Защита сайта от автоматических регистраций программами спамеров.

[DJ-X]

Принцип работы такой - если робот не загружает все картинки с нашего сайта значит он не получит
Cookies которое поставит картинка или javascript , а значит и не сможет зарегистрироваться и войти на сайт.


Пример картинки которая отправляет Cookies.

1: Картинка STOP контроль отправляет Cookies в ваш браузер.
Её нужно поставить на вашем сайте на страницу входа и регистрации или на все страницы сайта на пример снизу.
PHP файл png.php картинка и .htaccess должны быть в одной папке.
Это пишим в .htaccess для того что бы было правильное расширение у картинки png.php - filename.png

Код Выделить Развернуть

RewriteEngine On
RewriteRule filename\.png png.php [NC]

png.php

Код Выделить Развернуть

<?php
// Здесь пишем имя того файла который будем показывать.
$file = ("Stop_Control.png");
// Просмотр http-заголовков bertal.ru
// Удаляем X-Powered-By: PHP/5.3.8 для того что бы запутать роботов - работает только в PHP 5.3 и старше.
//header_remove("x-powered-by");
// Если у вас PHP/5.2 - прячем версию PHP X-Powered-By: PHP/5.2 - будет видно только X-Powered-By: и то что мы напишим.
header('x-powered-by: DJ-X');
// Отключаем кеширование в браузере.
header('Pragma: no-cache');
// Время создания файла
header('Last-Modified:Thu, 01 Jan 2012 01:01:15 GMT');
// Уберите эти две чёрточки // перед тем типом файла который будете использовать
// Тип файла для картинки .png
header('Content-type: image/png');
// Тип файла для картинки .jpg
//header('Content-type: image/jpeg');
// Тип файла для картинки .gif
//header("Content-type:  image/gif");
// Тип файла для javascript .js
//header('Content-type: application/x-javascript');
// Единица измерения
header('Accept-Ranges: bytes');
// Размер файла
header ("Content-Length: ".filesize($file));
// Устанавливаем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда ставим его.
    SetCookie("Stop_Control","1", $path,"/" );
    }
// Показываем картинку Stop_Control.png
readfile($file);
?>


2: Проверяем есть ли Cookies Stop_Control=1 при отправке POST запроса.
Этот <?php код в начале и этот ?> код в конце вставлены для красоты и их можно удалить.
Для форума SMF нужно в index.php в самом верху вставить этот код:

Код Выделить Развернуть


<?php
// Это нужно для проверки при входе - не обязательно.
   if (strstr($_SERVER['REQUEST_URI'], '=login2'))
   {
// Проверяем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
// Это нужно для проверки при регистрации.
   if (strstr($_SERVER['REQUEST_URI'], '=register2'))
   {
// Устанавливаем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
?>


В файле agreement.txt пишем:
Для успешной регистрации в вашем браузере должны быть включены картинки и javascript.
После того как всё включите обновите страницу.
Добро пожаловать!

Сделано компанией - Чикон Продакшнс DJ-X™ ® ©

[chilly86]

т.е. если юзер, который на 3G, отключил картинки в браузере для экономии не сможет зарегиться?

[DJ-X]

т.е. если юзер, который на 3G, отключил картинки в браузере для экономии не сможет зарегиться?

Если все картинки отключить то и CAPTCHA

он тоже не увидит и зарегистрироваться по любому не сможет.

Можно картинку поставить и javascript - что то точно будет в браузере включено.
Роботы открывают только php файлы и одну картинку CAPTCHA - все остальные файлы - картинки и javascript они не загружают.

[chilly86]

тогда было бы не плохо на странице регистрации предупредить потенциальных юзеров о том, что для успешной регистрации у них должны быть включены куки и картинки

[GeorG]

Если пользователь отключает картинки (заметьте, по-умолчанию они включены), то он уже готов к тому, что с капчей у него проблемы, ибо он не первый раз уже сидит за компьютером. Я например картинки тоже отключал, когда был слабый интернет, но я был готов к возможным проблемам, и при регистрации например, включал их обратно.

