Wie lange braucht man zum Ausfüllen dreier Formularfelder?
1 0 
Patrick Andrieu
0 Patrick Andrieu
Wie lange braucht man zum Ausfüllen dreier Formularfelder?
Hi,
ich bin gerade dabei, mein Gästebuch noch sicherer vor Spsm zu schützen (auch wenn die Quote in den letzten drei Wochen bei 1229:0 liegt:-), ohne dass echte Besucher hierdurch beiträchtigt werden sollen.
Als ein zusätzliches sehr effektives Merkmal hat sich die Zeit zwischen Aufruf und Abschicken des Formulars erwiesen. Bei den meisten Spam-Bots liegt diese Spanne unter 10 Sekunden, was ich momentan auch als Spam-Kriterium verwende. Einige brauchen jedoch etwas länger, so dass ich die Zeit noch ein wenig heraufsetzen möchte. Aber auf wieviele Sekunden, ohne dass Besucher bei einem Kurzeintrag zu Unrecht verdächtigt werden?
Alle Spam-Bots werde ich damit zwar nicht erwischen, da einige doch recht lange brauchen und sehr wenige das Formular auch nur einmal scannen; bei letzteren greift dann allerdings die Maximalzeit zum Ausfüllen von derzeit großzügigen 10 Stunden.
Übrigens: wer sein Formular von diesen üblen Captchas befreien möchte, kann sich gern bei mir melden, denn es geht wirklich auch ohne.
Und wer meinen Spamschutz einmal testen will ohne sich in meinem Gästebuch zu verewigen oder mir Lösch-Orgien aufhalsen zu wollen, gebe bitte als Betreff einfach spamtest ein - dann wird der Betrag nicht gespeichert und stattdessen nur der Spam-Score ausgegeben. Für weniger als 10 Sekunden gibt es hier den Höchstscore von 200 Punkten - ansonsten wird die benötigte Zeit ausgegeben.
freundliche Grüße
Ingo
-
ich bin gerade dabei, mein Gästebuch noch sicherer vor Spsm zu schützen
Spasmen? Wie verläuft der Abwehrkrampf?
Als ein zusätzliches sehr effektives Merkmal hat sich die Zeit zwischen Aufruf und Abschicken des Formulars erwiesen. […] Aber auf wieviele Sekunden, ohne dass Besucher bei einem Kurzeintrag zu Unrecht verdächtigt werden?
Akzeptierst du denn Kurzeinträge alias Kommentarhäufchen? Nach welchen Kriterien unterscheidest du Gästebuch-Spam von .de.vu-Kevin und V1agra-Cerealien-Joe? Ich finde, alles unter einer Minute kann getrost abgelehnt werden.
Übrigens: wer sein Formular von diesen üblen Captchas befreien möchte, kann sich gern bei mir melden, denn es geht wirklich auch ohne.
CKs Anti-Spam-Modul, das auf „interessante Spammer“ basiert funktioniert hervorragend. Es ist meines Erachtens die beste Methode überhaupt, denn es kommt nur äußerst selten etwas durch. Ist es nicht eher so, dass
<label for="name">Tragen Sie Ihren Namen bitte im nächsten Feld ein und lassen diese S P A M - Falle unbedingt LEER:</label>die meisten Spammer identifiziert? Welcher Anteil scheitert denn *nur* an der Mindestzeit? Ein Vergleich wäre interessant.
Roland
-
Hi,
Spasmen? Wie verläuft der Abwehrkrampf?
bisher perfekt, aber ein Vertipper sei mir doch gestattet. ;-)
Akzeptierst du denn Kurzeinträge alias Kommentarhäufchen? Nach welchen Kriterien unterscheidest du Gästebuch-Spam von .de.vu-Kevin und V1agra-Cerealien-Joe? Ich finde, alles unter einer Minute kann getrost abgelehnt werden.
