Benutzername    Passwort    Autologin    
  Passwort vergessen       Registrieren  
beeForum Foren-übersicht » globetrottel
Neues Thema eröffnen   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten. Hervorhebung entfernen


Projekt SpamBot
Gehe zu Seite 1, 2  Weiter Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
pseudocode





Titel: Projekt SpamBot
Verfasst am: So, 08 Okt 2006, 09:50
Beitrag
Antworten mit Zitat

Projekt SpamBot
(deutsche Version , click here for the english version)

Es ist ein regnerischer Tag und ich habe sonst nicht besseres zu tun, deswegen versuche ich mich heute (mal sehen, ob ein Tag ausreicht) an einem Projekt, das die Sicherheit von phpBB-Foren erhöhen bzw. nachlässige Forenbetreiber darauf aufmerksam machen soll, ihre Foren gegen automatische Registrierungen (und automatisches Posten von Beiträgen, mal sehen, wie weit ich komme) zu schützen.

Warum tue ich das?
Ich habe selbst lange genug ein Forum (mit phpBB) und einen ebenso langen Kampf gegen Spammer geführt. Mein Forum sollte möglichst einfach zugänglich sein, aber trotzdem maximalen Schutz gegen automatische Registrierungen (und vor allem: automatische Postings) bieten.
Obwohl die URL meines Forum nie beworben wurde, stellten sich nach kurzer Zeit die ersten Spammer ein. Mein einziger "Kontakt" zum Internet war der Eintrag der URL in der Userliste von phpbb.de.
Ich möchte probieren, wie einfach es ist, sich die entsprechenden Adressen zu besorgen und diese für Spam zu missbrauchen. Gleichzeitig will ich aufzeigen, wie man sich mit einfachsten Mitteln vor dieser Pest schützen kann.
(Mein Forum ist seit einiger Zeit offline, daher veröffentliche ich den Text hier.)

Um eines direkt klar zu machen: Dieses Projekt ist eine reine "proof of concept"-Spielerei und soll lediglich verdeutlichen, wie einfach es sein kann, phpBB-Foren mit falschen Registrierungen (und Postings) zuzuspammen. Sollte das Projekt von Erfolg gekrönt sein, werde ich keine Quellcodes und/oder Listen von Foren, die Opfer wurden, veröffentlichen, sämtliche Anfragen in diese Richtung werden sofort gelöscht.
Sämtliche Postings werden markiert mit dem Hinweis, dass es sich um ein automatisches Posting handelt und dass der Admin den Text und den Account bitte wieder löschen soll. Pro Forum wird nur EINE Registrierung durchgeführt und max. EIN Posting geschrieben.
Wer sich durch meinen Bot belästigt fühlt, möge es mir verzeihen und den Account einfach wieder löschen, es liegt mir fern, Leute zu nerven, der einzige Zweck hinter dieser Aktion ist, auf vorhandene Lücken aufmerksam zu machen und zwar an den Stellen, wo es am nötigsten ist: in Foren, die Spammer durch fehlende Sicherheitseinstellungen quasi einladen.

Am Ende dieser Beschreibung ist eine Liste mit Massnahmen aufgeführt, die es automatischen Spambots (gegen humanoide Spammer ist leider kein Kraut gewachsen) möglichst schwer machen soll, eure Foren als Spambasis zu missbrauchen. Eine vollständige Sicherheit gegen Spammer kann es nicht geben, Ziel ist aber, den Weg für Bots so steinig zu gestalten, dass sich der Aufwand, Spam in eurem Forum zu betreiben, einfach nicht mehr lohnt.


Die Komponenten

CollectBot

Ein Skript, dass automatisch Adressen aus dem Internet bezieht, bei denen eine Registrierung versucht wird. Aufgrund der weiten Verbreitung von phpBB werden ausschliesslich Adressen von phpBB-Foren gesucht, als Ausgangsposition wird die immense Benutzerliste von phpbb.com verwendet, da sich hier im Laufe seiner Admintätigkeit fast jeder Forenbetreiber registriert und im Benutzerprofil seine Forenadresse hinterlässt. Ein weiterer Grund für die Benutzerliste von phpbb.com ist, dass sie ohne Login erreichbar ist, d.h. jeder kann ohne weiteres die Liste (und die Forenadressen der Registrierten auslesen). Auch löscht phpbb.com keine inaktiven User, so dass die Ausbeute hier besonders vielversprechend ist.

Der CollectBot geht folgendermassen vor:
  • Die erste Seite der Userliste von phpbb.com wird geöffnet und vollständig ausgelesen.
  • Eine vom User eventuell eingegebene URL (markiert mit "_userwww") wird gesucht und ausgelesen.
  • Die URL wird geöffnet, um sicher zu stellen, dass die Seite erreicht werden kann. Dadurch werden alte Seiten, die schon lange offline sind, direkt gefiltert.
  • Die Seite wird ausgelesen. In diesem ersten Schritt wird nur überprüft, ob wir direkt auf einer phpBB-Forenseite gelandet sind, Portale oder Foren mit Vorschaltseiten werden also (in dieser Version des CollectBot) verschont. Sobald auf der Seite Indizien für phpBB aufgefunden wird, wird davon ausgegangen, dass es sich um eine Forenseite handelt, die URL wird in einer Datei abgelegt.
  • Der Startzähler wird um 25 erhöht und die Schleife startet von vorne.
Um mehr Forenadressen einzusammeln, wird der CollectBot gleichzeitig auf Mitgliederlisten anderer grosser phpBB-Foren (z.B. phpbbhacks.com, etc.) angesetzt.

