php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Webmaster > Webmaster
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Webmaster Fragen rund um die Homepage. Hier könnt ihr eure Tips und Anregungen an andere Webmaster und Homepagebetreiber weitergeben.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 26-04-2006, 01:19
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
wenn captacha richtig installiert ist kann sich defenitiv KEIN Bot mehr in dein GB eintragen ( außer du hast ne Lücke im GB ).
Mit "definitiv" und "kein" wäre ich in diesem Bereich sehr vorsichtig. Da hab ich in letzter Zeit schon Gegenteiliges gesehen. Das Böse ruht nicht und wird auch immer besser Warum haben wir noch keinen Obi-Wan-Smiley?

Aber, stimmt natürlich: Im Moment gehören Captchas zum Besten, was man machen kann.
Mit Zitat antworten
  #17 (permalink)  
Alt 26-04-2006, 14:57
Dark^Listener
 Newbie
Links : Onlinestatus : Dark^Listener ist offline
Registriert seit: Apr 2006
Beiträge: 12
Dark^Listener ist zur Zeit noch ein unbeschriebenes Blatt
Standard

installiert ist gut, ich habe code in mein gästebuch reinkopiert, aber der ist nartürlich unverschlüsselt. auf der eintrag.php ist das bild und da wird auch generiert.
in meiner gastebuch.php ist die fallunterscheidung und die auswertung der formulars


aber ich glaube halt nicht, das auch das was jetzt noch on ist, von bots kommt, dann müssten doch so sekundeneinträge kommen, bzw sind sehr wahrscheinlich.

aber wie sichert man das ab, das sich die robots nicht mehr ausm quelltext holen können, was sie brauchen??
mfg
Mit Zitat antworten
  #18 (permalink)  
Alt 26-04-2006, 15:12
Daniela
 Registrierter Benutzer
Links : Onlinestatus : Daniela ist offline
Registriert seit: Feb 2006
Beiträge: 326
Daniela ist zur Zeit noch ein unbeschriebenes Blatt
Standard

OffTopic:
hehe oki pekka, getreu dem Motto "sag niemals nie"


Geändert von Daniela (26-04-2006 um 15:14 Uhr)
Mit Zitat antworten
  #19 (permalink)  
Alt 06-05-2006, 14:26
Mitsch
 Newbie
Links : Onlinestatus : Mitsch ist offline
Registriert seit: May 2006
Beiträge: 6
Mitsch ist zur Zeit noch ein unbeschriebenes Blatt
Standard Technische Frage

Weiss jemand das Funktionsprinzip von den Spam-Bots? nach dem Prinzip "know-your-enemy" wäre diese Frage doch interessant...

Wenn ein Bot so funktioniert, indem er die Gästebuchseite mit den Parametern in der URL aufruft, also
http://www.meineseite.de/guestbook.php?title="Buy Viagra"&hpurl="www.viagra.com"
könnte man durch - sagen wir mal - tägliches automatisches umbenennen der Felder auf "title0605" und "hpurl0605" diese Attacken ausbremsen.

Hat jemand von Euch sonst noch Ideen, wie diese Bots funktionieren?

Mitsch
Mit Zitat antworten
  #20 (permalink)  
Alt 06-05-2006, 15:16
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Weiss jemand das Funktionsprinzip von den Spam-Bots? nach dem Prinzip "know-your-enemy" wäre diese Frage doch interessant...
Hmm... Mit Wettrüsten wie Formularfelder umbenennen würde ich mich nicht aufhalten, außer man hat aus technischem Ehrgeiz wirklich Bock darauf. Einfach, weil sich die Spammerei (aus mir unerfindlichen Gründen) finanziell so extrem zu lohnen scheint, daß man sich brillante Programmierer zur Bot-Entwicklung leisten kann. Bremst man also eine Sache aus, gibts am nächsten Tag eine Lösung dazu. Lieber eine einfache, möglichst wasserfeste Lösung, und wenns gar nicht mehr geht, muß man sich halt überlegen, ob man den bespammten Dienst (Kontaktformulare usw.) nicht doch abschaltet.
Mit Zitat antworten
  #21 (permalink)  
Alt 06-05-2006, 16:13
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard Re: Technische Frage

Zitat:
Original geschrieben von Mitsch
Weiss jemand das Funktionsprinzip von den Spam-Bots?
Schon mal in deine Logfiles gesehen?
Mit Zitat antworten
  #22 (permalink)  
Alt 06-05-2006, 16:32
Mitsch
 Newbie
Links : Onlinestatus : Mitsch ist offline
Registriert seit: May 2006
Beiträge: 6
Mitsch ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Also captcha ist für mich keine befriedigende Lösung, ich nöchte den User möglichst nicht in die Spam-Problematik involvieren.

Und als Wettrüsten würde ich das ändern der Formularfeld-Namen nicht bezeichnen, ein
PHP-Code:
<input type="text" name="name<?php echo md5(date("dm"));?>">
erzeugt mir ein gehashtes Datumsfeld. Das selbe kann ich beim Weiterverwenden des Variableninhalts auch machen. Einzige Einschränkung ist natürlich, wenn jemand die Gästebuchseite um 23:59 aufruft, und seinen Eintrag um 00:01 abschickt.

