Prévenir les robots anti-spam sur le site?

Question

Nous rencontrons un problème sur l'un de nos sites Web assez volumineux avec des robots de spam. Il semble que les robots créent des comptes d'utilisateur, puis publient des entrées de journal qui mènent à divers liens de spam.

Il semble qu'ils contournent notre captcha d'une façon ou d'une autre - soit il a été fissuré, soit il utilise une autre méthode pour créer des comptes.

Nous cherchons à activer l'activation de la messagerie pour les comptes, mais il nous reste environ une semaine avant de mettre en œuvre de tels changements (en raison d'horaires chargés).

Cependant, je ne pense pas que cela suffise s'ils utilisent un exploit SQL quelque part sur le site et qu'ils font tout le script intersite. Donc, ma question à vous:

Si ils utilisent une sorte d'exploit XSS, comment puis-je le trouver? Je sécurise des déclarations où je peux mais, encore une fois, c'est un site assez grand et il me faudrait un certain temps pour nettoyer activement les instructions SQL pour empêcher XSS. Pouvez-vous recommander quelque chose pour aider notre situation?

Answer 1

1) Comme mentionné ci-dessus reCAPTCHA est un bon début.

2) Askimet est un excellent moyen d'identifier les spams avant qu'ils ne soient publiés. C'est ce que Wordpress utilise pour arrêter le spam et c'est extrêmement efficace. Vous pouvez ensuite rejeter ou mettre en file d'attente l'entrée pour la modération en fonction des résultats. C'est API est ridiculement facile à utiliser, aussi. (J'ai le code PHP si vous en avez besoin). Vous pourriez avoir besoin d'une licence commerciale bien que je suis sûr que vous pouvez commencer à utiliser la version gratuite.

3) La vérification des adresses e-mail est certainement une bonne idée car elle nécessite un compte e-mail valide que de nombreux spammeurs n'ont pas. Assurez-vous simplement que la vérification de l'adresse e-mail est facile car si elle est trop difficile, elle peut également détourner les utilisateurs légitimes.

Answer 2

Si les bots exploitaient un trou dans un script quelque part, il devrait y avoir une preuve de cela dans les journaux. Vérifiez les POST directs pour les scripts de création d'utilisateur et les scripts de création d'écriture de journal sans l'activité de navigation "normale" habituelle avant le hit: Les robots peuvent avoir parcouru le site une seule fois et contournent l'étape de retrait des formulaires les rechercher. Recherchez les requêtes GET avec des données de type XSS évidentes dans les chaînes de requête.

Vous pouvez également incorporer un jeton aléatoire dans un champ caché dans les formulaires et exiger que le jeton soit présent pour l'activation/l'envoi. Si les robots n'analysent vos scripts d'inscription qu'une seule fois et publient des messages directs, cela les arrêtera dans leur parcours jusqu'à ce que les créateurs de bot se fassent remarquer et qu'ils recherchent le jeton. Mais cela vous donnerait un peu de répit pour mettre en place un meilleur système. Si les tables de vos comptes d'utilisateurs n'ont pas d'horodatage de création, placez-en une et demandez au serveur de créer l'horodatage, et non vos scripts utilisateur. De cette façon, vous pouvez affiner la période (s) pour analyser les journaux pour l'activité de bot et voir ce qu'ils font. Et si rien d'autre, vous pourriez bloquer les adresses IP que les robots publient.

Answer 3

Je suis surpris que quelqu'un peut conseiller Akismet et il est accepté comme réponse:

• engagement Akismet est illegal in EU as infringing privacy protection laws;
• Any blacklisting system helps criminals, making internet unusable by legit users;
• Les systèmes qui collectent du spam pour l'analyser sont condamnés à agir de manière rétroactive, toujours en retard par rapport aux techniques de spammeurs avancées et au développement du bot; Pourquoi accumuler et analyser le spam alimenté par des robots au lieu de bloquer les robots collecteurs de spam?