VerifyBot

Anmerkung: dieser Schritt wird vorerst übersprungen, da eine nicht erreichbare Mitgliederliste nicht vor Spam-Posts schützt.

Ein Skript, dass die vom CollectBot erzeugte Liste mit phpBB-Foren anhand einiger, für Spammer wichtiger Kriterien verifizieren soll. Dabei wird versucht, die Userliste des Forums (memberlist.php) zu öffnen. Nur, wenn die Userliste frei erreichbar ist, lohnt sich für den Spammer die Registrierung, da dann auch Google die Userliste spidern kann und die in den Userprofilen eingegebenen URLs findet.
Google funktioniert (grob vereinfacht) nach dem Prinzip, dass eine Seite bei Google "wichtiger" ist (und in den Trefferlisten weiter oben erscheint), je mehr Links von aussen auf diese Seite zeigen. Wenn sich also die Spammer bei möglichst vielen Seiten anmelden und ihre URL im Benutzerprofil hinterlassen, erzeugen sie dadurch sogenannte "Backlinks", die später für Google dafür Anlass sind, die Seite in ihrem Index weiter oben zu platzieren (und für die Website der Spammer Besucher anzulocken).

Sollte die Benutzerliste des Forums ohne Registrierung einsehbar sein, legt der VerifyBot die gefundene Adresse in einer neue Datei als "verifiziertes" Forum ab. Alle URLs in dieser Liste sind potentiell lohnenswerte Opfer für Spam-Registrierungen.

RegisterBot

Dieses Skript versucht, sich über das Registrierungsformular des verifizierten Forums (profile.php?mode=register&agreed=true) zu registrieren. (Dazu werden die URLs des CollectBot zunächst korrigiert, d.h. "index.php" oder ähnliche Zusätze entfernt.)
Sobald ein CAPTCHA auf dieser Seite gefunden wird, gibt das Skript sofort auf. Ein "proof of concept" das CAPTCHAS automatisch dekodiert (was ja eigentlich nicht möglich sein sollte), gibt es bereits hier und soll nicht Gegenstand dieser Skripte sein.
Diese "Untersuchung" soll lediglich Foren betreffen, die es Spammern dadurch enorm einfach machen, ihren Müll zu verbreiten, indem es die Forenbetreiber mit der Sicherheit ihrer Software nicht besonders genau nehmen und eben dazu gehört auch, dass ein CAPTCHA nicht eingerichtet ist.

Achtung: Diese Aussage galt nur für die erste Version dieser Skripte. "Projekt SpamBot 2.0" beinhaltet einen "CAPTCHA-Breaker", der als weitere "proof of concept"-Spielerei zeigen will, wie unsicher das Standard-CAPTCHA von phpBB2 ist! Hier gibt es die Beschreibung, wie das automatische Lösen des CAPTCHA funktioniert.

Sollte das Forum ein "verkürztes" Registrierungsformular verwenden, in dem nur der Benutzername und die eMail-Adresse abgefragt werden, wird die Registrierung fortgesetzt, auch wenn es für "richtige" Spammer mit einem nicht lohnenden Mehraufwand verbunden ist, sich nach der Registrierung (und evtl. nach der Aktivierung des Accounts) noch einmal einzuloggen, nur um seine URL in seinem Profil zu hinterlassen.

Die Registrierung erfolgt mit einem zufällig gewählten Benutzernamen und einem willkürlichen Passwort. Benutzername, gewähltes Passwort und die URL des Forums werden in einer Datei gespeichert, sobald die Registrierung erfolgt ist. Jegliches Neuladen der Registrierungsseite (z.B. durch einen nicht beachteten "Humanizer" oder ähnliche Sicherheitsabfragen oder ungewöhnliche Pflichtfelder) führen ebenfalls sofort zum Abbruch des Registrierungsversuchs.
Weiterhin wird eine (valide) eMail-Adresse benutzt, um evtl. verschickte Aktivierungsmails (mit dem MailBot) abzufangen und zu beantworten. Das Feld "website" wird mit der URL dieses Artikels ausgefüllt.

MailBot

Der MailBot dient als Vorbereitung auf den Einsatz des PostBot: sollte bei einem Forum die Aktivierung per Mail eingeschaltet sein, erledigt das der MailBot.
Zu diesem Zweck wird ein Postfach bei einem Freemail-Anbieter (in diesem Fall gmx.de) angelegt. Diese eMail-Adresse wird bei den Registrierungen angegeben, um die Aktivierungsmails abzufangen. Der MailBot fragt das Postfach ab, liest die einzelnen Mails aus, parst diese und ruft den Aktivierungslink auf. Damit erhalten wir zusätzlich zu den Forenaccounts, die ohne Aktivierung genutzt werden können, durch den MailBot weitere Accounts, die für Spammer interessant sein könnten.

