[HaBo]

Hashishin · 08.06.09, 00:20

Hallo Leute, ist schon ne weile her

Ich habe meine Seite inzwischen fertig, allerdings ein Problem mit dem Gästebuch.
Es wird von Bots geflooded.

Das Gästebuch selber ist eine Textdatei, die einfach über include ausgegeben wird. Beim anlegen eines neuen Eintrags wird dieser gleich über mein php-script formatiert eingefügt. Allerdings ist immer wieder BotMist drin.
Ich habe inzwischen ein Captcha eingefügt, und nicht genug, es so gebastelt, dass man den Code rückwärts eingeben muss. Ich denke nicht, dass es Bot damit rechnet? Trotzdem bringt es nichts.
Die Datei guestbook.dat, in die geschrieben wird, liegt in einem seperaten Verzeichnis. Ich bin nicht der Admin von unserem Server, kann nicht selbst darauf zugreifen, man benötigt spezielle Rechte, chmod 77 oder sowas war es doch, um Dateien zu ändern?

Denkt ihr, die Bots können direkt in die Datei schreiben?
Wie kann ich das unterbinden?
Ich möchte wirklich nicht, dass auf der Page einer christlichen Jugendgruppe pseudopornographische, in Wahrheit jedoch Virenverseuchte Links stehen!
Und wer weiß, was da noch so kommt. Man stelle sich vor, jemand würde ein Link zu KiPo draufhauen. Gute Nacht auch...

Hier der Link:
Sunday Night Fever Website

Bitte um Hilfe
Greetz Hashi

**lightsaver** · 08.06.09, 00:40

Hmmm, hast du in Betracht gezogen, dass es vielleicht kein Bot ist sondern wirklich eine Person?
Ich könnte mir auch http://en.wikipedia.org/wiki/Captcha#Human_solvers vorstellen.

Bei beiden Fällen könnte eine technische Lösung schwierig werden. Wenn du nicht zu viele GB's pro Tag erwartest könntest du ja überlegen, dass jeder Eintrag erst freigeschaltet werden muss. Da du ja sowieso regelmäßig kontrollieren musst, was gepostet wird, dürfte der Aufwand nicht viel größer sein.

Hast du dir auch mal die IPs angesehen, von denen die Einträge kommen? Vielleicht kannst du daraus ja noch Rückschlüsse ziehen, die hier weiterhelfen können

Ansonsten denke ich nicht, dass die Bots direkt die Datei beschreiben können, da die ja zum Einen nicht wissen können, welche das ist, und zum Anderen sollte diese Datei auch in einem nicht erreichbaren Bereich liegen, also außerhalb des Webverzeichnisses. Da du das ja über PHP löst, kannst du ja trotzdem dann in die Datei schreiben.

Anzeige

- Anzeige -

metax. · 08.06.09, 00:45

Hallo,
Akismet runterladen, per PHP einbinden und bei jedem neuen Eintrag auf Spam prüfen.
Akismet filtert nämlich nicht nach so einem Quark wie Captchas, sondern analysiert den Inhalt und filtert alles mit vielen Links und komischen Spam-typischen Textfragmenten erstmal raus.
Falls du nicht irgendeine Lücke in deinem Script hast, die das System umgehen kann, solltest du vor dem Gröbsten erstmal geschützt sein.
Auf einem von mir administrierten Blog hat Akismet schon 102 Spamkommentare gefiltert (bis 16 echten Kommentaren) und bisher eine Trefferquote von 100%.

mfg, metax.

Hashishin · 08.06.09, 01:22

Danke, Akismet klingt in der Tat nicht schlecht!

Mal sehen, welche Variante ich nutze, erscheinen beide sinnvoll!
Dass ich auf die Idee von lightsaver nicht selber gekomme bin...

Ich glaub ich sollte hier auch mal wieder aktiv werden, ist ja eigentlich ein cooles Board und bin ja schon 4 Jahre registiert glaub ich...nur die Sache mit der Zeit und der Gewohnheit...

Vielen Dank erstmal!