Ad Log: Der eine Spammer macht ein "GET" und dann ein "HEAD", er schaut sich also an, ob sich die Seite geändert hat. Eintrag gab es aber keinen, ich fange alle Einträge ab, welche im Kommentartext eine URL haben, dafür gibt es ein eigenes URL-Feld - könnte also auch ein Mailadressen-Collector sein.
Der erfolgreiche Spammer macht direkt ein POST auf die Eintragen-Seite, also kennt er scheinbar schon die passenden Formularfelder im voraus.

Mitsch
Mit Zitat antworten
  #23 (permalink)  
Alt 07-05-2006, 12:46
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von Mitsch
Einzige Einschränkung ist natürlich, wenn jemand die Gästebuchseite um 23:59 aufruft, und seinen Eintrag um 00:01 abschickt.
Könnte man natürlich auch noch umgehen - in dem man den Timestamp einmal im Klartext übergibt, dann kann man ganz einfach vergleichen, ob seitdem erst eine Zeitspanne X vergangen ist - und noch mal MD5(timestamp + Geheimcode), damit kann man überprüfen, ob daran manipuliert wurde.

Ist dann in etwa Session mit Gültigkeitskontrolle nachgebastelt - lohnt sich aber bei Bots, die sich erst das aktuelle Formular ziehen, und dann ausfüllen, genauso wenig.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #24 (permalink)  
Alt 07-05-2006, 12:50
Mitsch
 Newbie
Links : Onlinestatus : Mitsch ist offline
Registriert seit: May 2006
Beiträge: 6
Mitsch ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von wahsaga
Könnte man natürlich auch noch umgehen - in dem man den Timestamp einmal im Klartext übergibt, dann kann man ganz einfach vergleichen, ob seitdem erst eine Zeitspanne X vergangen ist - und noch mal MD5(timestamp + Geheimcode), damit kann man überprüfen, ob daran manipuliert wurde.
Stimmt, wäre eine zusätzliche Möglichkeit

Zitat:
Ist dann in etwa Session mit Gültigkeitskontrolle nachgebastelt - lohnt sich aber bei Bots, die sich erst das aktuelle Formular ziehen, und dann ausfüllen, genauso wenig.
Und genau _das_ würde mich interessieren: Wie füllen die automatisch aus, wenn sie den Feldnamen nicht kennen? Da muß ja entweder ein 'Human-Bot' davor sitzen, oder ich schreibe ein Makro, mit dem ich Mausklicks simuliere (dafür gibt's einen Fachausdruck, der mir entfallen ist)

lg
Mitsch
Mit Zitat antworten
  #25 (permalink)  
Alt 07-05-2006, 14:27
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von Mitsch

Und genau _das_ würde mich interessieren: Wie füllen die automatisch aus, wenn sie den Feldnamen nicht kennen?
Indem sie mit einer Schleife alle verfügbaren Felder durchgehen und deren Typen auslesen. Das ist recht simpel. Dann wird es Wörterbücher geben mit den häufigsten Feldbezeichnungen für Name, E-Mail und so weiter... Die werden dann verglichen.
Wenn eine Feldbezeichnung unklar ist (also nicht im "Wörterbuch" vorkommt) wird einfach blind drauflos ausgefüllt, das hab ich auch schon beobachtet.
Mit Zitat antworten
  #26 (permalink)  
Alt 16-05-2006, 13:34
Hobbit Stomper
 Newbie
Links : Onlinestatus : Hobbit Stomper ist offline
Registriert seit: Feb 2006
Beiträge: 8
Hobbit Stomper ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wer diese Poker, Viagra Spam Werbungen kennt, weiss dass da nicht nur ein http Link drin steht, sondern meistens 5, 10 oder 20, also hab ich in allen meinen Gästebüchern (Beispiel) eine Abfrage eingebaut, dass wenn das Wort http mehr als 2 oder 3 Mal vorkommt, der Eintrag nicht vorgenommen wird und man auf eine andere Seite gelinkt wird. Seit einem halben Jahr sind alle Gästebücher Poker-Viagra frei, und normale Leute können immer noch posten.

PHP-Code:
$word substr_count($message'http');
if(
$word >= 2)
{
echo
'<META HTTP-EQUIV="refresh" CONTENT="0; URL=http://www.freakproject.com/you_are_an_idiot.html">';

Eine andere Möglichkeit wäre Wörter wie Viagra oder Online Poker zu blocken.

Geändert von Hobbit Stomper (16-05-2006 um 17:07 Uhr)
Mit Zitat antworten
  #27 (permalink)  
Alt 17-05-2006, 00:13
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Wordpress hat mich vor einigen Tagen auf diese Idee gebracht. Allerdings speichert Wordpress (und ich) den Beitrag trotzdem, allerdings als "Spam" gekennzeichnet.