PostBot

Dieses Skript geht einen Schritt weiter und postet Texte in die Foren, bei denen wir in der Zwischenzeit Accounts erzeugt haben. Normalerweise erhält man von den Spammern, denen der Eintrag in der Mitgliederliste nicht reicht, die typischen, mit Links vollgepflasterten Spammer-Postings, die (natürlich) wieder nur dazu dienen, externe Links für Google zu erzeugen.
Der PostBot ruft die Website des phpBB-Forums auf, loggt sich ein, liest die folgende Seite aus, sucht nach einem Forum, in das geschrieben werden darf und postet einen Text in das Forum, in unserem Fall eine Warnung an den Forumadministrator, dass das Forum für automatische Registrierungen und Posts genutzt werden kann und dass er (anhand dieses Textes) etwas dagegen unternehmen möge, um die Spamflut einzudämmen.


Abhilfe

Du bist Opfer des SpamBots (oder eines "richtigen" Spammers) geworden? Was kannst du gegen diese Pest tun?

  • Halte dein Forum immer auf dem neuesten Stand, um Sicherheitslücken zu schliessen!

  • Ändere den Inhalte der Variable "agreed" (für die Zustimmung vor der Registrierung) mit dem Unique Registration Hash automatisch für jede Registrierung. (Dieser MOD hätte "Projekt SpamBot" direkt von Anfang an komplett gestoppt!)
    Wenn du dich ein bisschen mit PHP auskennst, kannst du zusätzlich auch den Namen der Variable ändern, was es automatische Registrierungen praktisch unmöglich machen sollte.

  • Aktiviere die visuelle Bestätigung (CAPTCHA) deines Forums im ACP. Am besten installierst du direkt die erweiterte Version (Advanced Visual Confirmation), die (bisher) von Bots kaum zu knacken ist. Das Standard-CAPTCHA bietet keinen Schutz gegen SpamBots, mehr darüber hier.

  • Benutze nicht die automatische Freischaltung von neuen Usern in deinem Forum, es sollte auf jeden Fall die Aktivierung per Mail im ACP eingestellt werden, da die meisten Spambots ungültige eMail-Adressen verwenden und so ihre Accounts dann nicht freischalten können.

  • Sperre die Mitgliederliste und die Profile gegen Einsicht von Gästen: link

  • Blende die Auflistung nicht-aktivierter Accounts aus der Mitgliederliste aus und unterbinde die Anzeige der Benutzer-Website in Mitgliederliste und Profilen, wenn der Benutzer keine Beiträge im Forum verfasst hat (sogenannte "Zeroposter"): link

  • Installiere CBack's "CrackerTracker" gegen automatische Massenregistrierungen und -postings.

  • Der MOD Anti-Spam ACP bietet diverse Methoden an, Spam-Versuche zu stoppen und zu loggen.

  • Ändere dein Registrierungsformular: füge ungewöhnliche Pflichtfelder ein und entferne die Eingabe der Benutzerwebsite aus dem Registrierungsformular.
    Anti Bot Question Hack, Anti-Spam ACP

  • Installiere MODs wie "Admin Reminder" und "Prune Users", um deine Benutzer daran zu erinnern, sich am Forum zu beteiligen und um die Benutzerliste von inaktiven und/oder faulen Benutzern zu bereinigen.

Wer mit den genannten Hinweisen und weiterführenden Links nichts anfangen kann, möge sich in den FAQ der entsprechenden Foren um Aufklärung bemühen, sämtliche angegebenen Tipps sind bestens dokumentiert und mit ein bisschen gutem Willen auch von Laien anzuwenden. Hier gibt es generelle Hilfe zum Einbau von MODs in phpBB.
Ein Forenbetreiber sollte meiner Meinung nach selbständig in der Lage sein, die Änderungen an seinem Forum durchzuführen, daher werde ich keinerlei Support beim Einrichten und/oder Ändern eures Forums anbieten, ich sehe meine "Aufgabe" mit dem Veröffentlichen dieser Hinweise (und dem "proof of concept" dieses Projekts) als abgeschlossen an.

Hinweise und Vorschläge zu diesem Thema, dem Projekt, Forensicherheit im allgemeinen, etc. können hier natürlich gerne diskutiert werden.

MfG,
pseudocode


Zuletzt bearbeitet von pseudocode am Sa, 30 Jun 2007, 20:25, insgesamt 3-mal bearbeitet. (5 Prozent)

Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Di, 10 Okt 2006, 17:58
Beitrag
Antworten mit Zitat

Ergebnis

CollectBot:
Es wurden fast 365.000 Benutzerprofile auf unterschiedlichen Webseiten untersucht. Ca. 10% davon hatten eine Webseite angegeben, davon wurden automatisch ca 6.000 (genau 5.965) Adressen ausgemacht, die ein erreichbares phpBB-Forum darstellten.

VerifyBot:
nicht ausgeführt

RegisterBot:
Bei fast 1.000 Foren konnte sich automatisch angemeldet werden, diese Zahl kann immens gesteigert werden, wenn man die bereits automatisch lösbaren CAPTCHAS mit einbeziehen würde.

