Protección SpamBots

[synchrnzr]

A raiz de unos comentarios que quedaban a continuación de un mensaje de Spam por ahí, vamos a ver si podemos aportar algo al tema de los bots spammers que están recientemente dando pol saco. Actualmente, los sistemas de protección del foro son:

- Validación por mail (hay que activar la cuenta a través de un enlace que se envía al mail)
- Código de validación (imagen con numeritos y letras difíciles de reconocer)

Cualquier idea que pueda aportar una protección adicional será bienvenida ;)

sync

[[EX3]]

Pues por aqui el modulo de validacion que te sugeri hace tiempo: PhpBB Security: Free Anti-Spam Check o cualquiera de los que puedas encontrar en los foros de mods del sitio de phpBB.

Por la experiencia que llevamos durante meses en canalvisualbasic.net con un sistema similar nos ha ido de perlas. De tener cerca de 7 visitas diarias de spambots y medio foro lleno de mensajes suyos a pasar a ninguno desde que se instalo y activo dicha autenficiacion.

Salu2...

[synchrnzr]

Ya pasé esa validación, pero no me dió ningún tipo de información sobre como aumentar la protección. Pasaré por los foros de phpBB, a ver si hay algo interesante...

sync

[Vicente]

Hola,

Sync, cuanta gente se da de alta al día/semana más o menos? Un saludo!

Vicente

[fiero]

Yo tenia el mismo problema con los registros de spambots, no sé los que llegarán aquí, pero en mi pequeño foro se registraban hasta 100 a la semana ( www.devalvr.com/forum ). He de decir que la validación por mail y código de validación se lo saltan  :?

Hace un tiempo hice un apaño, la activación de nuevas cuentas por el administrador, pero los usuarios me deben enviar un mail a otra dirección si quieren que los active. Con esto me he evitado todos los spambots, y los spammers-humanos. Pero los intentos de registro seguían y seguían, con los correspondientes emails de activación. Esta semana he hecho un pequeño cambio en la dirección de registro, y he dejado de recibir registros automáticos  :D , no sé lo que durará, pero he hecho esto:

1. Cambiar la dirección de registro de:
profile.php?mode=register
a:
profile.php?mode=register_poneralgoaqui

Esto se hace en el fichero "templates/subSilver/overall_header.tpl, escribe:
<!-- BEGIN switch_user_logged_out -->
&nbsp;<a href="{U_REGISTER}_poneralgoaqui" class="mainmenu">

2. Cambiar el nombre del fichero de registro de usuarios a lo que nosotros queramos:
includes/usercp_register.php
lo llamaremos por ejemplo:
includes/usercp_register_sync.php

3. Cambiar en el fichero profile.php la llamada al fichero de registro de usuarios (cambiar el parámetro del punto 1 y el nombre del fichero del punto 2)

   else if ( $mode == 'editprofile' || $mode == 'register_poneralgoaqui' )
   {
      if ( !$userdata['session_logged_in'] && $mode == 'editprofile' )
      {
         redirect(append_sid("login.$phpEx?redirect=profile.$phpEx&mode=editprofile", true));
      }

      include($phpbb_root_path . 'includes/usercp_register_sync.'.$phpEx);
      exit;
   }

4. Cambiar en el fichero "includes/usercp_register_sync.php" todas las referencias a "register" por "register_poneralgoaqui"

Con esto se han parado totalmente en seco los registros, y como es un apaño casero creo que durará...

un saludo

[Ionicboy]

Es un buen apaño, esta situación me recuerda a los cms ready to hack, que como los tiene todo el mundo con las mismas rutas y mismas variables los revientas con una herramienta tal cual, pero con cambiar alguna ruta, variable o similar ya hay que currarselo minimamente.

En un foro provisional que pusimos hace poco buscamos uno pequeño y no demasiado conocido, para que no fuera muy facil de spammear/hackear, pero claro, es provisional y no necesitamos algo muy sofisticado, en otras ocasiones hay que currarselo un poco más con parches caseros.

[Felipe Busquets]

Hola synchrnzr,

Una solucion que hemos empezado a utilizar en CG-Node y que esta dando buenos resultados es banear aquellos dominios utilizados por los bots.

Por ejemplo, muchas veces teniamos registros con direccin de correo usuario@cashette.de, Baneamos ese dominio desde el panel de control y ya nadie puede registrar desde ese dominio.

Puede parecer una solucion agresiva, pero la realidad es que raramente un usuario utilizara un dominio que un bot utiliza.

Luego existen algunas opciones como hacks, pero las que conozco son para vBulletin (el sistema que utilizamos).

Espero que haya sido de ayuda

Saludos.

[Mars Attacks]

Pero las direcciones se pueden falsear (de hecho, apostaría a que todas las spammerosas lo están), y no sería agradable que a alguno le diera por registrarse con un @ono.com o @hotmail.com, porque tumbaría a la mitad de usuarios "legales"...