Ich habe meine über CSS versteckten Felder, auf die bisher alle Spam-Bots hereingefallen sind (zwei allerdings nur auf 2 von 3) und eine sorgsam erstellte Badword-Liste, die die wenigen anderen abhält. Dazu noch eine Auswertung der Versuche, über "http://", BB-Code oder HTML direkt Links zu generieren sowie eine Zählung der bei extrem langen Zeilen erforderlichen Umbrüche. Das zusammengenommen hat bisher den bisher festgelegten Minimalscore immer um ein Vielfaches überschritten.
Mein Spitzenreiter war heute erst ein Spam-Bot aus Russland mit einem Score von 973.7 (ab 3 wird schon Spam angenommen). Der setzte sich wie folgt zusammen:
Feld "date" vor weniger als 10 Sekunden generiert: Score = 200
Feld "name" ausgefüllt: Score = 100
Feld "email" ausgefüllt: Score = 100
Feld "homepage" ausgefüllt: Score = 100
Feld "subject" mit "Unknown" ausgefüllt: Score = 2.5
4* Wordwrap: Score = 3.2
Text enthält 4* "ringtone": Score = 4
Text enthält 2* "cell phone": Score = 2
Text enthält 100* "[/url]": Score = 50
Text enthält 10* "-phone": Score = 5
Text enthält 2* "free</a": Score = 1
zzgl. fünf weiterer allgemeineb Merkmale, die ich hier nicht veröffentlichen möchte.CKs Anti-Spam-Modul, das auf „interessante Spammer“ basiert funktioniert hervorragend.
"2. Versuch: Trash-Felder hinzuf�gen, die f�r den Besucher dank CSS nicht sichtbar sind und definiert sein m�ssen, aber keine Inhalte enthalten d�rfen.
Erfolg: 100 Prozent. Die Spammer haben jedes leere Feld gef�llt."
nutze ich doch auch und kann den Erfolg fast bestätigen - "Sich permanent ver�ndernde Formularfeld-Namen" sind allerdings unnötig.
Aber einige wenige Spammer fallen halt nicht drauf rein - daher meine weiteren Maßnahmen.
Interessant finde ich übrigens, dass der Autor auf dieselben Feldnamen 'name', 'email' und homepage' gekommen ist wie ich. ;-) Nur muss das gar nicht so verkomliziert und (für Suchmaschineb) verunschönt mit einer SESSION werden.Ist es nicht eher so, dass
<label for="name">Tragen Sie Ihren Namen bitte im nächsten Feld ein und lassen diese S P A M - Falle unbedingt LEER:</label>die meisten Spammer identifiziert?
Bisher haben alle Spammer dieses Feld ausgefüllt. Einzig das Feld "homepage" blieb von einem Spanmer aus Polen und einem weiteren, der über einen russischen und italienischen Server sendet, unangetastet.
Welcher Anteil scheitert denn *nur* an der Mindestzeit? Ein Vergleich wäre interessant.
Dieses Kriterium habe ich erst vor etwas über zwei Tagen eingeführt aber in dieser Zeit waren es etwa 2/3 - wobei die restlichen meist nur unwesentlich länger brauchten. Wenn ich 20 Sekunden nehmen würde, wären es etwa 6% - die aber alle durch meine übrigen Filter geblockt wurden.
freundliche Grüße
Ingo-
<label for="name">Tragen Sie Ihren Namen bitte im nächsten Feld ein und lassen diese S P A M - Falle unbedingt LEER:</label>Bisher haben alle Spammer dieses Feld ausgefüllt. Einzig das Feld "homepage" blieb von einem Spanmer aus Polen und einem weiteren, der über einen russischen und italienischen Server sendet, unangetastet.
Danke für die Info. Ich würde die Feldfallen allerdings an das Ende des Formulars verfrachten und das gesperrte „S P A M“ halte ich hinsichtlich Barrierefreiheit für verbesserungswürdig.
Welcher Anteil scheitert denn *nur* an der Mindestzeit? Ein Vergleich wäre interessant.
Dieses Kriterium habe ich erst vor etwas über zwei Tagen eingeführt aber in dieser Zeit waren es etwa 2/3 - wobei die restlichen meist nur unwesentlich länger brauchten. Wenn ich 20 Sekunden nehmen würde, wären es etwa 6% - die aber alle durch meine übrigen Filter geblockt wurden.Interessant. In unserem Weblog war der hartnäckigste Spammer jener, dessen Linkversuche selbst bei Durchkommen schon aufgrund von „href=ttp“ gescheitert wären. Dummer Bot.