MailBot:
Ca. 300 Registrierungen wurden aktiviert, die anderen Registrierungen waren entweder sofort freigeschaltet oder mussten erst durch den Admin freigeschaltet werden (Anzahl nicht nachgehalten).

PostBot:
Fast 300 (genau 288) Posts wurden automatisch veröffentlicht - nach einer Wartezeit von 1-2 Tagen nach der Registrierung, um den Admins die Gelegenheit zu geben, über die Link im Profil den Hintergrund der Registrierung zu erfahren.
Stichproben haben gezeigt, dass es sich dabei nicht nur um kleine Foren handelte, es waren nicht wenige sehr grosse (und aktive) Foren mit Tausenden von Benutzern und Zehntausenden von Beiträgen dabei, einige davon beschäftigen sich sogar mit dem Thema "Sicherheit" ...
Ein weitere Verfeinerung der Routinen im PostBot könnten in einem zweiten Durchlauf noch mehr "Treffer" landen.


Hier sind die Daten über den zweiten Durchlauf des Projekts; die Zahlen wurden dabei um das Zehnfache gesteigert - insgesamt wurden also über 13.000 Account angelegt und fast 3.300 Posts veröffentlicht!


Folgender Text wurde unter dem Thema "You have been spammed" veröffentlicht (immer auf englisch):

Code:
Hi there!

Your forum is wide open to automatic registrations and postings. Spammers can use it to spread their junk automatically, just like we did to send you this message.

Please read this article to learn how we did this and how to secure your forum against this pest:
http://www.beehave.de/forum/viewtopic.php?t=1400

This is a one-time posting by 'Projekt SpamBot' to help forum-admins to secure their software. This account will not be used again, you can delete it (and this post) if you wish.

Greetings,
pseudocode


PS: if you want to contact us, please follow the link and contribute to our discussion. Emails or PMs to this account will not be read.


Die Zeit wird zeigen, wieviele dieser Postings in ein paar Wochen / Monaten noch übrig bleiben und wieviele Foren, die mit einem Posting "beglückt" wurden, nichts an ihrer Konfiguration ändern. Ich hoffe, ich habe ein bisschen zu einer Zukunft mit weniger Spam beigetragen.


Zuletzt bearbeitet von pseudocode am Fr, 20 Okt 2006, 08:57, insgesamt einmal bearbeitet. (1 Prozent)

Nach oben
Rang:
Gigi





Titel: (Kein Titel)
Verfasst am: Di, 10 Okt 2006, 21:28
Beitrag
Antworten mit Zitat

Sicherheit ist nicht alles!

Hallo pseudocode,

hier mal das Feedback eines Webmasters, dessen Forum dein Bot gerade bespammt hat.

Was du bei deinen Überlegungen vergisst, ist z.B. dass Captchas für unerfahrene Forenuser ein Zugänglichkeitsproblem darstellen. Um das Captcha dieser Seite hier korrekt abzutippen, habe ich als Foren-Profi jetzt schon 2 Versuche gebraucht. Für einen Internetneuling oder gar jemanden der in seiner Optik beeinträchtigt ist, eine nicht zu unterschätzende Hürde.

Selbst das Standard phpBB Captcha, welches um einiges einfacher zu entziffern ist, kommt in meinem Forum aus diesem Grunde bewusst nicht zur Anwendung.

In meinem Falle hast du jetzt sogar ein Forum bespammt, in dem zur Verbesserung der Zugänglichkeit sogar Gäste-Postings möglich sind.

Zitat:
Installiere MODs wie "Admin Reminder" und "Prune Users", um deine Benutzer daran zu erinnern, sich am Forum zu beteiligen und um die Benutzerliste von inaktiven und/oder faulen Benutzern zu bereinigen.

Einfach löschen wegen Nicht-Beteiligung? Ein sehr unhöfliches Verhalten gegenüber seinen Benutzern, was nicht selten für Unmut und zu falschen Interpretationen darüber führt, man sei in dem Forum nicht erwünscht.

Es gibt auch Foren, die der Information dienen und damit zufrieden sind, wenn sie diese an ihre User weitergeben können, ganz gleich ob diese aktiv oder passiv sind. Wozu User zur Beteiligung zwingen, wenn dabei im Zweifelsfall dann nicht qualifizierte Beiträge bei rauskommen?

Fazit: Es geht vielen Webmastern nicht darum, jede Spam-Gefahr durch maximale Sicherheit auszuschließen. Es geht bei vielen darum, ein gesundes Gleichgewicht zwischen einfachst möglicher Zugänglichkeit und minimal notwendigem Spamschutz zu schaffen.

Dieses Forum hier, käme mit diesem schwierigen Captcha als Vorbild für mich nicht in Frage.

Nach oben
Rang:
boris



Beiträge: 9752

Titel: (Kein Titel)
Verfasst am: Di, 10 Okt 2006, 21:43
Beitrag
Antworten mit Zitat

Gigi @ Di, 10 Okt 2006, 22:28 gab folgendes von sich:
Wozu User zur Beteiligung zwingen, wenn dabei im Zweifelsfall dann nicht qualifizierte Beiträge bei rauskommen?