[Xansen]

Идея интересна, только, к сожалению, как и многие методы борьбы со спамом носит временный характер, вызывающий всего лишь адаптацию спам-софта к чтению всех картинок...

[DJ-X]

Пусть сначала адаптируют, а потом что нибудь ещё придумаем.
Точнее уже придумал - но не будем опережать события.
У меня полно новых идей!

Создатели хрумеров не будут ничего менять в своих программах пока этот способ проверки не станет массовым!
А это случится ещё не скоро.

[MasterTaganrog]

У меня форум интегрирован в Joomla. Регистрация происходит на сайте через alpharegistration с капчей. Как мне лучше защититься от спамеров, а то я уже забодался удалять по 10 штук в неделю, проверяя их на StopForumSpam.

[DJ-X]

AlphaRegistration - там такой POST URL ?

Код Выделить Развернуть

/index.php/sign-up.html?name=2&username=2&email=2&email2=2&birthdate=2&gender=1&password=2&password2=2

Вставь этот код в index.php - это универсальный код, он должен подойти ко всем страницам регистрации.
Мне нужно знать URL !

Код Выделить Развернуть

<?php
// Это нужно для проверки при регистрации - обязательно.
   if (strstr($_SERVER['REQUEST_URI'], 'sign-up.html'))
   {
// Это сработает если в POST запросе будет email.
    if (isset($_POST['email']))
   {
// Проверяем Cookies в браузере пользователя
if (strstr($_SERVER['HTTP_COOKIE'], 'Stop_Control=1'))
   {
// Если Cookies Stop_Control=1 уже есть тогда ничего не делаем.
   }
   else
   {
// Если Cookies Stop_Control=1 нет тогда перенаправляем робота на страницу с предупреждением
// и с инструкциями что нужно сделать чтобы зарегистрироваться и войти .
   header("location: /warning.php");
// Останавливаемся
   exit();
    }   
    }
   else
   {
    }
    }
?>

Тестовый форум с картинкой в IPv6 туннеле - иногда работает!
_http://smf2.dj-x.info

[DJ-X]

Для будущих продвинутых роботов которые будут загружать все картинки я рекомендую кодировать HTML код с картинкой в javascript.
Ищите в поисковике Кодировщик html.
Пример

Код Выделить Развернуть

<img src="/foto/png.png">

<script type="text/javascript">document.write('\u003c\u0069\u006d\u0067\u0020\u0073\u0072\u0063\u003d\u0022\u002f\u0066\u006f\u0074\u006f\u002f\u0070\u006e\u0067\u002e\u0070\u006e\u0067\u0022\u003e');</script>

[greenlea]

Подскажите, пожалуйста, в .htaccess как правильно вписывать, до тегов, внутри или после?

[DJ-X]

Файл .htaccess должен быть с таким содержанием.

RewriteEngine On
RewriteRule filename\.png png.php [NC]

PHP файл png.php теперь будет называться filename.png

Качайте архив кому не понятно как собрать картинку.

[greenlea]

Не понял. Php файл с расширением png? Или это название файла картинки?

[DJ-X]

Если у вас на сервере не работает файл .htaccess на пример на IIS или на бесплатном хостинге  тогда можно переименовать папку stop_control в stop_control.png
и внутри этой папки должен быть не png.php, а index.php
И получится вот такая ссылка на нашу картинку _http://www.___mysite.ru/stop_control.png

[greenlea]

Спасибо! Все понятно.

[DJ-X]

Обновлено 13.02.2012
Добавьте в самом верху кода эту строку и в php-errors.log не будут записываться ошибки!

error_reporting(NULL);

[DJ-X]

Очень полезное дополнение для серверов IIS 7-8!
Лимит POST запросов до 79 байт без COOKIES - Stop_Control=1
На сервере должен быть установлен URL Rewrite Module 2.0!

Спасибо за помощь - Forums IIS 7 & IIS 8.

Вставляем код между тегами
<rewrite>
</rewrite>
В файле web.config в корне сайта.

