[sgerhards]

Hallo zusammen.

Ich habe für meinen Verein eine HP mit Forum gemacht. Jetzt habe ich das Problem, das am Tag bis zu 3 Nutzer sich anmelden mit dem Hintergrund Werbung für unseriöse Seiten zu machen, oder Dinge zu verkaufen.
Das Forum ist mit phpBB gemacht. Ich habe die Nutzeraktivierung auch schon auf Freischaltung durch Admin gestellt, wodurch jetzt wenigstens keine dummen Posts durch die Nutzer kommen, aber anmelden können sie sich ja noch immer.
Jetzt bin ich am überlegen, ob es sein kann, das das auch Bots sind, die alle Foren scannen und sich vollautomatisch mit irgend einer e-MAil anmelden.
Sollte das so sein, könnte man das ja verhindern indem man etwas einbaut wo man einen Code eingibt, den man zuvor in einer Grafik sieht.(wie zB bei Rapidshare) Wie könnte ich sowas in meinem Forum einbinden?

Danke schonmsal für eure Mühe und Hilfe

[MaDDiN]

Bei Deinem Problem wird es sich zu 100% um Bots handeln.

Ich bin mir jetzt nicht sicher, aber ich glaube, dass phpBB die Sicherheitsgrafiken-Funktion von Haus aus mitbringt. Müsstest mal im Admin-Panel nach der entsprechenden Funktion ausschau halten.

Ansonsten sollten sich im Internet dutzende solcher Mods finden lassen

[sgerhards]

Na Klasse.
Ich habe die Funktion gefunden und auch direkt aktiviert, aber anscheinend hat h0nk da absolut recht und die Bots umgehen dieses Sicherheitsfeature Problemlos.
Was kann ich da jetzt machen?
Es regtmich mittlerweile echt auf, das ich andauernd mindestens 1, meistens 3 Accounts pro Tag löschen muss.

[mibtng]

Wie funktioniert denn die Anmeldung?
Wird bei der Anmeldung eine Bestätigungsadresse an den User (evtl sogar mit dem Passwort) an den User geschickt?

[sgerhards]

Der User meldet sich an(muss auch einen Code eingeben, wie eben beschrieben, der in einer Grafik dargestellt ist) dann bekomme ich(Admin) eine Mail und kann den User aktivieren, was ich aber nie mache, bei den besagten bots, aber die tauchen ja trotzdem noch in der mitgliederliste auf...ich möchte halt generell unterbinden, das es überhaupt soweit kommt, das ich überhaupt solch eine Mail bekomme durch diese Bots, das ich deren Acount freischalten soll, also das sie schon viel eher bei dem Procedere scheitern.

[Gitarremann]

Eine Möglichkeit wäre, die Registrierung ganz rauszunehmen. Kann man die vielleicht deaktivieren? Falls nicht, müßte man das Script ändern. Wenn alle Vereinsmitglieder angemeldet sind, hat doch sowieso keiner weiter dort was zu suchen und wenn einer dazukommt, wird der per Hand in die Userdatenbank eingetragen (Oder die Registrierung wird kurzzeitig wieder aktiviert). Dann müßte doch Ruhe sein.
Ist natürlich von der Mitgliederfluktuation abhängig, wie groß letztendlich der Aufwand ist.

Dieser Beitrag wurde von Gitarremann bearbeitet: 01. Juli 2007 - 21:38

[sgerhards]

@gitarrenmann: Das ist leider schwer möglich, da es sich bei dem Verein um eine Mitgliedszahl im hohen 4stelligen Bereich handelt. Und es kommen ständig neue dazu. Leider weiß ich auch nie wann jemand neu dazu kommt, da ich auch fast 100 Kilometer vom Geschehen im Verein weg bin.

Ausserdem richten wir selber auch Wettkämpfe aus und dort sind auch Leute anderer Vereine zugelassen (besondere Bereiche nur) umKritik zu äußern oder sich zu informieren.