Dazu kann ich als Admin dieses Forums vielleicht was sagen:
Hier ist jeder einzelne Artikel frei verfügbar, jeder kann als Gast alles lesen. Wenn sich also jemand registriert, gehe ich davon aus, daß er etwas schreiben möchte - wenn er das dann nicht macht, benutze ich den erwähnten "Reminder", um die User an die Mitgliedschaft zu erinnern ...

Ausnahmen sind Leute, die z.B. nur Sudoku spielen wollen, aber bei den recht übersichtlichen Benutzerzahlen hier kann ich die dann noch manuell aussparen big grin

Wenn dann jemand konsequent inaktiv bleibt, lösche ich den irgendwann, einfach um den Überblick nicht zu verlieren ... daß es nichts bringt, jemanden dazu "zwingen" zu wollen, etwas zu schreiben, bedarf wohl keiner Diskussion.

Gigi gab folgendes von sich:
Dieses Forum hier, käme mit diesem schwierigen Captcha als Vorbild für mich nicht in Frage.

Hätte pseudocode (noch) ein Forum, könnten wir ihn schön auseinandernehmen, was seine eigenen Einstellungen angeht, ich glaube nicht, daß er mein Forum für seine Veröffentlichung gewählt hat, weil er es als Vorbild hinstellen will (er möge mir bitte widersprechen Cool)

Ich muß das schwierige CAPTCHA hier im Forum leider verteidigen und zwar aus folgendem Grund:
Ich hatte vor etwa zwei Monaten hier im Forum ca. 10 Spam-Registrierungen pro Tag (!!), die Posts, die diese Knalltüten abgesetzt haben, mal garnicht gezählt.
Ich konnte dieser Flut nur Herr werden, indem ich das harte CAPTCHA eingebaut, zusätzlich die Mailbestätigung aktiviert und den CrackerTracker aktualisiert habe.

Und da "verliere" ich lieber mal einen User, der mit dem CAPTCHA nicht klarkommt (ich weiß, es ist hart, ich finde es aber nicht ZU hart), als daß ich täglich eine Stunde mein Forum bereinigen muß.


____________
beehave - home of humbug ... [we can't afford to be neutral]

Nach oben
Private Nachricht senden Website dieses Benutzers besuchen Rang:robot methusalem 3. platz professioneller Sportangler Profi-Winzer (7x Hamm) Arcade-Meister, Rang 16 rainbow-cup
pseudocode





Titel: (Kein Titel)
Verfasst am: Di, 10 Okt 2006, 21:56
Beitrag
Antworten mit Zitat

Gigi @ Di, 10 Okt 2006, 22:28 gab folgendes von sich:
Es geht vielen Webmastern nicht darum, jede Spam-Gefahr durch maximale Sicherheit auszuschließen.

Natürlich geht es nicht nur um Sicherheit, vielleicht bin ich da aber auch einfach ein gebranntes Kind. Ich hatte ein sehr kleines Forum und irgendwann nichts anderes mehr zu tun, als Spammer zu löschen. Nicht nur deswegen ist mir auch die Lust daran vergangen.

Gigi @ Di, 10 Okt 2006, 22:28 gab folgendes von sich:
Was du bei deinen Überlegungen vergisst, ist z.B. dass Captchas für unerfahrene Forenuser ein Zugänglichkeitsproblem darstellen.

Solche hatte ich dann vielleicht einfach nicht Smile

Davon abgesehen war diese ganze Nummer einfach ein "proof of concept" (= "mal sehen, wie einfach das ist"). Ich stelle mich nicht hier hin und sage, dass ich der neue phpBB-Sicherheitspapst bin. Welche Sicherheitseinstellungen die "richtigen" sind, muss jeder für sich selbst entscheiden, ich habe hier nur ein paar Anhaltspunkte gegeben, und zwar insbesondere für Leute zu denen du offensichtlich nicht zählst, nämlich Leute, die sich (bisher) um die Sicherheit ihres Forums keine Gedanken gemacht haben!

Gigi @ Di, 10 Okt 2006, 22:28 gab folgendes von sich:
Einfach löschen wegen Nicht-Beteiligung? Ein sehr unhöfliches Verhalten gegenüber seinen Benutzern

Hier muss ich boris zustimmen, ich habe es damals ähnlich gehandhabt. Es wird niemand daran gehindert, alles zu lesen, nur hätte ich gerne eine aktive community (gehabt) statt 10.000 Dateileichen. Ich hatte irgendwann eine Benutzerliste, die zu 90% aus Schrott bestand und den konnte ich nur noch mit "Prune Users" bereinigen.

boris @ Di, 10 Okt 2006, 22:43 gab folgendes von sich:
ich glaube nicht, daß er mein Forum für seine Veröffentlichung gewählt hat, weil er es als Vorbild hinstellen will (er möge mir bitte widersprechen Cool)

Dem Admin widersprechen? Niemals. Wink

Nach oben
Rang:
Gigi





Titel: (Kein Titel)
Verfasst am: Mi, 11 Okt 2006, 01:07
Beitrag
Antworten mit Zitat

pseudocode @ Di, 10 Okt 2006, 22:56 gab folgendes von sich:
nur hätte ich gerne eine aktive community (gehabt) statt 10.000 Dateileichen. Ich hatte irgendwann eine Benutzerliste, die zu 90% aus Schrott bestand und den konnte ich nur noch mit "Prune Users" bereinigen.

