staging.inyokaproject.org

Hallo Leute!

Vielen Dank für die schnelle Reaktion. Hatte mir schon fast so etwas gedacht. Dann hoffen wir mal, es lesen auch fast alle diesen Artikel. 😉

Wie wäre es für's Erste einen Thread zu erstellen in dem neue User posten müssen, bevor sie überhaupt woanders posten können? Also eine Art Lebendkontrolle.

Vielen Dank meinen Teamkollegen für die schnelle und effiziente Reaktion!

@2: mir wäre es lieber, wenn wir schon die Anmeldung solcher Benutzer blocken würden. Wir werden uns etwas Schlaues überlegen!

Hi SuperAdmins,

Erst mal Klasse, das Ihr es geschafft habt, diesem Spuk vorerst einen Riegel vorzuschieben. 👍 Mein Postfach war schon drauf und dran zu platzen, bzw. kam ich kaum hinterher den Müll zu entsorgen.

Was mich einmal interessieren würde, wäre einfach mal die Info welche präventiven Maßnahmen Ihr bisher gegen Aktionen solcher Art durchführt. Sind denn Erkenntnisse vorhanden bzgl. des Ursprungs der Attacken? Ich meine Strichcode als Schriftart heißt ja noch lange nicht, das der Mist auch tatsächlich aus den Ländern der aufgehenden Sonne kommt.

Eine vollständige Blockade der Registrierungen würde ich meiner Ansicht nach nicht durchführen. Eher das Verfahren, das erst ein Admin/Moderator den Registranten zu Gesicht bekommt und diesen explizit freischalten muss, bevor jener überhaupt irgendwas machen kann. Ich bezweifle das täglich eine Zahl an Registrierungen aufkommt, die eine solche Aktion als undurchführbar gelten lässt. 😉 Jaja ich weiß, Automatismus ist schon was Feines, aber so ein Automat kann eben nicht alles.

Ok, das wars meinerseits auch schon wieder. Weiterhin gute Arbeit und mal so meinerseits in den Raum gerufen...

👍 Danke das Ihr ein solches Forum auf die Beine gestellt habt und es hoffentlich noch eine lange Zeit so schön in Betrieb haltet 👍

Gibt es bei der Anmeldung keine Captchas? Recaptcha (https://www.google.com/recaptcha) ist häufig sehr leicht einzubinden.

Ist denn bekannt wer der Verursacher war/ist?

Oh mein Gott, was ist denn hier wieder los? Mal nen Monat nicht da gewesen und schon bricht hier wieder Chaos aus... 😀

Und da isser noch einmal...

Wir werden uns etwas Schlaues überlegen!

Man muss ja nicht das Rad gänzlich neu erfinden, Erfahrungen anderer Teilnehmer die vielleicht die gleichen Ärgernisse haben, können durchaus eine tolle Anregung sein.

Hier mal meinerseits etwas für die Com. Ich hab keine Ahnung ob das in diesem System anwendbar ist, aber als Gedankenstupser vielleicht hilfreich.

Mein bevorzugtes CMS ist Drupal, darauf baue ich seit Jahren aufgrund seiner Vielseitigkeit und der krass aktiven Community. Wie verhindere ich denn solche unerlaubten Zugriffe? Ganz einfach, ich verlasse mich nicht auf einen Mechanismus.

1. verstecktes Feld (für lebende Benutzer) im Anmeldeformular. (Bots sind dusselig und füllen alles aus, allerdings werden die auch immer cleverer)

2. Captcha-Validierung (inzwischen sind Bots auch hier schon recht clever)

3. Validierung der E-Mailadresse bzw. der IP bei StopForumSpam (Die Jungs sind fleißig und geben schnell böse Buben bekannt)

4. Meine Augen sehen alles. (Der menschliche Faktor ist immernoch der Beste)

1-4 sind locker auf ein Forum anwendbar, will man allerdings nen Shop betreiben, fällt Punkt 4 weg. Tatsache ist allerdings, das es bisher noch kein einziger Bot geschafft hat bei mir, bis zu Punkt 4 vorzurücken.

Hoffe ich konnte Euch da eine kleine Gedankenanregung mitgeben.

Weiter so. 👍

Wir haben gegenwärtig eine eigene Captcha Implementierung, diese hat bisher auch gute Dienste geleistet.

