Empfehlung Captcha

[Nightwish76]

Hallo,
zur Zeit registrieren sich viele Spammer bei mir.
Reicht ein Captcha aus, um diese abzuhalten ?
Welches Captcha könnt ihr mir für mein SMF 2.0.7 empfehlen ?

Gruß
Nightwish

[AmaSha]

Moinsens!

Eigentlich reicht das Captcha von SMF in der höchsten Stufe völlig aus.

Ich würde Dir aber noch zusätzliche Maßnahmen empfehlen, wie zum Beispiel die Custom Profile Fields von SMF 2.0.7 und ganz wichtig die Zustimmung zu den Forenregeln (Registrierungsmanagement).

Gänzlich wirst Du die Spammer aber durch SMF + Mods nicht los werden. Da musst Du schon Maßnahmen "vor" SMF ergreifen.

Zum Beispiel mit einer .htaccess-Datei, die bestimmte IP-Adressen/-Adressbereiche komplett aussperrt. Denn ich gehe mal davon aus, dass es immer wieder die gleichen IP-Adressbereiche sind, die sich als Spammer bei Dir registrieren. Stimmts?

Grüße

Thomas

[demlak]

lass das captcha weg.. und bau einfach simple verifizierungsfragen ein..

unter "Sicherheit & Moderation -> Anti-Spam" unten einfach sowas wie "vier mi.nus drei (Ergebnis als Wort)" antwort "eins" eintragen..

oder "schreibe das Wort "script"" antwort "script"
oder ähnlicher firlefanz..

der "trick" ist.. nicht nur eine frage.. sondern gleich 2 aktivieren bei "Anzahl der Verifizierungsfragen, die ein Benutzer beantworten muss"

und bei täglich dutzenden versuchen ist seit beginn des boards vor über 15 Monaten noch nich ein einziger bot durchgekommen..

das captcha system was bei smf verbaut ist, finde ich gruselig.. das ist recht schwer zu entziffern.. und macht nur unmut bei den neuregistrierungen..

[Nightwish76]

lass das captcha weg.. und bau einfach simple verifizierungsfragen ein..
der "trick" ist.. nicht nur eine frage.. sondern gleich 2 aktivieren bei "Anzahl der Verifizierungsfragen, die ein Benutzer beantworten muss"

Seit Einführung einer 2. Frage sind die Spammer/Bots weg.
Hat jemand gleich gute Erfahrungen gemacht ?

[AmaSha]

Moin.

Ich verzichte komplett auf Verifizierungsfragen und arbeite fast komplett mit 'ner .htaccess-Datei. Die hält mir schon etliches ab, was da durchkommen könnte.

Grüße

Thomas

[Nightwish76]

Ich verzichte komplett auf Verifizierungsfragen und arbeite fast komplett mit 'ner .htaccess-Datei.

Oh, cool !
Könntest Du ein bisschen näher beschreiben wie das geht ?

[AmaSha]

Hi, Nightwish.

Gleich vorneweg: Mit einer .htaccess-Datei kannst Du einzelne IP-Adressen oder ganze Blöcke von IP-Adressen komplett blocken. Dazu muss man allerdings ein wenig recherchieren. Aber wenn man weiß wo, ist es eigentlich recht einfach:

Es gibt fünf regionale Internet-Registries für verschiedene Bereiche der Erde: Die ARIN für Nordamerika, Teile der Karibik und ein paar Teile Afrikas, die LACNIC für Südamerika und Teile der Karibik, die AFRINIC für Kontinentalafrika, die APNIC für den asiatisch-pazifischen Raum inklusive Australien, Neuseeland, Micronesien usw. und für Europa und den Nahen Osten ist die RIPE zuständig. Alle fünf erreicht man mit .NET am Ende im Internet. Also zum Beispiel www.arin.net. Aus SMF kommst Du ja bei der IP-Abfrage zu diesen fünf Registries, ist Dir ja bekannt, oder?


Diese fünf Registries verwalten für Ihren Zuständigkeitsbereich die IP-Adressen und weisen sie zu. Die RIPE weißt zum Beispiel der Deutschen Telekom die Blöcke von (fiktives Beispiel) 79.192.0.0 bis 79.255.255.255 zu usw.

