phpBB.de

Hallo Community,
bei uns gibt es seit einiger Zeit folgendes Problem:

Bots versuchen sich mit existierenden oder erfundenen Usernames anzumelden, scheitern dann aber am grafischen Bestätigungscode. Ärgerlich ist dann aber für die User, dass auch sie beim Anmeldeversuch sofort den Bestätigungscode angezeigt bekommen, schließlich hat es jemand vor ihnen schon oft probiert. Und auch sie scheiterten so oft am Code, dass ich das Board heute auf das einfachste CAPTCHA-Modul umgestellt habe - eine Frage der Zeit, bis die Spinner auch durchkommen.

IPs blocken ist auch keine Lösung, sie sind immer unterschiedlich: Hat jemand einen vernünftigen Lösungsansatz?

smart hat geschrieben:Hat jemand einen vernünftigen Lösungsansatz?

Bei mir wirkt das Q&A-Captcha recht ordentlich. Bislang hatte ich nur zweimal Werbebeiträge, der ganz offensichtlich von Menschen eingegeben wurde. Dagegen kann man kaum etwas machen.

Ansonsten kann man per htaccess auch ganze IP-Bereiche sperren. Hier muß man dann schauen, ob sich die Zielgruppe deines Forums auf bestimmte Länder beschränkt, ob die ggf. alle Tor oder Proxies nutzen etc.
Ich habe da z.B. einige IP-Bereiche aus der VR China, Indien, den USA oder Südkorea geblockt.
Du kannst auch schauen, ob sich vielleicht Gemeinsamkeiten in den User-Agents finden lassen. Wenn die ungewöhnlich sind, per htaccess blocken.

auch das http://www.flying-bits.org/download.php?mod_id=11 sollte für Menschen einfach sein

Damals als ich noch phpBB 2 eingesetzt habe war es sehr effektiv, die Registrierungsseite zu verschieben, also unter einem anderen Link verfügbar zu machen. Nützt natürlich nichts, wenn existierende Benutzernamen verwendet werden. Da wäre die Frage, wie die da ran kommen, ggf. solltest du die Rechte so anpassen, dass man auf die Mitgliederliste nicht zugreifen kann ohne eingeloggt zu sein. Wenn das bereits so ist würde ich mich an deiner Stelle eher fragen, wie die an die Namen gekommen sind...

gn#36 hat geschrieben:[...] Wenn das bereits so ist würde ich mich an deiner Stelle eher fragen, wie die an die Namen gekommen sind...

Gäste dürfen vermutlich zumindest 1-2 Foren sehen, ggf sogar deren Inhalt und somit vermutlich auch den letzten Author ... dies wäre ein Anhaltspunkt ...
Sollte das Problem länger anhalten wäre folgender Mod vlt. auch eine Idee: http://www.phpbb.com/customise/db/mod/s ... user_name/

So ist es.

Ich habe einen anderen Lösungsansatz und suche derzeit nach einem passenden MOD: User sollten sich zukünftig mit ihrer E-Mail-Adresse anstatt des Usernames einloggen, denn die ist öffentlich nirgendwo sichtbar.

Hat jemand eine Idee, ob es einen solchen MOD bereits gibt?

Hallo erstmal,

smart hat geschrieben:
Hat jemand eine Idee, ob es einen solchen MOD bereits gibt?

wie wäre es damit?

http://www.phpbb.com/community/viewtopic.php?t=636415

Bei Fragen zu der Mod bitte ein neues Thema erstellen.

Den habe ich bereits entdeckt, allerdings gibt er die Möglichkeit, sich sowohl per E-Mail, als auch mit dem Benutzernamen anzumelden und müsste daher etwas angepasst werden... Ist aber ein guter Ansatz!

Gibt es eurer Meinung anch etwas, was gegen einen Login per E-Mail spricht?

Na toll...jetzt geht das auch bei mit los, daß bestehende Useraccounts für Anmeldeversuche verwendet werden, wobei die absolute Anzahl der Versuche insgesamt noch recht überschaubar ist (rund 60 seit Mitternacht).
Mal schauen, ob die großzügigen IP-Sperren in der htaccess-Datei was bringen.

Dann hat du es ja gut. bei mir sind es zum teil inner4halb von 1h schon 200 anfragen. aber das ist noch nicht alles: sie versuchens auch beim ftp-zugang


is jetzt hatten sie nur bei einem ntzer erfolg, der ein unsicheres pw verwendet hat. habealle nutzer aufgefordert ihre pws zu ändern. habe auch die pw anforderungen extrem hoch eingestellt



Naja, ich hoffe das hört wieder auf....