Код Выделить Развернуть


<rule name="POST big Blocked" stopProcessing="true">
 <match url=".*" negate="false" />
 <conditions>
                       <add input="{HTTP_COOKIE}" pattern=".*Stop_Control=1" negate="true" />
                       <add input="{REQUEST_METHOD}" pattern="^POST$" />
                       <add input="{HTTP_CONTENT_LENGTH}" matchType="Pattern" pattern="^[0-9]$|^[0-7][0-9]$|^79$" ignoreCase="true" negate="true" />
 </conditions>
 <action type="AbortRequest" />
</rule>


[trora]

утверждают что хрум 7 обходит и рекапчу и защиту смф
Преимущества X7 vs X5:

....... 5, распознавание капчи ReCaptcha, MyBB, VBulletin 3, DLE, SMF
НЕТ
....... 7, распознавание капчи ReCaptcha, MyBB, VBulletin 3, DLE, SMF
ДА

....... 5, количество известных графических капчей
~60
....... 7, количество известных графических капчей
более 130 (!)

....... 5, количество известных текстовых капчей
~2.000
....... 7, количество известных текстовых капчей
более 41.000 (!)
(Для справки - текстовые капчи это защиты в виде логических вопросов, типа "Какой сейчас год?", "Сколько будет 2+2?", и т.д. и т.п.)
1. Колоссальная разница в "пробиваемости" ресурсов

Только ....... 7.0 Elite (и более поздние версии) способен обходить современные виды защит в процессе рассылки, и Вы это сможете наблюдать уже через 1 минуту после старта программы.
7.0 на автомате регистрирует аккаунты и на mail.ru, и на gmail.com - под рассылку (для последующей активации).
SocPlugin - это бесплатное приложение к лицензионному .......-у, предназначенное для рассылки по ВКонтакте и Одноклассникам (при этом обходятся защиты в виде капчи на автомате).



получается что неэфективна рекапча ?

[DJ-X]

Получается что да!
База MD5 всех капч тоже должна где то быть!
Символы на картинках вообще не эффективны - сервисы автоматического распознавания всё распознают на ура!
Ни с первого раза, а с 10 точно.
Только люди глаза ломают и кроют матом сайты на которых не понятные изображения на картинке.
Или если спрашивают какие то заумные вопросы ответы на которые современные продвинутые роботы тоже знают.

Но есть у этих на первый взгляд очень крутых роботов и большие минусы!
На пример:

Робот заходит на сайт и видит что это SMF значит
Страница для входа и регистрации находится здесь
index.php?action=login
index.php?action=register
и POST запросы нужно отправлять на
index.php?action=login2
index.php?action=register2

Даже если её спрятать вообще!

А что нам мешает сделать другие URL для входа и регистрации и закодировать ссылки на них в джава скрипт ?
Оставив стандартные страницы для входа и регистрации закоментированными <!--  -->
специально для роботов - пусть там себе играются
Роботы ищут формы - так дадим им то что они ищут (подделку)!

Было бы классно если бы URL для входа и регистрации для каждого пользователя были бы уникальными
с привязкой к IP и HTTP_USER_AGENT .
Один видит эту
index.php?action=4iuderu48
а другой эту
index.php?action=ueuvhe74gt
и т.д.

Всё как то не продуманно и слишком предсказуемо в сегодняшних сайтах!
А ведь могло бы быть всё на много сложнее для роботов - но не для людей.
А пока всё на оборот.

[emsmf]

Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

[DJ-X]

Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

Хрумеры рулят - поэтому и не спасают проверочные вопросы.
Хрумер это очень сложная программа для регистраций практически на всех стандартных сайтах.
Что бы спастись от этой напасти цепляют OpenID, В контакте, Facebook и другие.
OpenID — это открытая децентрализованная система, которая позволяет пользователю использовать единую учётную запись для аутентификации на множестве не связанных друг с другом сайтов, порталов, блогов и форумов.

Кстати - с моей картинкой они до сих пор не справились - всё гениальное просто!
Ни каких проверочных вопросов и формул - можно оставить самую простую капчу.
Так что юзаем и радуемся!

