Tein Transformers & GameOfThrones Fanboy 2004 höyryveturina

Minulla on foorumi, joka saa joukon roskapostirobottien rekisteröintejä.

Tässä on tapahtunut:

  • paljon spamboteja
  • lisätty staattinen logiikkakysymys (kuvana), staattinen matemaattinen kysymys, hunajapottikenttä
  • silti paljon spamboteja
  • lisäsi sisäänrakennetun CAPTCHA: n
  • silti paljon spamboteja
  • kielsi joukon tunnettuja roskapostitunnuksia, kuten @ spam.xxx
  • roskaposti leikattu kahtia, mutta silti paljon roskapostia muiden verkkotunnusten spamboteista, joita en halua estää (kuten gmail, yahoo)

Olen todella, todella hämmentynyt siitä, kuinka spambot ovat edelleen läpi toimenpiteitäni ja rekisteröitymisen. Kuinka tämä tapahtuu?

Tässä on rekisteröintisivuni:

  • Mitä CAPTCHAa käytät? Kuulostaa siltä, ​​että roskapostirobotit ovat kohdanneet sen.
  • Kokeile käyttää hunajapotin tekniikkaa.
  • Luulin, että "Älä kirjoita mitään tähän" oli hunajakannutekniikka? (Vaikka teknisesti käyttäjät näkevätkin sen?)
  • Paha, en nähnyt sitä kenttää. Se on todellakin hunajakannu. Saatat kuitenkin hyötyä siitä, että piilotat sen näkyviltä CSS: n tai JavaScriptin kautta.

... lisätty staattinen logiikkakysymys (kuvana), staattinen matemaattinen kysymys ...

Tarkoittaako tämä sitä, että kysymys on aina sama? Se ei auta, jos on - ota huomioon, että kuka tahansa, joka käyttää roskapostirobotteja, tarkastelee todennäköisesti rekisteröintilomakettasi ja säätää roskapostirobottien toimintaa vastaavasti.

Näkemättä taustakoodia (plus palvelimen lokit ja asetukset) on vaikea sanoa tarkalleen mitä tapahtuu, mutta saatat ajatella, että kuka tahansa roskapostirobotteja käyttää on tietoinen käyttämäsi ohjelmiston hyödyntämisestä (ala PHP's register_globals) hyvin.

Harkitse käyttämäsi ohjelmiston mahdollisten hyödykkeiden etsimistä, päivittämistä kaikilla käytettävissä olevilla korjaustiedostoilla (mukaan lukien laajennusten korjaustiedostot) ja reCAPTCHA: n käyttöönottoa.

Katso roskapostiviesteihin liitetyt IP-osoitteet. Toiseksi suodata lokisi kyseiselle IP: lle. Sitten voit nähdä tarkalleen mitä botit tekevät ja löytää malleja.

Voi olla, että roskapostirobotit kiertävät jopa roskapostin vastaiset mekanismisi kokonaan. Mitä foorumiohjelmistoa käytät? Onko ohjelmisto ajan tasalla?

Voit myös estää uusia käyttäjiä lähettämästä linkkejä tai URL-osoitteita ja sallia vertaisvalvonnan (tai ainakin antaa käyttäjien merkitä viestit roskapostiksi). Tämä ei pidä roskapostia kokonaan, mutta roskapostitason pitäisi olla minimissä. Voit myös luoda kuvia tekstistä PHP: n avulla, joten voit luoda satunnaisen matemaattisen tehtävän joka kerta.

Lopuksi, missä sinä otat käyttöön anti-bot-mekanismeja? Oletko juuri kirjautumassa? Mikä on keskimääräinen roskapostitilien lukumäärä? Jos viestejä on paljon, moderaattorisi eivät tee työtä, ja roskapostittaja voi rekisteröityä 1 tai 2 tilille manuaalisesti ja sitten roskapostin pois.

  • Se on invisionfree 1.3, joten on olemassa uudempia versioita, kysyn, voimmeko päivittää uusimpaan. Rekisteröintisivulla olevat anti-bot-mekanismit. Saamme paljon roskapostirobotteja, mutta yksikään jäsenistä ei saa lähettää viestejä, ennen kuin heidän tilinsä on hyväksytty, joten tällä tavalla emme todellakaan saa heiltä roskapostia .... Mitä tarkoitat kiertämällä roskapostimekanismeja kokonaan? Voitteko kertoa minulle lisää siitä?
  • Ah, se on hyvä politiikka, jos sinulla on resursseja sen toteuttamiseksi tehokkaasti. Tarkoitan mekanismien kiertämistä kokonaan, että joskus sinulla voi olla lomake, jossa on joukko suojausmekanismeja, mutta on tosiasia tapa lähettää viestejä / rekisteröidä tili käyttämättä lomaketta. Esim. rekisteröintilomake ja henkilötodistus on ensimmäinen vaihe kirjautumisprosessissa, mutta jos botti tietää rekisteröinnin toisen vaiheen osoitteen, se voi vain siirtyä kyseiseen lomakkeeseen ja huijata tietoja, jotka olisivat olleet siirretty vaiheesta 1 vaiheeseen 2.
  • Tämä on tietysti hyvin harvinaista ja tapahtuu yleensä vain silloin, kun ohjelmoija on aloittelija eikä ole miettinyt turvallisuussuunnittelua. Kuitenkin se tapahtuu. Olen nähnyt tyhmyyksiä, kuten kirjautumisjärjestelmän, joka käyttäjätunnuksen / salasanan tarkistamisen jälkeen tallentaa käyttäjätunnuksen evästeeksi. Ja sitten järjestelmä vain etsii kyseisen evästeen olemassaolon pitääkseen käyttäjän kirjautuneena sisään. Joten kuka tahansa voi väärentää evästeen haluamallaan käyttäjätunnuksella ja kirjautua sisään kyseisenä käyttäjänä tietämättä koskaan salasanaa.

työskennellyt sinulle: Charles Robertson | Haluatko yhteyttä?

hyödyllistä tietoa