Dieser Beitrag wurde von sgerhards bearbeitet: 01. Juli 2007 - 21:39

[Mr_Maniac]

1. Auch wenn ich phpBB selber nutze, so ist es mittlerweile ernsthaft zu empfehlen, andere Foren zu nutzen (gibt ja genügend: SMF, MyBB etc...)
2. Captchas bringen wenigstens ETWAS mehr bot-resistenz, aber leider nicht viel...
3. Eine recht gute Methode um Bots zu verwirren ist der MOD "ConfusaBot" (einfach im offiziellen phpBB-Forum suchen). Dieser ändert ein paar GET-/Post-Variablen um. Bots nutzen meist die Standard-Variablen des Forums zum registrieren.. Ist jetzt etwas wirr ausgedrückt, aber ich erkläre es mal an einem praktischen Beispiel:
Um sich anzumelden machen Bots bei phpBB-Foren meist folgendes...
1. Erst mal auf die Register-Page gehen:

domain-name.bla/ucp.php?mode=register

Dann muss man den Bestimmungen der Registration zustimmen. Hierfür wird folgende get-Variable angehängt:

&agreed=true

ConfusaBot macht jetzt etwas ganz simples. Es ändert "agreed" und "true" einfach im Quelltext um. Man kann sich sogar selber aussuchen, wie die Variablen heißen sollen. So kann man z.B.

&StimmtErZu=Jawoll

nehmen, was so einige Bots verwirrt. Jedoch kann es auch sein, dass es Bots gibt, die sich dynamisch anpassen... Mir ist sowas jedoch noch nicht vorgekommen...
Jedoch muss ich auch dazu sagen, dass ich nur eine sehr kleine Seite mit einem sehr kleinen (inzwischen inaktiven) phpBB2-Forum betreibe. Jedoch HATTE ich auch das Problem mit SPAM-Bots und bin sie dadurch los geworden...

P.S.: Man kann die Variablen natürlich auch selber im Quelltext ändern, wenn man weiß, wie...

[Gitarremann]

Kannst ja mal gucken, ob HIER was dabei ist. Hab das bei einem Forum gesehen, wo ich noch dabei bin. Die hatten mal schwer mit Hackern zu kämpfen.

[sgerhards]

@Mr. Maniac: Habe gerade mal danach gesehen, was ich aber auf Anhieb gefunden habe war ein Threat der 2005 gestartet ist und super resonanz zeigte und vor einigen Wochen geschlossen wurde, da die Bots auch dieses ohne Probleme umgehen bzw sich sogar anpassen.

Zitat

Right... as I mentioned, I have a MOD that I created that uses an ACP-configurable option for the "agreed" and a session-derived value for the "true". I was still getting 5-6 spammer registrations a day. There are other more effective MODs, both released and in development.

Werde dann mal nach ein paar anderen Mods suchen

[gimpfenlord]

eine andere möglichkeit wäre natürlich die domainendungen zu bannen.
das geht ja bei phpBB.
also schaun was die für eMail adressen benutzen und dann deren endungen blocken.
weil das gleiche prob hatte ich auch und hab dann nacheinandern
*@*.ru
*@*.com
*@*.ws
*@*.net
gebannt und seitdem keine probs mehr

[Mr_Maniac]

Zitat (gimpfenlord: 12.07.2007, 01:38)

eine andere möglichkeit wäre natürlich die domainendungen zu bannen.
das geht ja bei phpBB.
also schaun was die für eMail adressen benutzen und dann deren endungen blocken.
weil das gleiche prob hatte ich auch und hab dann nacheinandern
*@*.ru
*@*.com
*@*.ws
*@*.net
gebannt und seitdem keine probs mehr

Du blockst nicht allen ernstes .com und .net Adressen, oder?
Auch Leute aus Deutschland benutzen z.B. googlemail.com...
Oder definierst du für sowas extra Ausnahme-Regeln?

[Gitarremann]

Zitat (Mr_Maniac: 12.07.2007, 07:21)

Du blockst nicht allen ernstes .com und .net Adressen, oder?
Auch Leute aus Deutschland benutzen z.B. googlemail.com...
Oder definierst du für sowas extra Ausnahme-Regeln?

Noja aber sehr viele Leute haben doch trotzdem auch noch ne Mailadresse, die auf .de endet und es ist ein Forum für Vereinsmitglieder. Ausgeschlossen werden können also nur Vereinsmitglieder mit bestimmter Mailadresse, die zusätzlich keine alternative Mailadresse haben und das macht die Schnittmenge doch überschaubar.

Dieser Beitrag wurde von Gitarremann bearbeitet: 12. Juli 2007 - 06:51