Greetz Hashi

**CDW** · 08.06.09, 02:01

Hm, interessant wäre es, wenn Du in Dein Script eine Logfunktion einbauen könntest:
sowas wie "writetologfile: $_POST['captchafield'],$_POST['username'],$_POST['input'] "
(kann man ja vor Akismetprüfung machen

). Daran könnte man vielleicht erkennen, ob die Spamposter tatsächlich das Captcha korrekt eingeben oder eine andere Lücke nutzen. Irgendwie halte ich das nicht für soo warhscheinlich, dass "human solvers" Ressourcen für eine "kleine" Seite gebraucht werden.

AmShaegar · 08.06.09, 23:26

Hallo,

dazu habe ich mal einen Link hier im Forum gepostet. Darin geht es um ein Script, welches nach bestimmten IP-Bereichen und UserAgents Zugriffe auf die Seite sperrt. Wenn man also auf Besucher aus China, Russland usw. verzichten kann und das Script aktuell hält, dann sperrt das einen Großteil der Spammer aus.
http://www.hackerboard.de/thread.php?threadid=39501

Ich habe auch lange Zeit Spamkommentare in einer selbstgeschriebenen Blogsoftware gehabt. Seit ich aber ein "hidden"-Feld mit einem zufälligen Code habe, der auch als Session gespeichert und später abgeglichen wird, habe ich in betreffenden Systemen keine unerwünschten Kommentare mehr. Scheinbar können diese Bots das nicht.
Bei Interesse einfach mal melden. Ist ganz einfach umzusetzen.

MfG AmShaegar

Anzeige

- Anzeige -

08.06.09, 00:20	#1 (permalink)
Hashishin Registriert seit: 07.06.05 Likes: 0	Gästebuch wird geflooded! -.-'' Anzeige Hallo Leute, ist schon ne weile her Ich habe meine Seite inzwischen fertig, allerdings ein Problem mit dem Gästebuch. Es wird von Bots geflooded. Das Gästebuch selber ist eine Textdatei, die einfach über include ausgegeben wird. Beim anlegen eines neuen Eintrags wird dieser gleich über mein php-script formatiert eingefügt. Allerdings ist immer wieder BotMist drin. Ich habe inzwischen ein Captcha eingefügt, und nicht genug, es so gebastelt, dass man den Code rückwärts eingeben muss. Ich denke nicht, dass es Bot damit rechnet? Trotzdem bringt es nichts. Die Datei guestbook.dat, in die geschrieben wird, liegt in einem seperaten Verzeichnis. Ich bin nicht der Admin von unserem Server, kann nicht selbst darauf zugreifen, man benötigt spezielle Rechte, chmod 77 oder sowas war es doch, um Dateien zu ändern? Denkt ihr, die Bots können direkt in die Datei schreiben? Wie kann ich das unterbinden? Ich möchte wirklich nicht, dass auf der Page einer christlichen Jugendgruppe pseudopornographische, in Wahrheit jedoch Virenverseuchte Links stehen! Und wer weiß, was da noch so kommt. Man stelle sich vor, jemand würde ein Link zu KiPo draufhauen. Gute Nacht auch... Hier der Link: Sunday Night Fever Website Bitte um Hilfe Greetz Hashi

08.06.09, 00:45	#3 (permalink)
metax. Registriert seit: 22.01.07 Likes: 10	Hallo, Akismet runterladen, per PHP einbinden und bei jedem neuen Eintrag auf Spam prüfen. Akismet filtert nämlich nicht nach so einem Quark wie Captchas, sondern analysiert den Inhalt und filtert alles mit vielen Links und komischen Spam-typischen Textfragmenten erstmal raus. Falls du nicht irgendeine Lücke in deinem Script hast, die das System umgehen kann, solltest du vor dem Gröbsten erstmal geschützt sein. Auf einem von mir administrierten Blog hat Akismet schon 102 Spamkommentare gefiltert (bis 16 echten Kommentaren) und bisher eine Trefferquote von 100%. mfg, metax. __________________ Wenn keiner zuschaut, teile ich heimlich durch Null! Meine Homepage: Planet Metax \| meine Bilder: DeviantArt \| Twitter