Dazu hast du im obigen Posting selbst die Lösung aufgeführt: Zeroposter

Man kann alle User, die noch keinen Beitrag verfasst haben, von der Anzeige im Forum ausschließen. Und sofern du als Admin nicht direkt in die Datenbank schaust oder dir andere User-Tools fürs ACP installierst, sind deine ganzen Spam- und 0-Poster-Registrierungen unsichtbar und ohne jeglichen Aufwand ignorierbar.

3600 User nehmen gerade mal 880 KB ein. Von Platz schaffen kann also auch keine Rede dabei sein.

pseudocode @ Di, 10 Okt 2006, 22:56 gab folgendes von sich:
ich habe hier nur ein paar Anhaltspunkte gegeben, und zwar insbesondere für Leute zu denen du offensichtlich nicht zählst, nämlich Leute, die sich (bisher) um die Sicherheit ihres Forums keine Gedanken gemacht haben!

Dann wird das mit der Statistik aber nichts, denn die ganzen Admins, die bewusst Sicherheitslücken in Kauf nehmen, zählst du mit zu denen, die die Sicherheit (unüberlegt) vernachlässigen. Der Erfolg vieler großer Foren hängt nämlich je nach Themengebiet und Internet-Erfahrung der Zielgruppe auch von der Zugänglichkeit ab!

Zitat:
Stichproben haben gezeigt, dass es sich dabei nicht nur um kleine Foren handelte, es waren nicht wenige sehr grosse (und aktive) Foren mit Tausenden von Benutzern und Zehntausenden von Beiträgen dabei, einige davon beschäftigen sich sogar mit dem Thema "Sicherheit" ...

Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Mi, 11 Okt 2006, 08:47
Beitrag
Antworten mit Zitat

Ich sage es nochmal: ich habe hier nicht den ultimativen Guide für Foren-"Sicherheit" entworfen, da jeder darunter was anderes versteht. Es handelt sich nur um Empfehlungen (!), die man befolgen kann (!), wenn (!) man sich gegen Spam schützen will.

Mit den Zeropostern hast du vielleicht recht, aber ich hätte gerne selbst in der Admin-Ansicht eine "bereinigte" Liste, daher habe ich die halt gelöscht.

Und was "Statistik" angeht: ich bekomme im Minutentakt Mails, PN und Antworten auf die Posts. 95% der Leute sind dankbar für die Aktion, weil sie sich überhaupt nicht im Klaren darüber waren, wie sie etwas gegen Spam tun können (das war auch der ganze Zweck des Projekts), der Rest schreibt entweder "dont care" oder ähnlich konstruktive Sache wie "KILL". Manche verstehen den Text auch garnicht und sagen mir z.B. dass der "off-topic" ist.
Dass bei einem Rundumschlag durch alle offenen Foren auch Leute getroffen werden, die das gerne genauso hätten wie sie es haben, ist wohl nur logisch und keine weitere Diskussion wert.

Nach oben
Rang:
Hacktor





Titel: (Kein Titel)
Verfasst am: Fr, 13 Okt 2006, 07:18
Beitrag
Antworten mit Zitat

Hey,
vielen Dank für deine Hinweise. Diese Verbesserungen sollten bei jeder phpBB-Installation schon als Standard eingestellt sein, damit es garnicht erst soviele offene Foren (wie meines) gibt!

Und noch ein Tipp für die Leute, die diese Aktion hier nachbauen wollen (ein Bekannter von mir hat sich daran versucht): nehmt nicht Google als Quelle, um Links von Foren rauszukriegen! LOL
Selbst neu einwählen hat nichts gebracht, da werden wohl noch ein paar Leute seines Providers echte Probleme gehabt haben:

Google gab folgendes von sich:
Google Fehler

Es tut uns Leid,


… aber Ihre Abfrage kann momentan nicht verarbeitet werden. Ein Computervirus oder eine Spyware-Anwendung sendet uns automatische Abfragen zu und es scheint, dass Ihr Computer bzw. Ihr Netzwerk infiziert wurde.

Wir werden Ihren Zugriff schnellstmöglich wiederherstellen, also probieren Sie es bald noch einmal. In der Zwischenzeit empfehlen wir Ihnen, anhand eines Virenscanners oder Spyware-Entferners zu überprüfen, dass auf Ihrem Computer kein Virus oder andere Störsoftware vorhanden ist.

Wir entschuldigen uns für eventuell entstandene Unannehmlichkeiten und hoffen, dass Sie bald wieder bei Google vorbeischauen.

CU,
Hacktor

Nach oben
Rang:
Billy Bullcock





Titel: (Kein Titel)
Verfasst am: Fr, 13 Okt 2006, 07:22
Beitrag
Antworten mit Zitat

dass Google automatische Anfragen (gerade im Zusammenhang mit phpbb) blockiert, ist nichts neues:
http://www.heise.de/security/news/meldung/54550

Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Sa, 14 Okt 2006, 09:36
Beitrag
Antworten mit Zitat

Der Artikel war mir auch bekannt, deswegen habe ich von Google direkt die Finger gelassen.

