Bot wollte sich Registrieren!!

[Nordin]

Hallo ich baue doch schon seit ein paar monaten an einer guten Sicherheitssoftware welche für jedes beliebige php Script eingesetzt werden kann (www.ctxtra.de).
Jetzt hab ich meine nächste version zum testen in einer meiner Seiten eingebaut wo das SMF läuft und heute musste ich feststellen das ein Bot versuchthat sich zu registrieren. Dank meiner ausführlichen Spamliste wurde es als Spam erkannt und vorher geblockt.
Aber ich denke da sollte man sich die Coder von SMF mal Gedanken drüber machen. Captacha ist ja für viele Bots auch kein Hinderniss mehr.

Falls es jemanden interessiert wie und wo er herkam und was er gemacht hat hier die logs meiner Software:

$_POST[user]:
Oliso
$_POST[email]:
[email protected]
$_POST[passwrd1]:
ROOXqKr194
$_POST[passwrd2]:
ROOXqKr194
$_POST[visual_verification_code]:
pharmacy
$_POST[regagree]:
on
$_POST[regSubmit]:
Registrieren

gespamt:   am 29.08.2007 - 04:08:08
REMOTE_ADDR:   87.242.117.109
WHOIS_REMOTE_ADDR:   http://whois.domaintools.com/87.242.117.109
HTTP_USER_AGENT:   Mozilla/4.7 [en] (X11; U; SunOS 5.6 sun4u)
HTTP_COOKIE:   PHPSESSID=d2tuo4pdc33vqd602aodjb4oc6
SERVER_PROTOCOL:   HTTP/1.0
REQUEST_METHOD:   POST
REQUEST_URI:   /board/index.php?action=register2
FULL_REQUEST_URI:   http://meineseite.de/board/index.php?action=register2
Signatur:   pharmacy

Ich bin mir sehr sicher das es kein Human war da es keinen Refferer gibt! also wurde die index.php?action=register2 direkt aufgerufen....

Mfg
Nordin

[dieter4]

Also wenn der Referer fehlt ist das noch kein Indiz für einen Bot

Beispiel: https://addons.mozilla.org/de/firefox/addon/1093

[Nordin]

Hmm ja is richtig...

Aber ich denk mal nich das nen russe (http://whois.domaintools.com/87.242.117.109) grade mein Board (welches eine kleine unbekannte communty ist) aufsucht und extra einen Benutzer anlegt damit er einen spam loswerden kann... zumal ich ihn ja sofort sperren würde... näää die arbeit macht sich niemand... also ist es definitiv nen Bot.

[dieter4]

Ich hab dir ja nicht widersprochen. Ich hab dir nur eine Information gegeben...

[Nordin]

Ich hab dir ja auch nicht wiedersprochen
Hab nur nen grund mehr genannt warum es ein Bot sein könnte... *g*

[dieter4]

Okok! Einigen wir uns auf unentschieden xD

[Nordin]

*g* gern doch.

[Ferrika]

Prinzipiell ist das nix neues, @Nordin. Ich hab da nächtlich einige von. Allerdings hält die Captcha die Bots noch ganz gut zurück, so daß sie immer hübsch vor die Mauer laufen.
Das einzige, was mich nervt (was aber auch zeigt, wie sicher SMF eben da doch funktioniert) ist, daß sie dann bis zu 14mal versuchen, sich einzuloggen.
Die meisten Bots versuchen übrigens vorher, sich zu registrieren, weil sich wohl inzwischen auch rumgesprochen hat, daß in den meisten Boards für Gäste kein Schreibzugriff existiert. Erfreulicherweise, denn in meinem Board dürfen Gäste durchaus schreiben und ich hätte ne Menge zu tun, wenn ich täglich die Viagra-Werbung löschen dürfte *g*

Bisher ist jedenfalls die Captcha noch recht wirksam. Wenn es mal anders wird, weil sich die hübschen Tools durchsetzen, die zur Zeit noch für 450 Euro gehandelt werden und deshalb nicht für Jeden zugänglich sind, mag ich mir nicht vorstellen, denn die endlos wechselnden IP's der Proxyserver mag ich nicht alle sperren müssen. Die Abfrage würde den Server endlos ausbremsen.

Ich hoffe sehr, daß sich irgendwann mal jemand anderer als Forensoftware-Hersteller erbarmt, etwas gegen diese Machenschaften zu unternehmen.

Gruß Ferrika

[Nordin]

Die Abfrage würde den Server endlos ausbremsen.