Allerdings scheint langsam an der ein oder anderen Stelle ein Upgrade notwendig, eine Option wäre z.b. das Beiträge von neuen User erst sichtbar werden wenn ein Moderator dem User grünes Licht gibt. Solche (und auch eure Vorschläge) müssen aber erstmal intern diskutiert und geklärt werden 😉

mfg Stefan Betz

Manchmal sind die simpelsten Lösungen die besten: Bei Gästebüchern oder ähnliches leg ich jedes textfeld/input doppelt an und versteck eins davon jeweils mit css. Sind Einträge in den versteckten Feldern handelt es sich um einen Bot. Bisher habe ich mit Spam überhaupt keine Probleme. Natürlich funzt das nur bei Bots die das ganze Netz nach Gästebüchern durchsuchen und nicht bei welchen die speziell auf eine Seite "dressiert" sind.

Würde ich mein Wissen mit dem Euren vergleichen, wäre ich der Fingerhut der neben nem vollen Glas Wasser steht. 😛 Nichtsdestotrotz hat ja der Wald bekanntlich viele Bäume und manchmal ist auch der nicht mehr überschaubar. 😀

Wenn sich das wirklich nur auf die neuen Benutzer bezieht, mit der Durchsicht derer Beiträge, dann ist das sicherlich eine machbare Angelegenheit. Wobei ich den Mehraufwand in Relation zur schlichten Gegenkontrolle, ob Freund oder Feind bei der Registrierung, als vorletzte Maßnahme in Erwägung ziehen würde. Die Letzte wäre in dem Fall das blocken ganzer Länder per GeoIP. (Aber das wollen wir ja nicht, da es ja nen freies Forum ist)

Eine Variante für neue Benutzer wäre bspw. die maximal mögliche Anzahl der Beiträge pro Stunde auf, sagen wir mal 3, zu reduzieren. Das macht es definitv leichter Präventionsmaßnahmen einzuleiten.

LG Radde

Als Betreiber eines Forums wurde ich trotz Captcha ebenfalls schon mit derartigen Spam-Attacken konfrontiert. Abhilfe schaffte ein simples zusätzliches Textfeld, das bei der Registrierung ausgefüllt werden muss, wie z. B.

"Bitte geben Sie das Ergebnis von 19 + 5 - 3 als Wort, unter Beachtung der Groß- und Kleinschreibung in das leere Feld ein"

Das funktioniert in meinem Forum seit ca. 2 Jahren 100%ig gegen Registrierungen durch Spam-Bots. Im Grunde ist völlig egal was dort eingetragen werden muss, die Bots "kennen" nämlich nur das Original Registrierungsformular einer Forensoftware und können mit einem zusätzlichen Feld nichts anfangen. Selbst wenn es heißen würde, bitte tragen sie in das Feld die Zahl 0 ein, würden die Bots scheitern.

die Bots "kennen" nämlich nur das Original Registrierungsformular einer Forensoftware

Das Problem ist hier aber, dass Inyoka ja eine Eigenentwicklung ist. Es gibt also in dem Sinne kein "Original-Registrierungsformular" sondern eben nur das selbst gebaute. Der Botbetreiber hat also offenbar bisher schon nicht den Aufwand gescheut, um einen Bot speziell für das Inyoka-Forum zu entwickeln – da wird er nun nicht unbedingt daran scheitern, dass ein neues Feld mit "0" oder "Einundzwanzig" befüllt werden muss.

Oder die Botsoftware ist sehr generisch und kommt sogar mit Inyoka klar, ohne speziell dafür angepasst zu sein. Dann würde dieses zusätzlich Feld wohl helfen, falls sich der Botbetreiber nicht doch ein paar Minuten Zeit nimmt um die Software an das neue Feld anzupassen.

Ihr währt überrascht, wie viele dieser vermeintlichen Bots im Internet letztendlich bezahlte Arbeiter sind - Stichwort: Internet Water Army. Wenn man erst einmal als größeres Portal auf deren Ziellisten gelandet ist, wird man die nicht so schnell wieder los - ich musste mir für ein internationales Forum selbst schon einige Schikanen für diese "Söldner" überlegen. Über die Verwendung von Proxies und gekaperten Servern im Ausland kommen auch beim vollständigen Blacklisten von zB China (ist leider nicht nur dort verbreitet) noch genug durch. Aber das scheint im englischsprachigen Raum wohl auch schlicht und ergreifend durch die kleinere Sprachbarriere ein viel größeres Problem sein, derartige Kandidaten waren hier bisher nur selten anzutreffen.

