Spam User trotz Sicherheitsmaßnahmen?
Verfasst: 26.05.2009 21:36
Moin zusammen,
man möge mir bitte die holprige Darstellung meines Problems verzeihen, ich benutze phpBB zwar schon recht lange, aber nicht so intensiv, dass ich mich als "wissender Admin" bezeichnen könnte
Ich habe das Problem, dass auf meinem Board regelmäßig Anmeldungen von offensichtlichen Spam-Benutzern geschehen. Diese sind zweifelsfrei daran erkennbar, dass sie a) nie was posten und b) so lustige Details wie http://blogcheese.com/tickets/ als Homepage oder "Ethiopia" als Heimatland haben. Die Benutzernamen - z.B. "Torsseahduaro" sind zwar kryptisch, aber nicht bot-typisch.
Was ich an dem Ganzen nicht verstehe, ist die Tatsache, dass die Registrierung meines Forums mit allen vorhandenen Bordmitteln geschützt ist, also Registrierung nur mit Freischalt-Link und mit Captcha-Sicherung davor. Trotzdem habe ich regelmäßig neue Benutzer im Forum, die da nicht hingehören.
Wenn ich mir dann die IP eines solchen Benutzers schnappe und mal im Log des Webservers nachgucke, was er denn so gemacht hat, sieht das folgendermaßen aus (der leichteren Lesbarkeit um diverse Felder gekürzt):
[02/May/2009:05:34:51 +0200] "GET / HTTP/1.0" 200 21330 "http://forum.domain.tld/"
[02/May/2009:05:34:52 +0200] "GET /index.php HTTP/1.0" 200 19222 "http://forum.domain.tld/index.php"
[02/May/2009:05:34:52 +0200] "GET /ucp.php?mode=register HTTP/1.0" 200 12626 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:34:57 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 17024 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:34:57 +0200] "GET /ucp.php?mode=confirm&id=26367f1799e02655a9b1d7ba2902248f&type=1 HTTP/1.0" 200 14795 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:35:03 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 6799 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:06:40:51 +0200] "GET /ucp.php?mode=activate&u=845&k=3G6YIU3X6Q HTTP/1.0" 200 7101 "http://forum.domain.tld/ucp.php?mode=activate&u=845&k=3G6YIU3X6Q"
[02/May/2009:06:40:51 +0200] "GET /index.php?sid=f75383af2051f842241acd3ad35777bb HTTP/1.0" 200 19151 "http://forum.domain.tld/index.php?sid=f75383af2051f842241acd3ad35777bb"
[02/May/2009:06:40:52 +0200] "POST /ucp.php?mode=login HTTP/1.0" 200 7765 "http://forum.domain.tld/index.php?sid=f75383af2051f842241acd3ad35777bb"
[02/May/2009:06:40:52 +0200] "GET /index.php?sid=d8791d6cd6dbe6bb77b9f60efaebb814 HTTP/1.0" 200 20268 "http://forum.domain.tld/index.php?sid=d8791d6cd6dbe6bb77b9f60efaebb814"
Sehe ich das richtig, dass das wirklich ein Mensch ist, der sich die Mühe macht, sich von Hand in einem Forum zu registrieren, nur um in seinem Homepage Feld seine Werbespam-URL zu hinterlassen? Ich kann mir das einfach nicht denken, weiß aber nicht, wie er sonst an den Sicherheitsmechanismen vorbeikommen soll. Daher meine Frage, ob da jemand weiß, was da vielleicht falsch eingestellt sein könnte.
Ach ja, das board ist phpBB-3.0.4 ohne modding
man möge mir bitte die holprige Darstellung meines Problems verzeihen, ich benutze phpBB zwar schon recht lange, aber nicht so intensiv, dass ich mich als "wissender Admin" bezeichnen könnte
Ich habe das Problem, dass auf meinem Board regelmäßig Anmeldungen von offensichtlichen Spam-Benutzern geschehen. Diese sind zweifelsfrei daran erkennbar, dass sie a) nie was posten und b) so lustige Details wie http://blogcheese.com/tickets/ als Homepage oder "Ethiopia" als Heimatland haben. Die Benutzernamen - z.B. "Torsseahduaro" sind zwar kryptisch, aber nicht bot-typisch.
Was ich an dem Ganzen nicht verstehe, ist die Tatsache, dass die Registrierung meines Forums mit allen vorhandenen Bordmitteln geschützt ist, also Registrierung nur mit Freischalt-Link und mit Captcha-Sicherung davor. Trotzdem habe ich regelmäßig neue Benutzer im Forum, die da nicht hingehören.
Wenn ich mir dann die IP eines solchen Benutzers schnappe und mal im Log des Webservers nachgucke, was er denn so gemacht hat, sieht das folgendermaßen aus (der leichteren Lesbarkeit um diverse Felder gekürzt):
[02/May/2009:05:34:51 +0200] "GET / HTTP/1.0" 200 21330 "http://forum.domain.tld/"
[02/May/2009:05:34:52 +0200] "GET /index.php HTTP/1.0" 200 19222 "http://forum.domain.tld/index.php"
[02/May/2009:05:34:52 +0200] "GET /ucp.php?mode=register HTTP/1.0" 200 12626 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:34:57 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 17024 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:34:57 +0200] "GET /ucp.php?mode=confirm&id=26367f1799e02655a9b1d7ba2902248f&type=1 HTTP/1.0" 200 14795 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:05:35:03 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 6799 "http://forum.domain.tld/ucp.php?mode=register"
[02/May/2009:06:40:51 +0200] "GET /ucp.php?mode=activate&u=845&k=3G6YIU3X6Q HTTP/1.0" 200 7101 "http://forum.domain.tld/ucp.php?mode=activate&u=845&k=3G6YIU3X6Q"
[02/May/2009:06:40:51 +0200] "GET /index.php?sid=f75383af2051f842241acd3ad35777bb HTTP/1.0" 200 19151 "http://forum.domain.tld/index.php?sid=f75383af2051f842241acd3ad35777bb"
[02/May/2009:06:40:52 +0200] "POST /ucp.php?mode=login HTTP/1.0" 200 7765 "http://forum.domain.tld/index.php?sid=f75383af2051f842241acd3ad35777bb"
[02/May/2009:06:40:52 +0200] "GET /index.php?sid=d8791d6cd6dbe6bb77b9f60efaebb814 HTTP/1.0" 200 20268 "http://forum.domain.tld/index.php?sid=d8791d6cd6dbe6bb77b9f60efaebb814"
Sehe ich das richtig, dass das wirklich ein Mensch ist, der sich die Mühe macht, sich von Hand in einem Forum zu registrieren, nur um in seinem Homepage Feld seine Werbespam-URL zu hinterlassen? Ich kann mir das einfach nicht denken, weiß aber nicht, wie er sonst an den Sicherheitsmechanismen vorbeikommen soll. Daher meine Frage, ob da jemand weiß, was da vielleicht falsch eingestellt sein könnte.
Ach ja, das board ist phpBB-3.0.4 ohne modding