¿Habéis probado con un antispam de esos rollo "Test de Turing" que, simplemente, pregunten algo como "de qué color es el cielo:"?

[marcode]

No tengo mucha idea de lo que se puede hacer y lo que no, pero ¿no sería posible impedir cualquier mensaje que cumpla la siguiente condición?.

( mensaje de usuario invitado || primer mensaje de usuario registrado) && Incluye una Url

Tiene alguna pega que otra pero tal vez se podría solventar ampliando las condiciones que se deben cumplir para detectar que es un mensaje de un bot.

[tewe76]

¿Habéis probado con un antispam de esos rollo "Test de Turing" que, simplemente, pregunten algo como "de qué color es el cielo:"?

Leches, qué idea más buena, ¿no?

[Mars Attacks]

El sistema que he puesto tiene un par de pegas:
1) Que hay gente a la que pagan por registrarse y hacer spam (y por lo tanto, supuestamente pasarían la prueba)
2) Que podría dar problemas para registrarse a gente que no domine demasiado el castellano (con el tema del motor de Haddd, hay varios registrados angloparlantes).

El sistema de marcode tendría mejor pinta, si no fuera porque suelen postear de 100 en 100 XD Entonces el primero no podrían, pero todos los demás, sí. Quizá sería algo más apropiado un "mientras sea invitado o se registres, y el mensaje contenga una url, no lo dejes postear". Esto fastidiaría a quien quisiera ponerse una firma con url (si es que las firmas van aparte; si no, podrían poner el spam en la firma y el texto casi vacío, y saltárselo perfectamente).

Pero bueno, todos sabemos que toda protección es salvable (afortunadamente, diría yo).

[fiero]

El sistema que dice Mars es el que se usa en varios mods para phpBB. Suelen ser muy sencillos, del tipo "Are you a human? []Yes []No" . El problema es que hay muchos programadores que se dedican a incluir en sus spambots el código para saltarse esos mods genéricos. Con lo cual, el mejor resultado es modificarse uno mismo los ficheros, por muy sencilla que sea la modificación suele funcionar.

Con la modificación de mi anterior post se me seguían registrando un par de bots al día. Parece ser que hay alguno más inteligente que busca en el fichero de cabecera la url a la que llamar para registrarse (en vez de llamar directamente al fichero con el nombre oficial). He hecho un cambio escribiendo el link de registro con Javascript en vez de HTML y los ultimos dos dias no ha habido ningún registro. Esto es una lucha constante...

Leí el otro dia esto http://mangasverdes.es/2006/12/12/maldito-spam/ y me impresionó como se está poniendo la cosa con los comentarios en los blogs  :shock:

un saludo

[marcode]

El sistema de marcode tendría mejor pinta, si no fuera porque suelen postear de 100 en 100 XD Entonces el primero no podrían, pero todos los demás, sí.

No, pero si el primero no puede mandarlo no contaría como mensaje por lo que el segundo y los cienmil restantes también se consideraría el primero y nunca serían aceptados.

La única forma de saltarsélo sería que pusieran un mensaje sin url y luego otro con la url del spam, y si eso ocurre entonces sabríamos que lo ha hecho un humano y al menos tendríamos a alguien en quien cagarnos en sus muertos.

Lo malo es que se hace la puñeta al que quiera poner una url en su primer mensaje o como invitado, aunque esto tampoco debería quitarnos mucho el sueño, debería lanzar un aviso de que "No puedes poner una url en tu primer mensaje".

Otra cosa que se me ocurre (aunque con el desconocimiento de cómo es el mecanismo general) sería calcular el tiempo que tarda en registrarse y mandar el mensaje, y si es demasiado corto (segundos), significaría que lo ha puesto un programa ¿no?.

Yo creo que hay detalles que delatan que no lo ha puesto un humano sólo hay que buscarlos.

[Mars Attacks]

Yo suelo abrirme todos los temas en pestañas, los leo todos, y luego voy contestando. Quizá haya veces que no tarde ni 30 segundos en poner varios mensajes, y no me gustaría ser tratado como bot. Sobre lo de poner el mensajito de que no pongan url en su primer mensaje... la gente no lee XD Habría que avisárselo con neones y fuegos artificiales, y aún así es posible que alguno se fuera porque el foro "no le deja postear" :) Pero de todo lo sugerido, me parece lo mejor.

[ChamanMan]

Yo creo que un test de turing personalizado sería lo más cómodo.
Por ejemplo, pequeñas imágenes aleatorias que contengan una pregunta obvia para un humano, serían imposible saltarselas por un bot.

A no ser que el programador del bot prepare específicamente el bot para tal fin. Pero si las preguntas son específicas de este foro... raro es que un spamer se entretenga en preparar el bot para este foro específico.

Con los spamers que lo hacen a mano... pues eso es más difícil.

Ejemplos de preguntas obvias serían:

¿Cuanto es tres por dos en decimal?
¿De qué color es el caballo blanco de santiago?
:D