Roland
-
Hi,
Danke für die Info. Ich würde die Feldfallen allerdings an das Ende des Formulars verfrachten und das gesperrte „S P A M“ halte ich hinsichtlich Barrierefreiheit für verbesserungswürdig.
das gesperrte werde ich ändern, danke für den Hinweis.
Die Position der Fallen habe ich aber bewusst so gewählt, dass sich eine schlüssige Reihenfolge ergibt, die keinen Grund für Argwohn aufkommen lässt. Außerdem missachten einige Spammer manchmal zu weit abgesetzte Felder bzw. bevorzugen Felder an mittlerer Position.freundliche Grüße
Ingo
-
-
-
-
Hallo Ingo!
Freut mich zu sehen, dass Du wieder mitmischst!
ich bin gerade dabei, mein Gästebuch noch sicherer vor Spsm zu schützen (auch wenn die Quote in den letzten drei Wochen bei 1229:0 liegt:-), ohne dass echte Besucher hierdurch beiträchtigt werden sollen.
Seit der Umstellung des SELFHTML-Gästebuchs auf "unmöglich" (die wir beide im Vorfeld schon mal diskutiert hatten), hat sich der (automatisierte) Spam ebenfalls auf 0 hinzubewegt. Das hat sicherlich zum Einen mit der URI-Änderung zu tun, da ich auf eine Weiterleitung verzichtet habe und das alte Script advguest.cgi lediglich eine Seite mit weiterführenden Links liefert.
Der zweite Grund ist meine kategorische Ablehnung der Eingabe von Web-Adressen im Textfeld. Für die Eingabe einer Webseite ist im SELFHTML-Gästebuch, das eigentlich nicht dazu da ist, auf weitere Webseiten hinzuweisen, ein entsprechendes Feld vorhanden. Nach "http://" und "www" zu prüfen erschien mir sinnlos, da "manuelle" Spammer dann die Adresse ohne diese Zeichenketten doch noch eingeben.
Es gibt nämlich eine Art von Spammern, die gerne zu MLM-Seiten oder zu diesen ach so lukrativen Möglichkeiten, durch E-Mail-Lesen 25 EUR pro E-Mail zu verdienen, verlinken - und die tragen ihren Spam (vom Stil: Schöne Webseite, hat mir sehr gefallen) händisch ein. In meinen Gästebüchern geben sie dann die URL im entsprechenden Feld ein, eine Eingabe oder Wiederholung derselben im Text (was die aber immer versuchen, sehe ich an den Flagdateien, die das GB dann erzeugt) würde zu einer Ablehnung führen.
Bis vor wenigen Wochen hatte ich regelmäßig, an einigen Tagen bis zu 3 solcher Spam-Einträge. Da sie aber ihre Opfer-Gästebücher über Suchmaschinen finden, und zwar mit immer demselben Suchbegriff, der ihnen vermutlich empfohlen wird, leite ich sie jetzt auf diese Seite um und lache mich jedesmal ins Fäustchen, wenn ich in den Logs sehe, dass wieder einer drauf reingefallen ist ;)
Zum Thema Felder, die von Spambots ausgefüllt werden, ist mir aufgefallen, dass einige Spambots nur ihnen bekannte Felder berücksichtigen. Die achten dabei nicht nur auf den name-Attribut in den input-Feldern, sondern auch auf den Text in deren Umgebung:
------------------------
Name:
<input name="name" ...>
------------------------
^würde von den Bots ausgefüllt werden------------------------
Name:
<input name="kokolores" ...>
------------------------
^würde von den Bots ausgefüllt werden------------------------
Kokolores:
<input name="asdfhjkl" ...>
------------------------
^würde nicht ausgefüllt werdenViele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hi Patrick,
Es gibt nämlich eine Art von Spammern, die gerne zu MLM-Seiten oder zu diesen ach so lukrativen Möglichkeiten, durch E-Mail-Lesen 25 EUR pro E-Mail zu verdienen, verlinken - und die tragen ihren Spam (vom Stil: Schöne Webseite, hat mir sehr gefallen) händisch ein.
die habe ich bei mir bisher noch nicht. Wenn die mein Gästebuch finden sollten, werde ich wohl meine Wortfilter ergänzen müssen. Da sind mir die Bots wirklich lieber - bis auf wenige Ausnahmen können sie allein an den immer gleichen Versuchen von Verlinkungen erkannt werden, ohne dass man noch bestimmte Badwords hinzu nehmen müsste.