Naja nich wirklich ich hab bei meiner sicherheitssoftware im netz fas 229000 Bad ips sammeln können. Diese alle in einer liste würde sicher wirklich endlos laufen aber ich hab es bis jetzt so das ich alle ips in eine Datenbank speichere... diese erstellt dann per Script txt-Dateien von 1.txt - 255.txt
Jetzt nehme ich die ersten zahlen von der REMOTE_ADDR bis zum punkt (123.x.x.x) und gehe in diese txt-datei und schaue ob sie existier... somit läuft der sever nicht mehr endlos

was die Bad-IP-Liste angeht hab ich mir überlegt das die liste von usern gepflegt werden soll... ob es klapt wird man dann sehn. Ich hab die liste heut offiziell zum pflegen online gestellt.

Es gibt ein Feld wo man die Bad-IP eintragen kann und ein Feld wo man eine Bad-IP löschen kann.

Somit besteht zwar die gefahr das ein spamer sich immer wieder austragen kann aber ich denke mal bei hunderten usern die die Liste (mein Tool - www.ctxtra.de) dann nutzen können (und werden), wird schon einer dabei sein der diesen Spammer ziemlich schnell wieder einträgt.

Bei mir funktioniert diese methode jedenfalls bis jetzt super.

[mediman]

Die Abfrage würde den Server endlos ausbremsen.

Naja nich wirklich ich hab bei meiner sicherheitssoftware im netz fas 229000 Bad ips sammeln können. Diese alle in einer liste würde sicher wirklich endlos laufen aber ich hab es bis jetzt so das ich alle ips in eine Datenbank speichere... diese erstellt dann per Script txt-Dateien von 1.txt - 255.txt
Jetzt nehme ich die ersten zahlen von der REMOTE_ADDR bis zum punkt (123.x.x.x) und gehe in diese txt-datei und schaue ob sie existier... somit läuft der sever nicht mehr endlos

was die Bad-IP-Liste angeht hab ich mir überlegt das die liste von usern gepflegt werden soll... ob es klapt wird man dann sehn. Ich hab die liste heut offiziell zum pflegen online gestellt.

Es gibt ein Feld wo man die Bad-IP eintragen kann und ein Feld wo man eine Bad-IP löschen kann.

Somit besteht zwar die gefahr das ein spamer sich immer wieder austragen kann aber ich denke mal bei hunderten usern die die Liste (mein Tool - www.ctxtra.de) dann nutzen können (und werden), wird schon einer dabei sein der diesen Spammer ziemlich schnell wieder einträgt.

Bei mir funktioniert diese methode jedenfalls bis jetzt super.

Das klingt alles phantastisch, leider ist es das auch.
Moderne Bot-Netze arbeiten mit Zwischenschichten. Schon diese liefert mal schnell eine handvoll IPs.

D.h. du musst nicht die Angreifer IP blocken, denn die sind nur die leicht ersetzbaren Proxies der Bot-Netze und Fast-Flux-Netze, sondern den Masterserver selbst ausschalten.

Auf gut deutsch, IP-Listen bringen überhaupt nix. Und ganze Zonen zu sperren ist ja gleich mal ganz clever!

Alles was man tun muss, ist die im Moment machinenlesbaren Captchas ersetzen.

Das Problem ist also Tools wie Pwntcha auszubremsen!

Pwntcha erkennt z.B. bei vBulletin 100%  der Captchas! Das selbe für phpBB (ca. 80%).

SMF wird hierfür eine Lösung finden!

Info: http://sam.zoy.org/pwntcha/

mediman

[Jorin]

Hm... War heute bei einer (englischen) Seite unterwegs, wo in einer statischen Seite der Hinweis gegeben wurde, die Registrierung im Forum erfordere eine Angabe der Nr. 2778 (oder so ähnlich). Dadurch, dass die statische Seite dem Forum vorgeschaltet war und die Nr. irgendwo im Text stand, wurde ein annähernd 100%iger Schutz vor Spam-Anmeldungen erreicht. Tja, nur mit dem Nachteil, dass er User sich die Nr. in die Zwischenablage kopieren muss. Aber eigentlich finde ich diese Art der Reg. gar nicht mal sooo schlecht... 

[dieter4]

Hm... War heute bei einer (englischen) Seite unterwegs, wo in einer statischen Seite der Hinweis gegeben wurde, die Registrierung im Forum erfordere eine Angabe der Nr. 2778 (oder so ähnlich). Dadurch, dass die statische Seite dem Forum vorgeschaltet war und die Nr. irgendwo im Text stand, wurde ein annähernd 100%iger Schutz vor Spam-Anmeldungen erreicht. Tja, nur mit dem Nachteil, dass er User sich die Nr. in die Zwischenablage kopieren muss. Aber eigentlich finde ich diese Art der Reg. gar nicht mal sooo schlecht... 