Nun haben aber nicht nur ISP, wie die Telekom, IP-Adressen, sondern auch Hoster, Cloud-Dienste oder Firmen. Zu den Hostern gehören zum Beispiel (wir bleiben in Deutschland) STRATO, 1&1, ONLINEDIENST NORDBAYERN, HOSTEUROPE oder (ganz fürchterlich) HETZNER. Die Liste lässt sich beliebig fortsetzen.

Jetzt kommt der relativ aufwendige Teil: Du musst Dir darüber klar sein, wie gut Du Dein Forum abschotten willst. WIllst Du Deine Mitglieder weitestgehend schützen wird die .htaccess schnell mal 100 kB und mehr groß. Reicht Dir aber nur der Schutz vor z. B. chinesischen oder Ukrainischen IP-Blöcken dann sind es vielleicht 30 kB.

Du eröffnest die notwendige Befehlskette zum Sperren von einzelnen IP-Adressen bzw. IP-Blöcken in der .htaccess Datei mit

Code Select Expand

order allow,deny
Dieser Befehl sagt: Es folgen Befehle für Erlaubnis oder Verweigerung.

Die einfachste und probateste Methode ist das Verbot. Die Synthax dafür lautet schlicht

Code Select Expand

deny from
gefolgt von einem Leerzeichen sowie der einzelnen IP-Adresse oder dem IP-Block. Ein Beispiel für eine einzelne IP-Adresse (hier eine Serveradresse bei STRATO):

Code Select Expand

deny from 81.169.159.105

Um Adressblöcke zu sperren nutzt man in der .htaccess am Besten die sogenannten CIDR (-> http://de.wikipedia.org/wiki/CIDR). Dazu muss man aber ein wenig rechnen, sofern man IP-Bereich "berechnen" möchte. Nehmen wir an, ich möchte den Block der IP-Adressen von 208.176.0.0 bis 208.177.255.255 nicht bis zu meinem SMF durchlassen trage ich in die .htaccess folgende Zeile ein:

Code Select Expand

deny from 208.176.0.0/15
Dieser Block gehört dem US-Hoster XOXO Communications Inc. Die hosten Websites und betreiben diverse Clouds. Möchte ich die in meinem Forum haben? Soll eine Serversoftware mein Forum besuchen? Wenn nein dann trage ich sie, wie beschrieben, in die .htaccess ein.

Diese CIDR findest Du bei fast allen Registries in den Ergebnisseiten, meist als ROUTE bezeichnet, ist aber technisch gesehen das gleiche. Bei der RIPE ist die manchmal etwas kryptisch ausgewiesen, bei der ARIN sieht man gleich mehrere, wenn sich ein zugewiesener Adressbereich über mehrere CIDR-Bereich verteilt.

Ich hänge Dir mal eine Excel-Tabelle (Version 2000 und jünger) an, mit der Du CIDR-Bereiche "berechnen" kannst.

Aber vorsicht: Die .htaccess bzw. der Server, auf dem Du diese Datei anbringst, verzeiht KEINEN einzigen Synthax-Fehler. Schon ein kleiner Buchstabendreher, ein falsch aufgelöster IP-Block wird anstelle des Forums eine ERROR500-Page anzeigen! Du musst also wirklich "behutsam" in der .htaccess schreiben.

Ich stelle Dir hier mal einen kleinen Auszug aus meiner .htaccess zur Verfügung, mit der ich einen ukrainischen Hosting-Anbieter komplett von meinem Forum abhalte:

Code Select Expand

# WILDPARK-UKR
deny from 80.252.240.0/20
deny from 212.92.224.0/19
deny from 217.77.208.0/20

Mit der # vorneweg nimmst Du die jeweilige Zeile davon aus, vom Server gelesen und interpretiert zu werden.

So, hab ich noch was vergessen? Hm, nee, eigentlich nicht. Oder doch? Wenn ja, frag einfach, gerne auch über PN.

Ich hoffe, das war jetzt erstmal nicht zu viel Stoff auf einmal... 

