, erstmal sicher ist. Bots werden getrimmt auf bestimmte Eigenschaften. Umso eigener Dein Schutz, desto sicherer ist er. Für die Botprogrammierer bleibt immer die Frage, welche Algorithmen eingebaut werden. Wie weit verbreitet ist der Spamschutz und macht es Sinn ?! Für eine handvoll Community/Vereins-Foren/Gästebücher macht es keinen Sinn. Sinnvoller ist es dagegen, Standards (zB phpbb oder CMS-Gästebücher-Plugins) und wichtige Seiten zu knacken.

Sorry, habe grad versucht, ganz simpel JS-Code einzuschleusen. Nicht böse sein und wieder löschen.

mfg chmee

 

[Schrödi]

Hallo chmee,

keine Sorge wegen dem Code, wird gelöscht. HTML und sämtliche programmierwichtigen Sonderzeichen werden natürlich entschärft.

Habe aber eben gesehen, dass wieder ein neuer Spameintrag drin ist. Scheinbar ist unser Gästebuch doch interessant genug, um einen Bot ständig an unsere Bemühungen anzupassen, obwohl wir gerade mal 30000 bis 40000 Views pro Jahr haben.

Als nächsten Schritt werde ich das Captcha etwas verändern. Wenn er weiterhin hartnäckig bleibt werden wohl die Sinnfragen auf dem Programnm stehen.

Der Verein kommt aus Thalau (kleines Dorf nahe Fulda/Hessen).

Gruß Schrodi

 

[chmee]

Nee, das war ersichtlich aus dem Domainnamen, ich wollte das als einfachen, aber funktionierenden Spamschutz angeben So simpel könnte diese Spamschutz-Frage sein..

mfg chmee