Und Leute die keinen Bock haben sich sowas durchzulesen hält man so auch raus, ganz praktisch eigentlich

Ich habe zudem bei einigen spambelasteten Webseiten die Erfahrung gemacht einfach eine E-Mail zu verlangen, die nicht veröffentlicht wird und das entsprechende Feld dann wayne zu nennen. Bisher hat das kein Bot geknackt xD

Ist natürlich nicht überall einsetzbar und hebelt auch die automatische E-Maileingabe von Browsern aus, aber es hilft gegen Spam

[Jorin]

wayne interessiert das denn? 

Nur ein Scherz. Das mit der E-Mail habe ich nicht begriffen, gibts da ne Erklärung für Auf-der-Leitung-Hocker?

[mediman]

wayne interessiert das denn? 

Nur ein Scherz. Das mit der E-Mail habe ich nicht begriffen, gibts da ne Erklärung für Auf-der-Leitung-Hocker?

Um sich anzumelden, muss der Bot die name-Attribute bzw. die ID des Formularfelds kennen.
Üblicherweise heissen die Felder wo die Mail reinkommt ganz selten "wayne"!!
So findet der Bot kein Feld um die Mail einzutippern.

medi

[Mave]

Was ch bei einem phpbb gesehen hab ist sowas

Sicherheitsfrage:
Diese Frage ist notwendig um das automatische Schreiben von Beiträgen zu erschweren.    Wobei handelt es sich um einen Planeten?
Amerika, Erde, Katze, Universität

und dann das eingabefeld

Das müsste doch auch gut funkionieren.

[wiebke]

Hallo,

das von mave genannte System würde ich sehr begrüßen, weil es auch Menschen mit Sehbehinderungen noch den Zugang zum Forum ermöglicht. Das Captcha kann ich aus genau diesem Grund leider nicht einsetzen...

Gruß Wiebke

[Mave]

Hallo,

das von mave genannte System würde ich sehr begrüßen, weil es auch Menschen mit Sehbehinderungen noch den Zugang zum Forum ermöglicht. Das Captcha kann ich aus genau diesem Grund leider nicht einsetzen...

Gruß Wiebke

Das capatcha von smf kann man sich doch vorlesen lassen?

[dieter4]

wayne interessiert das denn? 

Nur ein Scherz. Das mit der E-Mail habe ich nicht begriffen, gibts da ne Erklärung für Auf-der-Leitung-Hocker?

Um sich anzumelden, muss der Bot die name-Attribute bzw. die ID des Formularfelds kennen.
Üblicherweise heissen die Felder wo die Mail reinkommt ganz selten "wayne"!!
So findet der Bot kein Feld um die Mail einzutippern.

medi

Genau, "wayne" kann nämlich alles ein.

[mediman]

Hallo,

das von mave genannte System würde ich sehr begrüßen, weil es auch Menschen mit Sehbehinderungen noch den Zugang zum Forum ermöglicht. Das Captcha kann ich aus genau diesem Grund leider nicht einsetzen...

Gruß Wiebke

das von mave genannte system ist nicht immer effektiv. es gibt jetzt schon hacks die diesen schutz über eine api (wikipedia) umgehen, dabei wird über eine abfrage per wikipedia die wahrscheinlichste antwort ermittelt.

zum thema captcha und barrierefreiheit, wie schon erwähnt, es gibt eine vorlesmöglichkeit.

mediman

[wiebke]

Hallo,

oh, die Vorlesemöglichkeit hatte ich noch gar nicht gesehen, sorry. Gibt es die auch auf deutsch?

Gruß Wiebke

[mediman]

Hallo,

oh, die Vorlesemöglichkeit hatte ich noch gar nicht gesehen, sorry. Gibt es die auch auf deutsch?

Gruß Wiebke

Zumidest hab ich eine solche in SMF-Boards schon gesehen, da ich aber Mod-Security2 nutze, bin ich vor Spammern recht gut geschützt, so dass ich diese noch nie brauchte.

[Mave]

Hallo,

oh, die Vorlesemöglichkeit hatte ich noch gar nicht gesehen, sorry. Gibt es die auch auf deutsch?

Gruß Wiebke

Da musst du wohl selber ran und die dateien aufzeichnen
default/fonts/sounds
alles wav dateien

[Mave]

@ medi
Was wurde den an meinem Beitrag editiert?   

[mediman]

@ medi
Was wurde den an meinem Beitrag editiert?   

Fehlerhafte Quotes ...
Du hattest deinen Text in die Quotes eingeschlossen.
Wir ändern keine Texte, keine Angst. Aber lesbar sollte das Ganze schon sein.