Da bringen einfache Captchas dann recht wenig - diverse Systeme wurden auch schon mit OCRs ausreichend ausgehebelt, um für Bots überwindbar zu sein. Bei einem so großen Portal wie uu.de werden nicht selten auch schon mal die Spambots speziell für die Webseiten angepasst, letztendlich findet hier ja auch bereits eine eigene Portalsoftware Verwendung, die mangels Verbreitung wohl für die Breite Masse der Bots unzugänglich sein dürfte.

Die beste Taktik gegen bezahlte Spammer ist es, das ganze auf möglichst dezente Art schlichtweg "unprofitabel" zu machen, zum Beispiel in dem man erst nach einem gewissen Zeitraum nach der Registrierung das Posten erlaubt. Der durchschnittliche neue Benutzer stört sich nicht daran etwas zu warten, diese beauftragten Arbeiter hingegen verlieren dabei meist schnell das Interesse da sie viel Durchsatz brauchen - ich kann mir aber auch gut vorstellen, dass gerade bei einem Portal wie uu.de solche Ansätze eher auf Ablehnung treffen würden.

@13 Original hin und her, die Implementierung eines "versteckten" Feldes stellt eine Hürde dar, die erst einmal ein Automat überwinden muss. Ist es ein "dummer" Bot, kann er das CSS nicht parsen und scheitert schon an der ersten Hürde. Da die kriminelle Energie allerdings keine Grenzen kennt, ist auch das eine Frage der Zeit, wann diese Methode ausgehebelt wird. Dennoch ist es eine Hürde. Meines Erachtens nach, ist nur die Kombination aus verschiedenen Sicherungsmechanismen eine tatsächlich wirksame Form gegen Trolle jeglicher Art vorzugehen um das auch noch einmal in Anlehnung an @14 zu sagen. Die Strategie sollte also sein, wie schotte ich etwas ab ohne dabei den Unmut der gesamten Community auf mich zu ziehen.

Stellen wir uns doch einfach das Szenario vor, warum sich ein "Mensch" hier anmeldet. Das Erste was mir dazu einfällt, er möchte eine Frage loswerden und diese schnellstmöglichst beantwortet sehen. Die Wenigsten gehen bei einer Anmeldung von der Intention aus, einzig und allein der Community zu dienen. Wenn er jetzt also warten muss, bis er überhaupt eine Frage abschicken kann, kommen wir in die Situation das er das Interesse daran verliert. Und seien wir mal alle ehrlich zu uns selbst. Wer hat nicht schon einmal eine Frage gestellt und gehofft das "gestern" die Antwort auf dem Silbertablett präsentiert wird. Daraus ziehe ich persönlich den Schluss, das alle Restriktionen vor dessen Zugang zum Portal eingeleitet werden müssen und nicht während seines Aufenthalts innerhalb.

LG Radde

Erstmal lieben Dank für die schnelle Behebung.
Die ersten Posts durch einen Mod freigeben zu lassen, halte ich für eine der besten Lösungen. Auch wenn es einiges an Personal binden wird. Funktioniert davon abgesehen auch am besten.

👍

Lach ich dachte bei Web.de ist nur diese Spam Welle 😀 Jetzt muss ich mal den Ubuntuusers.de Spam löschen.

Mein Senf: Ich frage auf meinem Blog in einem extra Textfeld, ob der Kommentator ein Spam-Bot ist. Ist die Antwort in array("nein", "no", ...) wird freigeschaltet. Statt ~450 Spam-Kommentare pro Tag (!kein Witz!) sind es 0.

Vielen Dank für Eure Vorschläge! Teilweise decken sie sich mit dem, was wir intern schon gesammelt haben, aber es sind auch ein paar neue dabei. 👍 Wir werden uns das anschauen und dann versuchen eine Lösung zu finden, die Effektivität in der Spam-Abwehr mit unseren vorhandenen Ressourcen und der geringen Zeit ausbalanciert.

Hiho, ich las bisher noch nichts über BotTrap.de. Ich hatte mich dort registriert und konnte danach ein Script downloaden, das ganz am Anfang in die index.php eingebunden wird. Danach wird jeder Besucher anhand spezieller Signaturen überprüft und Bots sind gleich zu Anfang zu 99,x% geblockt. Das Script arbeitet wie ein Antivirusprogramm und updatet sich laufend mit neuen Signaturen und Spam-IP's.

Bisher kamen nur noch ganz wenige Spams in mein Forum. Dies dürften dann so genannte "Arbeiter" sein, die sich registrieren und dann ihre Spams absetzen.