Hier noch ein paar Reaktionen:

forum1 user1 gab folgendes von sich:
Lol... Das ist ja nett... Wink

forum1 user2 gab folgendes von sich:
Kann man wohl sagen. Laughing
So einen Spam hab ich bisher noch nicht gesehen! D)

oder

forum2 user1 gab folgendes von sich:
lol....
wie geil...
und morgen spam ich bei youtube zu, bi****....

oder

forum3 user1 gab folgendes von sich:
@ SPAM: Die Admins sollten sich vielleicht das mal zu Herzen nehmen und das Problem beseitigen, indem Sie durch keine-Ahnung-was-für-Programme/Codes etc. automatischen Spam verhindern. Ich weiß, klingt sehr einfach, kenn mich ja selber net aus Razz
Aber das ewige Löschen bringt auf Dauer gar nix.

forum3 user2 gab folgendes von sich:
ja, das wird immer mehr zum problem. entweder es werden ein paar moderatoren ernannt, die sich ums löschen kümmern, oder es wird - wie auch bei anderen foren üblich - bei der registrierung eine code-eingabe verlangt.

forum3 user 3 gab folgendes von sich:
Ich weiß auch nicht was das Problem dabei ist, so eine Code-Eingabe einzuführen. Der Spam wird echt zuviel, jedes 2. Post fast.



Einige verstehen allerdings auch überhaupt garnicht, worum es geht:

Moderator eines Forums gab folgendes von sich:
Hallo,
Poste das nächste mal bitte in Deutsch.Einige User hier können kein bzw. etwas Englisch.Mußte leider dein Thema wegen dieser Spam's entfernen.Wir dulden keine Spam's,Werbung usw.

oder

Developer eines anderen Forums gab folgendes von sich:
danke für die information, jedoch wäre es nützlich dies auch in deutsch zu bringen und auch nicht ins fun- forum zu setzen.

Das nur nebenbei, es gibt noch haufenweise ein einfaches "Danke" und noch ein paar kreative Köpfe, die mit "fuck you", "kill" oder "dont care" antworten. Auch haben einige "echte" Spambots die Gelegenheit ergriffen, auf den "Projekt SpamBot"-Beitrag zu antworten und ihre Links zu platzieren.

Nach oben
Rang:
Bruise Pristine





Titel: (Kein Titel)
Verfasst am: Sa, 14 Okt 2006, 09:52
Beitrag
Antworten mit Zitat

Developer eines anderen Forums gab folgendes von sich:
danke für die information, jedoch wäre es nützlich dies auch in deutsch zu bringen und auch nicht ins fun- forum zu setzen.

lol!!

der trottel antwortet bestimmt auch immer auf spam-mails:
"entschuldigung, aber ich glaube, sie haben die mail an eine falsche adresse geschickt, ich bin bestimmt nicht der empfänger, den sie erreichen wollten.
ach, und ich möchte sie auch noch darauf hinweisen, dass man 'viagra' nicht 'V1a6rA' buchstabiert, das kann man so auch sehr schlecht lesen.
"

was ein vollidiot!

Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Sa, 14 Okt 2006, 12:06
Beitrag
Antworten mit Zitat

RegisterBot reloaded

Um zu testen, ob der Spambot-Lauf von letzter Woche etwas gebracht hat, habe ich den RegisterBot noch einmal auf die Reise geschickt.

Heimgesucht wurden nur Foren, bei denen im ersten Durchlauf eine automatische Registrierung erfolgreich durchgeführt werden konnte, dieses Mal wurden keine Texte gepostet sondern nur kontrolliert, ob man sich immer noch automatisch registrieren kann.


Hier das Ergebnis:

Es wurden 1317 Registrierungsversuche gestartet, davon waren 1195 erfolgreich (90,7%)! Ein CAPTCHA wurde nur 12x (0,9%) gesichtet, die restlichen Versuche blieben nicht erfolgreich, wobei hier der Grund nicht zwangsläufig sein muss, dass Sicherungsmassnahmen eingeführt wurden, einige Seiten waren schlichtweg nicht erreichbar, bei einigen könnte ein doppelter Benutzername zu einem Fehler geführt haben.

Ich werde den RegisterBot in ein paar Wochen noch einmal auf die 1195 Foren ansetzen, die momentan automatische Registrierungen noch zulassen, um zu testen, was sich bis dahin getan hat.

MfG,
pseudocode

Nach oben
Rang:
Aktentaschenakne





Titel: (Kein Titel)
Verfasst am: Di, 17 Okt 2006, 06:31
Beitrag
Antworten mit Zitat

Hahaaa, Jungs, wie fett seid ihr denn?
Ihr habt ein paar hochgestellte Freunde gewonnen, so wies aussieht:
Das Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg scheint von der Aktion so begeistert zu sein, dass sie den Text garnicht mehr entfernen wollen!!

http://mwk.kivbf.de/forum/viewtopic.php?p=581

In Richtung "eigene Sicherheit" scheinen sie nicht zu forschen Laughing

Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Do, 19 Okt 2006, 18:34
Beitrag
Antworten mit Zitat

Jetzt haben sie diesen Text entdeckt (oder sind aus dem Urlaub zurück) und haben die Nachricht entfernt. Trotzdem kein Aushängeschild für ein Ministerium Smile
Nach oben
Rang:
pseudocode