Bis vor wenigen Wochen hatte ich regelmäßig, an einigen Tagen bis zu 3 solcher Spam-Einträge. Da sie aber ihre Opfer-Gästebücher über Suchmaschinen finden, und zwar mit immer demselben Suchbegriff, der ihnen vermutlich empfohlen wird, leite ich sie jetzt auf diese Seite um und lache mich jedesmal ins Fäustchen, wenn ich in den Logs sehe, dass wieder einer drauf reingefallen ist ;)
Nett. Aber sag doch mal den Suchbegriff.
Zum Thema Felder, die von Spambots ausgefüllt werden, ist mir aufgefallen, dass einige Spambots nur ihnen bekannte Felder berücksichtigen. Die achten dabei nicht nur auf den name-Attribut in den input-Feldern, sondern auch auf den Text in deren Umgebung:
das ist mir auch aufgefallen, weshalb ich es ihnen auch besonders leicht mache, meine Fallen zu finden. Dabei fällt mir gerade ein, dass ich das echte Pflichtfeld "subject" vielleicht doch umtaufen sollte. Die Frage ist nur, ob sie auch "Betreff" in ihrem Wörterbuch haben...
freundliche Grüße
Ingo-
Hallo Ingo.
Bis vor wenigen Wochen hatte ich regelmäßig, an einigen Tagen bis zu 3 solcher Spam-Einträge. Da sie aber ihre Opfer-Gästebücher über Suchmaschinen finden, und zwar mit immer demselben Suchbegriff, der ihnen vermutlich empfohlen wird, leite ich sie jetzt auf diese Seite um und lache mich jedesmal ins Fäustchen, wenn ich in den Logs sehe, dass wieder einer drauf reingefallen ist ;)
Nett. Aber sag doch mal den Suchbegriff.Öhm:
[…] dass Sie in Google nach »Gästebuch URL eintragen« suchen […]
Einen schönen Donnerstag noch.
Gruß, Mathias
--
ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
debian/rules-
Hi,
Öhm:
[…] dass Sie in Google nach »Gästebuch URL eintragen« suchen […]
wo hast Du denn dieses Zitat her?
freundliche Grüße
Ingo-
Hallo Ingo.
Öhm:
[…] dass Sie in Google nach »Gästebuch URL eintragen« suchen […]
wo hast Du denn dieses Zitat her?
Von Patricks Seite.
Einen schönen Donnerstag noch.
Gruß, Mathias
--
ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
debian/rules-
Hallo Mathias und Ingo!
Von Patricks Seite.
Genau, im Absatz unter dem Bild.
Die Umleitung erfolgt über eine Rewrite Rule, eigentlich ganz simpel und ohne Wirkung bei denjenigen, die den Referrer nicht übermitteln :)
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?
-
-
-
-
-
-
Hallo Ingo!
Unabhängig von Deiner Frage wollte ich den Thread dazu benutzen, Dich auf folgende Spam-Attacken, die mittlerweile aufgehört haben, aufmerksam zu machen.
P.S.: Der Thread war eine weile nicht aufrufbar, sonst hätte ich ihn früher verlinkt.
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hi,
Dich auf folgende Spam-Attacken, die mittlerweile aufgehört haben, aufmerksam zu machen.
der ist mir bisher noch nicht untergekommen. Der Spammer kommt aus China und scheint Probleme mit der Generierung seiner Spams zu haben. Dass er als Referrer eine vorher besuchte Seite einträgt, ist doch auch nicht ungewöhnlich, zumal wenn er die 301 nicht berücksichtigt.
freundliche Grüße
Ingo
-