Grüße

Thomas

[demlak]

ganze IP ranges per htaccess nur für eine einzelne website blocken, ist aber keine gute wahl..

zum einen kommt es immer und immer wieder vor, dass in den blöcken kleinere IP ranges plötzlich anders genutzt werden.. z.b. weitergabe an tochterfirmen.. die wiederum services anbieten könnten, welche auch von deinem clientel genutzt wird..
z.b. eine neue app die voll cool mit smf funktioniert.. ein ISP der in deutschland eine tochterfirma gründet.. ein VPN Betreiber der von arbeitgebern hier in deutschland genutzt wird.. oder sonstwas..
und es gibt noch massig andere szenarien, die es nicht sinnvoll erscheinen lassen, komplette IP ranges zu blockieren... es gibt einfach zu viele möglichkeiten, damit leute auszusperren, die du nicht aussperren wolltest... und ist es dir wert, bestimmte leute vor den kopf zu stoßen? stimmt für dich das verhältnis zwischen verärgerten usern und geblockten spammern?
das sind rethorische fragen.. sollte sich jeder selber stellen =)

und dann kommt ja auch noch die andere seite zum tragen.. wenn ich unbedingt ganze IP-ranges blocken will, weil dort leute sitzen, die mir und meinem server auf die nerven gehen wollen.. warum dann nur auf der einen website? und nicht auf dem ganzen server per IPtables blocken?


ich halte ip ranges blocken per htaccess für eine schlechte wahl.. zumal auch genug spambots auf rechnern mit IPs aus deutschen ISP Pools sitzen..
und wenn man unbedingt IP Ranges blocken will, sollte man sorgfälltig seine logdateien analysieren um rauszubekommen woher die leute kommen..

ich würd eher zu der "zwei-fragen" variante raten.. und, wenn möglich, "fail2ban" auf dem server installieren...

[AmaSha]

Moin, DEMLAK.

Ich verstehe Deine Argumentation. Der "Handel" mit IP-Adressen floriert, keine Frage.

Darum bin ich im zweiten Schritt hingegangen und habe eine eigene Error403 Seite erstellt (auf die übrigens auch per .htaccess umgeleitet wird) und dort ein Kontaktformular hinterlegt, mit dem sich jeder bei mir melden kann, falls er unberechtigterweise auf diese 403er aufläuft.

Das hat in den letzten sieben Jahren als SMF-Admin hervorragend funktioniert und ich kann mich glücklich schätzen, entsprechend verständnisvolle User in ALLEN meinen administrierten Forum zu wissen. Oder anders gesagt hat: Wer keinen Wert auf ein entsprechend abgesichertes Forum legt hat auch kein wirkliches Interesse an einem solchen.

Mit den IP-Tables hast Du dir aber selbst den Wind aus den Segeln genommen: Wenn ich die generell auf meinem Server ablege bin ich starrer in meinen Restriktionen und kann nicht individuell freigeben. Warum? Eines meiner Foren enthält sehr sensible Inhalte, die ich weder an Google oder sonstwen weitergeben (lassen) will. Da muss ich also restriktiver sein als in einem anderen Forum, wo es rein um ein gemeinsames Hobby geht. Da kann ich schon gar nicht mit den gleichen Restriktionen fahren, weil es keinen Sinn macht. Außerdem habe ich noch andere Kunden mit ihren privaten Homepages auf meinem Server. Denen werde ich garantiert nicht exklusiv vorschreiben, wer deren Seiten sehen darf und wer nicht. Damit würde ich mir ins eigene Fleisch schneiden.

Ich kann nur über meine Erfahrungen berichten, logisch. Aber die sind in den letzten sieben Jahren, in denen ich mit diesem System fahre, durchweg positiv. Natürlich gibt es Dummbeutel, für die Sicherheit ausschließlich umständlich ist, weil sie sich damit nie beschäftigt haben und/oder nicht wollen. Das sind dann aber die ersten, die bei der nächsten NSA- oder GOOGLE-Schlagzeile laut aufschreien, weil ihnen keiner hilft. Und Hilfe erhält bei allen meinen Sites, Foren und Reseller-Accounts JEDER! Man muss nur wollen!

Grüße

Thomas

P.S.: "Hinter" die .htaccess kann man zur Not auch immer noch die SMF-eigenen Bannroutinen setzen. Die sollte man auch nicht aus den Augen verlieren, weil die schon recht gut sind.