Wer setzt so einen Mist denn bitte bei UU an? Da gibts doch nichts zu holen. Wenn irgendjemand einer (genuin kommerziellen) Firma schaden möchte, dann steckt da zumindest irgendeine Intention dahinter. >.<

@21: index.php gibt es hier nicht.

@11: Gerade wollte ich das auch schreiben, da stellte ich fest, dass schon jemand schneller war. Mein Vorschlag: Es besteht die Möglichkeit einem Post einen Zeitstempel zu geben. Niemand, ausser ein Rechner, kann pro Sekunde eine Antwort geben. Macht er das doch, wird der für gewisse Zeit gesperrt.

@23: Ich schrieb die index.php, da dies oft die Einstiegsseite ist. Es darf auch eine andere, php basierte Seite sein, die das Script einbinden könnte.

1

require_once('scriptname.php');

@19: 😀 Da sieht man mal wieder, das so ein Bot nur aus stupiden Algorithmen besteht. So etwas in das Kommentarfeld einzubauen finde ich Klasse 👍 und stellt meiner Meinung nach, keine Hürde für einen menschlichen Benutzer da. Es ist wie das Zustimmen von AGB's. Diesem Gedankenansatz folgend, würde ich evtl. sogar noch einen Schritt weitergehen und das eben nach dem Verfahren, wie wir heute in Deutschland online einkaufen, ggf. umsetzen.

Was meine ich damit? Der Gesetzgeber schreibt ja mittlerweile vor, das nach dem ganzen Einkaufsprozess am Ende noch einmal eine Seite erscheinen muss, bei dem ich explizit meine Zustimmung geben muss, das ich den Artikel kaufen will. Wie wäre es, wenn wir einen abzugebenden Kommentar ebenfalls als Artikel betrachten würden und ihm dem gleichen Prozedere unterwerfen? Statt also die Vorschaufunktion nur optional anzubieten, würde ich sie eher als ersten Schritt in einem Veröffentlichungsprozess ansehen, frei nach dem Schema

1. Vorschau in einem separaten Fenster mit Buttons "weiter und zurück"

2. bspw. @19 's Ja/NEIN Antwort

3. dann erst das speichern erlauben. (Möchten sie den Artikel jetzt versenden/kaufen?)

Das ist eine Prozedur die wir täglich bei unseren Shoppingtouren durchmachen müssen. Das und die "Du kommst hier nicht rein"-Maßnahmen im Registrierungsvorgang, sollten schon letztlich so unattraktiv für Spammer sein.

@22: Egal ob Eigenentwicklung oder nicht, es geht einzig darum seinen Schund loszuwerden. Warum werden Foren überflutet die nur von ein paar Hansels besucht werden? Es geht nur darum alles was öffentlich sichtbar gemacht werden kann auszunutzen, um sein Zeug an den Mann zu bringen. Der Durchschnittsverdienst in bspw. China liegt bei 369,63 € im Monat (Quelle: http://durchschnittseinkommen.net/durchschnittseinkommen-china/). Wenn ich ein Forum wie UU mit Spam überflute und nur 1 Besucher von tausend einen propagierten Artikel für 10,00€ kauft, hat der böse Bube sein Futti für einen Tag gesichert.

Im Grunde eine lukrative Sache, wenn man bedenkt, das das !!!tägliche!!! Mailaufkommen 2010 bei 247.000.000.000 (247 Mrd) (Quelle: http://www.sueddeutsche.de/digital/das-internet-in-zahlen-die-unglaubliche-riesenmaschine-1.65478-3), auf das Jahr gerechnet 90.155.000.000.000 (90,15 Billionen) lag, wovon durchschnittlich 81% als Spam deklariert waren. Wenn jetzt also vom Spam nur sagen wir mal 1% seinen Bestimmungsort erreicht hat, das wären 730.255.500.000 (730 Mrd) und nur 1% der Empfänger einen Umsatz fiktiv von 1€ generiert hat, reden wir hier von einem Markt der mal eben 7.302.555.000€ (7,3 Mrd) generiert und das mit Müll. Und das bezieht sich nur auf E-Mails, also noch nicht einmal auf die verseuchten Foren. Wenn ich mir dieses "Taschengeld" anschaue, da ist es mir beim besten Willen egal, ob ein Forum eine Eigenentwicklung ist oder nicht. Einzig die Wirksamkeit auf die Öffentlichkeit ist hier maßgeblich. Um also wirklich wirksam gegen Spam vorzugehen, bedarf es eigentlich nur einer Sache: Hört auf die Werbesch.... die Euch täglich um die Ohren fliegt, zu beachten. Solange es Vollpfosten da draußen gibt, die auf Werbung reagieren, solange wird es auch Spam geben. Wir müssen also darunter leiden, das andere Menschen ihre Konsumsucht nicht unter Kontrolle haben. Irgendwie egoistisch, wenn man bedenkt, das wir ja alle herzensgute Menschen sind bzw. sein wollen.