So muss man zwar noch moderieren, hat aber die volle kontrolle.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #28 (permalink)  
Alt 17-05-2006, 11:21
bruno123
 Junior Member
Links : Onlinestatus : bruno123 ist offline
Registriert seit: Mar 2002
Ort: im Tal
Beiträge: 86
bruno123 ist zur Zeit noch ein unbeschriebenes Blatt
Lightbulb Bei mir funztz...

Hi,

wenn das Thema noch aktuell ist, hier meine Idee:

Ich habe in meinem GB eine Prüfung eingebaut, die abcheckt, wie schnell
einer (AI / H) mein Formular ausfüllt. Ich habe es von meiner besseren
Hälfte ausfüllen lassen (Tippt mit prelliarden Anschlägen/min und kann
dabei Fernsehen und sich unterhalten).

Die Zeit habe ich halbiert und kam auf etwa 5 sec. Jetzt checkt mein Script,
ob die Zeit zum ausfüllen 5sec oder länger ist.

Als zweite Hürde habe ich eine checkbox mit einer abstrusen Variablenbezeichnung.


PHP-Code:
<input type="checkbox" name="noiamnospam" value="human" 
title="machen Sie hier einen Haken um zu zeigen, dass Sie kein Spam 
(Muell) eintragen wollen." 
/> 
Das klappt.

Erst war es moderiert, jetzt bin ich aber frohen Mutes, das es auch ohne
geht.

Es waren bis zu 130 Spams/Tag, dann noch einer/Woche, jetzt sind es (mit
beiden Hürden) 0,0 !

Vielleicht bringt es ja dem ein oder anderen etwas.

bis denne.

Bruno
__________________
1402: Für einen Wimpernschlag der Zeit herrschte Gerechtigkeit auf Nord- und Ostsee...
Mit Zitat antworten
  #29 (permalink)  
Alt 17-05-2006, 15:53
Dark^Listener
 Newbie
Links : Onlinestatus : Dark^Listener ist offline
Registriert seit: Apr 2006
Beiträge: 12
Dark^Listener ist zur Zeit noch ein unbeschriebenes Blatt
Standard @bruno

könntest du den script zum zeit checken mal posten
Mit Zitat antworten
  #30 (permalink)  
Alt 17-05-2006, 17:12
Mitsch
 Newbie
Links : Onlinestatus : Mitsch ist offline
Registriert seit: May 2006
Beiträge: 6
Mitsch ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: Bei mir funztz...

Zitat:
Original geschrieben von bruno123
Ich habe in meinem GB eine Prüfung eingebaut, die abcheckt, wie schnell
einer (AI / H) mein Formular ausfüllt. Ich habe es von meiner besseren
Hälfte ausfüllen lassen (Tippt mit prelliarden Anschlägen/min und kann
dabei Fernsehen und sich unterhalten).
Das ist eine coole Idee! Nur wuerde ich zusaetzlich eine obere Schranke einbauen - wenn zwischen dem Laden der Seite und dem Senden des Eintrages mehr als ein Tag liegt, wird es wohl ein Bot sein, welcher die Daten immer wieder neu submitted.

Zitat:
Als zweite Hürde habe ich eine checkbox mit einer abstrusen Variablenbezeichnung.
PHP-Code:
<input type="checkbox" name="noiamnospam" value="human" 
title="machen Sie hier einen Haken um zu zeigen, dass Sie kein Spam 
(Muell) eintragen wollen." 
/> 
Das klappt.
Da bin ich hingegen ueberhaupt kein Freund davon, dass die normalen Benutzer irgendwelche 'Intelligenztests' machen muessen, nur um in mein GB eintragen zu duerfen ...
Das sollte auch benutzertransparent gehen.

Meine Loesung sieht jetzt so aus:
* die Eingabefelder sind nur fuer IP-Adressen sichtbar, welche nicht auf der Blacklist stehen
* Ich habe ein eigenes Eingabefeld fuer URL-Eingaben
* ausserhalb dieses Feldes eingegene URLs werden automatisch als Spam klassifiziert
* Spam-IPs werden automatisch in die Blacklist eingetragen
* Jedes Feld hat einen Namen, welcher mittels
PHP-Code:
<input type="text" name="<?echo "n".md5(date("dM"));?>">
automatisch generiert wird -> die Felder heissen jeden Tag anders
* Falls doch wieder was kommt, werde ich die Zeitidee von Bruno kopieren, die rockt wirklich

Fazit: seit vier Tagen kein Spam-Eintrag mehr, und mittlerweile mehr als 30 IP-Adressen und IP-Adressbereiche in der Blacklist (IP-Adressbereiche deswegen, weil ich teilweise haendisch die Blacklist vervollstaendigt habe, dann schauen Eintraege halt so aus: '81.219.88.' und sperren somit '81.219.88.0/24'). Diese Blacklist lese ich auch von einem anderen GB aus (wobei das Beschreiben durch das andere GB noch nicht moeglich ist)

lg
Mitsch
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 05:26 Uhr.