08.06.09, 02:01	#5 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Hm, interessant wäre es, wenn Du in Dein Script eine Logfunktion einbauen könntest: sowas wie "writetologfile: $_POST['captchafield'],$_POST['username'],$_POST['input'] " (kann man ja vor Akismetprüfung machen ). Daran könnte man vielleicht erkennen, ob die Spamposter tatsächlich das Captcha korrekt eingeben oder eine andere Lücke nutzen. Irgendwie halte ich das nicht für soo warhscheinlich, dass "human solvers" Ressourcen für eine "kleine" Seite gebraucht werden. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Gästebuch eintrag wird nicht mehr in die Datenbank geschrieben...	theend	(Web-) Design und webbasierte Sprachen	2	05.03.09 07:23
Gästebuch	Jonny	(Web-) Design und webbasierte Sprachen	1	20.10.05 20:33
mal mir ma was ins gästebuch...	AnTi	(Web-) Design und webbasierte Sprachen	4	04.12.03 15:38
Gästebuch	Itchy	(Web-) Design und webbasierte Sprachen	10	12.11.03 22:10

08.06.09, 00:40	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Hmmm, hast du in Betracht gezogen, dass es vielleicht kein Bot ist sondern wirklich eine Person? Ich könnte mir auch http://en.wikipedia.org/wiki/Captcha#Human_solvers vorstellen. Bei beiden Fällen könnte eine technische Lösung schwierig werden. Wenn du nicht zu viele GB's pro Tag erwartest könntest du ja überlegen, dass jeder Eintrag erst freigeschaltet werden muss. Da du ja sowieso regelmäßig kontrollieren musst, was gepostet wird, dürfte der Aufwand nicht viel größer sein. Hast du dir auch mal die IPs angesehen, von denen die Einträge kommen? Vielleicht kannst du daraus ja noch Rückschlüsse ziehen, die hier weiterhelfen können Ansonsten denke ich nicht, dass die Bots direkt die Datei beschreiben können, da die ja zum Einen nicht wissen können, welche das ist, und zum Anderen sollte diese Datei auch in einem nicht erreichbaren Bereich liegen, also außerhalb des Webverzeichnisses. Da du das ja über PHP löst, kannst du ja trotzdem dann in die Datei schreiben.

08.06.09, 01:22	#4 (permalink)
Hashishin Themenstarter Registriert seit: 07.06.05 Likes: 0	Danke, Akismet klingt in der Tat nicht schlecht! Mal sehen, welche Variante ich nutze, erscheinen beide sinnvoll! Dass ich auf die Idee von lightsaver nicht selber gekomme bin... Ich glaub ich sollte hier auch mal wieder aktiv werden, ist ja eigentlich ein cooles Board und bin ja schon 4 Jahre registiert glaub ich...nur die Sache mit der Zeit und der Gewohnheit... Vielen Dank erstmal! Greetz Hashi

08.06.09, 23:26	#6 (permalink)
AmShaegar Registriert seit: 22.10.07 Likes: 0	Hallo, dazu habe ich mal einen Link hier im Forum gepostet. Darin geht es um ein Script, welches nach bestimmten IP-Bereichen und UserAgents Zugriffe auf die Seite sperrt. Wenn man also auf Besucher aus China, Russland usw. verzichten kann und das Script aktuell hält, dann sperrt das einen Großteil der Spammer aus. http://www.hackerboard.de/thread.php?threadid=39501 Ich habe auch lange Zeit Spamkommentare in einer selbstgeschriebenen Blogsoftware gehabt. Seit ich aber ein "hidden"-Feld mit einem zufälligen Code habe, der auch als Session gespeichert und später abgeglichen wird, habe ich in betreffenden Systemen keine unerwünschten Kommentare mehr. Scheinbar können diese Bots das nicht. Bei Interesse einfach mal melden. Ist ganz einfach umzusetzen. MfG AmShaegar

[HaBo]

Gästebuch wird geflooded! -.-''