Was ist Werbung? Werbung ist ein Mittel um Menschen unterbewusst mitzuteilen, das sie etwas brauchen, woran sie normalerweise nicht im Ansatz denken würden. Sie ist dafür da, Begehrlichkeiten zu wecken, die wir nicht haben. Nicht mehr und nicht weniger. Brauche ich einen 100" LED-Fernseher mit 4k Auflösung? Muss ich die Pickel der Moderatoren sehen? Muss mein Handy die Kaffeemaschine bedienen? (Zugegeben letzteres wäre toll, dann würde ich morgens mit nem Kaffeeknutscher geweckt werden). 😉

Oje, Okay ich bin grad ein wenig abgewichen. 😀

LG Radde

Inyoka basiert aber auf Python. Man könnte das sicher irgendwie unterbringen, aber die Frage ist, ob es den Aufwand wert ist - womöglich spammen hier ja wirklich keine bots, sondern Menschen. Dann hilft, wie du sagst, auch das "Bot-Schlangenöl" nichts.

@22: Vielleicht ein Arch Linux-jünger? 😀 Erkennt Google heutzutage eigentlich so spam? Falls nicht, könnte es ja auch als SEO-Maßnahme gedacht sein.

@16:

Die ersten Posts durch einen Mod freigeben zu lassen, halte ich für eine der besten Lösungen.

Oder die Last auf mehr Schultern verteilen: UU User mit mehr als xxx Beiträgen erlauben, neue User Posts "sichtbar" zu schalten.

@28: +1

@27: Das Team wurde doch schon lange von Arch unterwandert, die schneiden sich doch nicht ins eigene Fleisch 😬

@27: Es könnte durchaus als SEO-Maßnahme gedacht sein, wird aber im Jahr 2015 zumindest bei Google nichts nutzen. Links in Foren bringen nicht viel für SEO und noch weniger wenn das Forum nicht themenrelevant und dazu noch in einer anderen Sprache ist.

Als ich noch ein PHPBB hatte und auch bei einer sharetronix installation konnte ich das Problem mit den Spamaccounts immer sehr einfach lösen. Ich habe einfach den Dateinamen des Registrierungsscriptes geändert (und auch die anderen Scripte darauf angepasst). Bsp.: register.php → sei_aktiv_dabei.php

Schon hatte ich nie mehr Probleme.

Da sich unsere URLs von denen aus phpBB, Wordpress & Co unterscheiden hat sich da schon jemand etwas mehr Mühe gemacht 😉

mfg Stefan Betz

Hallo das mit der Spamattacke ist ein Ding, welches ich auf meinem Blog auch schon mal erleben durfte.

Waren blödsinnige Aussagen über fehlerhafte Beitragsgestaltung und viel mit nichtssagenden Floskeln und am Ende, Fett geschrieben Seo-Anweisung, darau geklickt landete man auf einer Affiliate-Seite.

Alle Spamkomentare waren ähnlich gestrickt.

Hatte das Pech länger Zeit im Krankenhaus zu sein und kein Internetzugang.

Es hatten sich an die dreitausend solcher netter Kommentare angesammelt.

Meisten aus Russland, brauchte 3 Tage zum Löschen der Kommentatoren.

Jetzt habe ich zwar auch viele Einschreiber auf Wordpress, nur keiner will kommentieren.

Obwohl Kommentare zugelassen sind.

Ich lösche alle Einschreiber als Abonementen sofort die eine auffälige Emailaddresse aufweisen und

auch keinen nachvollziehbare Nahmensnennug eingeben.

Könnte zusätzlich auch wieder eins der zahlreichen Wordpress-Chaptcha- Plugins installieren.

Mein Account und Emailaddressen meiner Abonementen sind mit dem Zwei-Wege Faktor-Plugin von Rublon

gesichert.

Hier der Link von Rublon: www.rublon.com.

fritz8666

Ich kann mir nicht vorstellen, welchen Typ Mensch man darstellen muß, um solch einen Blödsinn zu veranstalten. Es ist wirklich traurig! Habt ihr nichts besseres zu tun? Wechselt bzw. ändert Eure Gedanken und Engagiert euch, nutzt die Power für das Produktive und macht was Sinnvolles.