phpBB.de

Seit vorgestern machen in meine Augen neue SpamBots mein Forum unsicher.

Es gab einige Anmeldungen im Forum, welche alle im Jahr 1976 geboren sind (ich habe GebTag als Pflichtfeld) und weiblich als Geschlecht gewählt haben:

Anpo
Penelopy
Amdoer
Whatver
Jens
Dessh54
Abceedlebeee
Abanerjo
Dicktenster43
Erenceter
Abha8
[usw.]

Nun es gibt grundsätzlich keinen Grund einen zu löschen. Die Namen wären für mein Fantasy Forum nicht so mysteriös und sie haben im Profil keine Website eingetragen (sonst würde sie ein selbst-geschriebenes Skript löschen). Immerhin will ich nicht alle 31 jährigen im Forum verbieten.

Doch 2 dieser 76er (hier nicht erwähnt, da schon gelöscht) haben auf einmal angefangen das Forum zuzuspamen mit Beiträgen (30-40) mit ner Website als Inhalt.


Ich hatte zum Zeitpunkt des Angriffs 0.21 und seit gestern 0.22. Ich weiß zwar jetzt nicht ob das Problem damit gelöst ist und dieser Post ist auch nicht nur fragend sondern auch Warnend!

P.S.: Bild-Validierung und E-Mail Registrierung ist aktiviert

Hi ...

mit der standardmäßigen "Bild-Validierung" schreckst du keinen Bot mehr ab ... das entlockt denen nichtmal ein müdes Lächeln

Der MOD hier dürfte Abhilfe schaffen
Anti Bot Question MOD

Markus

Ich werde es als bald mal testen ... gibt es noch keine anderen Meldungen über Bots aus dem Geburtsjahre 1976?

HI Draco,

ich habe den Anti Bot Question MOD bei mir eingebaut, und ich habe nur die besten Erfahrungen, seit dem habe ich keine SpamBotAnmeldung mehr auf Board

LG Thomas

Hi,

ich hoffe der Thread wird noch gelesen.

Also ich habe auch noch ein paar Fragen zum Thema "Bots und phpBB".

Markus67 meint, dass es kein Bot mehr durch die Bildvalidierung abgeshreckt werden kann. Mir ist geläufig, dass es einigen Bots gelingt gewisse Captcha zu entschlüßeln und sie so zum umgehen.
Wenn man allerdings thomasrappers Problem betrachtet, hat er ja nicht nur die Bildvaliderung, sondern auch die eMail-Aktivierung in seinem Forum gesetzt.
Jetzt ist es natürlich für nen Botprogrammierer lukrativ nen Bot zu prgrammieren der sich in offene Foren selber einträgt und dort Spam-Werbung hinterläßt.
Nur denke ich nicht, dass die Bots sich auf dem normalen humanen Weg(Captcha eintragen und Aktivierungs-Mail bestätigen) in die Foren eintragen. Sondern über eine, wie ich denke Sicherheitslücke.
Denn welcher Bot spamt sich mit eMail-Aktivierungen selber zu? Dass ist die Sache, die ich nicht verstehe.

Ich weiß net wie ihr darüber denkt.

Den hier besagten Mod werde ich mal ausprobieren und dabei mal gucken was er am System verändert.

Gruß,
Roy

p.s: ich meinte "darco" mit "thomasrappers", sorry.

Bin grad dabei...
ich habe eh ständige neu-anmeldungen

http://www.thedragonworld.com/forum/memberlist.php

G.Roysch hat geschrieben:Hi,

ich hoffe der Thread wird noch gelesen.

Also ich habe auch noch ein paar Fragen zum Thema "Bots und phpBB".

Markus67 meint, dass es kein Bot mehr durch die Bildvalidierung abgeshreckt werden kann. Mir ist geläufig, dass es einigen Bots gelingt gewisse Captcha zu entschlüßeln und sie so zum umgehen.
Wenn man allerdings thomasrappers Problem betrachtet, hat er ja nicht nur die Bildvaliderung, sondern auch die eMail-Aktivierung in seinem Forum gesetzt.
Jetzt ist es natürlich für nen Botprogrammierer lukrativ nen Bot zu prgrammieren der sich in offene Foren selber einträgt und dort Spam-Werbung hinterläßt.
Nur denke ich nicht, dass die Bots sich auf dem normalen humanen Weg(Captcha eintragen und Aktivierungs-Mail bestätigen) in die Foren eintragen. Sondern über eine, wie ich denke Sicherheitslücke.
Denn welcher Bot spamt sich mit eMail-Aktivierungen selber zu? Dass ist die Sache, die ich nicht verstehe.

Wenn das über eine Sicherheitslücke laufen würde, dann könntest du dir sicher sein, dass durch diese Sicherheitslücke auch noch ganz andere Sachen mit deinem Server gemacht würden (vor allem wenn der in der Lage ist, Mails zu verschicken). Wo ist denn das Problem eine Email zu analysieren? Gerade phpbb Mails sind doch sogar standardisiert, so dass es nicht weiter schwierig ist, diese automatisch nach Links zu durchsuchen und diese dann zu verwenden.

Also ich hab den Mod mal auf den Testserver installiert ... schaut ganz gut aus, morgen wenn ich fitter bin übernehm ich es auf den Produktivbetrieb.

Ich habe es auf nur individuelle Fragen beschränkt und habe (vor) einige (noch) einzubauen, wobei ich die voreingestellten alle gelöscht habe.

Die Zukunft wird zeigen ob es etwas gebracht hat.
Seit dem letzten Update gibt es immerhin keine Spamangriffe mehr von den Bots


ZUSATZ:

Habs nun doch schon installiert, mal schaun was es bringt ^^

@gn#36:

Ja, das ist mir och klar, eMails auswerten ist doch einfach.

Aber stell dir vor, dass jemand solch ein bot programmiert, der das Internet nach Foren(sagen wir mal nur phpBB-Foren) durchsucht und sich da anmeldet um Werbung zu posten.

Dann würde der Bot sicherloich sehr viele Foren finden und sich dort anmelden und von jeder Anmeldung wieder ne Mail zurück bekommen.

Aber welcher Bot spamt sich den selber zu? Das macht für mich keinen Sinn.

Gruß

Naja ohne einen gewissen Aufwand gibt es auch keinen Erfolg. Außerdem kriegt das ja nur der PC/Server des Spammers mit, der Spammer selbst hat da doch nix mit am Hut...