Titel: (Kein Titel)
Verfasst am: Fr, 20 Okt 2006, 08:55
Beitrag
Antworten mit Zitat

Projekt SpamBot - Second Flush


Dieses Mal wurden nicht bestehende phpBB-Foren abgegrast sondern über Suchmaschinen im Web nach Adressen gesucht.
Dies ist das Ergebnis:

  • CollectBot v2: es wurden fast 200 Suchbegriffe durchforstet und über 220.000 Adressen gespidert

  • es wurden über 55.000 verschiedene URLs, davon 32.210 phpBB-Foren gefunden

  • RegisterBot: 12.169 automatische Registrierungen

  • MailBot: 1.089 Aktivierungen per Mail

  • PostBot: 2.914 Posts wurden automatisch geschrieben

Das sollte als "proof of concept" reichen, das "Projekt SpamBot" ist hiermit beendet. Sobald ich Zeit finde, werde ich an dieser Stelle eine Auswahl der Reaktionen veröffentlichen.

MfG,
pseudocode

Nach oben
Rang:
Hacktor





Titel: (Kein Titel)
Verfasst am: Do, 26 Okt 2006, 11:20
Beitrag
Antworten mit Zitat

Mannomann, die Nummer hat aber eingeschlagen, sucht mal bei MSN nach "Projekt Spambot":
http://search.msn.de/results.aspx?q=%22projekt%20spambot%22

616 Treffer, gestern waren es noch etwas über 400!! Mr. Green

Nach oben
Rang:
Sonic 1991





Titel: (Kein Titel)
Verfasst am: Do, 26 Okt 2006, 21:23
Beitrag
Antworten mit Zitat

Ach So !!

Von da kommen also die 3 User die sich registriert haben aber nie was Posten !!

Könnte das bitte aufhören ? Sagt mir einfach wie ich die löcher Abdichten kann! ich zieh warscheinlich von dieser Adresse: heroloungeboard.forumservice.de auf die Adresse herolounge.funpic.de um könntet ihr mir für beide Boards tipps geben wie ich dieses Endlose registrieren ohne Post beenden kann ?

Danke vielmals

Sonic 1991 Admin der Herolounge und dessen Board Very Happy

Nach oben
Rang:
DayTripper





Titel: (Kein Titel)
Verfasst am: Fr, 27 Okt 2006, 08:30
Beitrag
Antworten mit Zitat

Sonic 1991 gab folgendes von sich:
könntet ihr mir für beide Boards tipps geben

Lies doch einfach den Abschnitt "Abhilfe" im ersten Post hier.....

Nach oben
Rang:
boris



Beiträge: 9752

Titel: (Kein Titel)
Verfasst am: So, 29 Okt 2006, 11:54
Beitrag
Antworten mit Zitat

Hacktor @ Do, 26 Okt 2006, 11:20 gab folgendes von sich:
616 Treffer, gestern waren es noch etwas über 400!! Mr. Green

Ich sach nur:



____________
beehave - home of humbug ... [we can't afford to be neutral]

Nach oben
Private Nachricht senden Website dieses Benutzers besuchen Rang:robot methusalem 3. platz professioneller Sportangler Profi-Winzer (7x Hamm) Arcade-Meister, Rang 16 rainbow-cup
Stubenrein





Titel: (Kein Titel)
Verfasst am: Do, 02 Nov 2006, 11:10
Beitrag
Antworten mit Zitat

Hacktor @ Do, 26 Okt 2006, 11:20 gab folgendes von sich:
616 Treffer, gestern waren es noch etwas über 400!! Mr. Green

Jetzt sind es 757, bei Google 239 (die hatten sich bisher hartnäckig bei nur 5 gehalten).

Nach oben
Rang:
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten.    beeForum Foren-übersicht » globetrottel Seite 1 von 2
Gehe zu Seite 1, 2  Weiter
Gehe zu:  



ähnliche Beiträge
Thema Autor Forum Antworten Verfasst am
Keine neuen Beiträge Algis Budrys - Projekt Luna boris kühnes mittelscharfer 0 Mi, 27 März 2013, 19:10 Letzten Beitrag anzeigen
Keine neuen Beiträge Projekt Faltrad Erdbär alltalk 18 Mo, 15 Sep 2008, 19:03 Letzten Beitrag anzeigen
Keine neuen Beiträge Projekt Community-Bot bot owner globetrottel 5 Mo, 10 Sep 2007, 02:20 Letzten Beitrag anzeigen
Keine neuen Beiträge spambot "penisvergroesserung" Puge Henis bemerkungen zur nacht 6 Di, 28 Aug 2007, 17:53 Letzten Beitrag anzeigen
Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten. Projekt SpamBot 2.0, feat. CAPTCHA-Breaker pseudocode globetrottel 3 Sa, 30 Jun 2007, 20:14 Letzten Beitrag anzeigen


Schreiben: nein. Antworten: nein. Bearbeiten: nein. Löschen: nein. Umfragen: nein.
phpBB © phpBB Group | 3072115 Besucher seit 01.01.2016 (heute: 6655) | impressum