[Tekkla]

Ich vertrete die Meinung von demlak. Als Spamschutz halte ich die Sperrung von IP Blöcken auch für eher ungeeignet. Ich habe das im allgemeinen Serverbereich probiert, um Dienste vor allerlei Schaden aus dem Netz zu bewahren. Vielleicht hat es "Scriptkiddies" etwas gebremst, aber wer spammen will oder den Rechner kompromitieren will, der kennt Wege sich den IP Sperren zu entziehen. Sei es über Proxies oder BOT Rechner.


Ausserdem ist das Konzept der Benutzerinteraktion, um von der Sperrliste genommen zu werden, auch nicht sehr schön. Mal davon abgesehen, dass vielleicht 1 von 100 das macht, so fragmentiert das die Sperrlisten zusehends und wirft zu dem die Frage auf, ob man dann nicht einen kompletten Block entsperren müsste, da aus diesem Bereich ja offensichtlich Interesse an meinen Diensten besteht. Von den Usern, die ich vergrault habe ohne davon mitzubekommen, ganz zu schweigen.

Dagegen wirkt eine zweite (oder auch dritte) Frage bei der Registrierung geradezu simpel.

[AmaSha]

Moinsens!
Danke für Deine Meinung, Tekkla. Aber mir ist genau das Gegenteil widerfahren: Ich hatte auch erst mit den Registrierungsfragen gearbeitet und daraufhin bitterböse Emails erhalten. "Was soll das denn?" "Hälst Du uns für blöd?" "Mit so einem Forum will ich nix am Hut haben" etc. pp.

Wer was für gut oder schlecht hält ist subjektiv. Aber: Ich hatte noch NIE Probleme mit Spammern, möglicherweise ob dieser Restriktionen. Und wer sich auf einen 403er nicht meldet hat auch kein wirkliches Interesse am Forum itself. Die, die es getan haben unterstützen den Sicherheitskurs und sind zufrieden, ihre Ruhe zu haben. Und eine Sperrliste wird weder fragementiert noch passiert sonst was. Sie wird angepasst, mehr nicht. Und es landen, je nach eigenem Gusto, weder ISP noch Mobilfunkanbieter auf der .htaccess. Ich habe nichts dergleichen irgendwo gepstet! Oder glaubt wer, HOSTEUROPE würde mit einem Mal auch Internetzugänge für Privatkunden anbieten? Wohl eher nicht. Oder ein Hoster aus Lithauen? Never, das wäre mir ja völlig neu. Einzige Ausnahme sind Rückgaben von IP-Blöcken. Aber wer den Markt beobachtet kann das leicht nachvollziehen und fragt entsprechende IP-Blöcke bei den Registries ab. Ja, das ist nun mal Arbeit, aber das niemand abgestritten!

Es steht jedem frei, sein Forum so abzudichten, wie er es für richtig hält. Ich wurde nach einer Sperrung via .htaccess gefragt und habe darauf geantwortet. Mit keinem Wort wurden meine Erfahrungen in den letzten beiden Postings berücksichtig. Aber nun gut, manche wollen es eben einfach so und sind pauschal gegen alles.

Ich werde hier nichts mehr schreiben, da ich offenbar einfach nicht genügend Erfahrungen habe.

Servus!

[Tekkla]

Nu sei nicht gleich beleidigt. Einer anderen Meinung zu sein, heisst nicht automatisch, dass ich mehr recht habe als du. Ich habe nur andere Erfahrungen gemacht. Wozu ist ein Forum denn da, wenn man nicht auch einen anderen Standpunkt / andere Erfahrungen darlegen darf?

[Nightwish76]

Ich danke Euch ALLEN für die Lösungsansätze !!
Und AmaSha Du hast das super erklärt und Deine Variante kann ich bestimmten Fällen genau DIE richtige Lösung sein aus meiner Sicht !!
Also alles im grünen Bereich. (Verstehe dass Du ein wenig verärgert bist  ...aber wie gesagt...alles cool ! ) 

[demlak]

Ich danke Euch ALLEN für die Lösungsansätze !!
Und AmaSha Du hast das super erklärt und Deine Variante kann ich bestimmten Fällen genau DIE richtige Lösung sein aus meiner Sicht !!
Also alles im grünen Bereich. (Verstehe dass Du ein wenig verärgert bist  ...aber wie gesagt...alles cool ! ) 

und ich kann eine verärgerung überhaupt nicht nachvollziehen.. das ist ein DISKUSSIONSforum.. meinungen austauschen etc...