[maestrosite.ru]

Почему не спасают от автоматических регистраций проверочные вопросы и для чего они тогда нужны?
Что означает функция: Разрешить пользователям использовать OpenID для регистрации?

Вопросы не спасают если ставите простые вопросы и очевидные ответы, и не меняете их. OpenID можно не только для регистрации использовать но и для входа. То есть пользователю не придётся знать логин+пароль к форуму. Например, если у вас есть ящик на яндексе - у вас есть этот openID. Также и с майлру, и прочими.

[emsmf]

OpenID можно не только для регистрации использовать но и для входа. То есть пользователю не придётся знать логин+пароль к форуму.

То есть, если пользователь даже не зарегистрирован на форуме, он может зайти по OpenID?
А какой он будет иметь тогда логин? Как на Mail.ru или Yandex? А если человек будет заходить с разных социальных сетей, его можно будет отследить и будут группироваться его сообщения?

[maestrosite.ru]

Если пользователь не зарегистрирован, то он сможет зарегистрироваться по openid. А также переключиться на openid, если уже зарегистрирован по логин+пароль.
При регистрации, openid-сервер скажет вашему форуму email, псевдоним и другую информацию пользователя. Но только ту, которую пользователь разрешил передавать.

[emsmf]

Избавилась от автоматических регистраций, отключив капчу (не защищает), создав очень сложный проверочный вопрос для регистрации и забанив множество уже зарегистрированных ранее злоумышленников вручную по IP, e-mail, имени через админку и файл htaccess (по IP).

[stundr]

Вопрос вида:

скопируйте этот беспорядочный набор символов без первого и последнего символа: J<HBKJHF_E^5$%*JN%4

спасает от спама на 100% 

[2009bes]

Лучше потратить пару минут и прописать пару демо вопросов и ответов  на них, которые пользователь должен ввести.

[Vanok]

C определенного момента контрольные вопросы спасать перестают. Уж не знаю, дырка ли это в системе безопасности и устранена ли она в более поздних версиях форма или нет, но есть такой факт: в том случае, если сайт обкладывают какие-нибудь китайские боты, то контрольные вопросы они быстро обходят. А даже если не обходят, то набор вопросов статичен и при желании (если форум стоит таких действий), можно просто составить список вопросов и скормить ответы боту, дабы он их попросту подбирал.

Для себя я вопрос решил с помощью Avatar Verification. На мой взгляд, это самое эффективное и изящное решение с защитой от регистрации ботов, т.к. сами "китайцы" алгоритмов для ее обхода не знают (по крайней мере пока что), а для пользователей она гораздо более удобна и проста, в отличие от хитрых капч, которые боты распознавать умеют, а люди нет.

[2009bes]

Для себя я вопрос решил с помощью Avatar Verification. На мой взгляд, это самое эффективное и изящное решение с защитой от регистрации ботов, т.к. сами "китайцы" алгоритмов для ее обхода не знают (по крайней мере пока что), а для пользователей она гораздо более удобна и проста, в отличие от хитрых капч, которые боты распознавать умеют, а люди нет.

После проблемы с отправкой емейл зарегистрированным пользователям принято решение вручную проводить одобрение профиля.Тем самым свожу к минимуму спам.

[Vanok]

Для форума с 5 новыми пользователями в день можно и так. А если их 50? А если постинг на форуме порой требует срочности в виду специфики его тематики и ожидание пока администратор одобрит заявки является нежелательным? Автоматика для того и делается, чтобы упростить жизнь человеку. На мой взгляд, решение принятое Вами вызвано скорее безысходностью, хотя на самом деле спам побороть реально и без таких мер.

[2009bes]

хотя на самом деле спам побороть реально и без таких мер.

Согласен. Но я и так по 10ч в онлайне.Можно и 200 одобрить, но теперь видно кто,с какого емейла и зачем

[Serifa]

C определенного момента контрольные вопросы спасать перестают. Уж не знаю, дырка ли это в системе безопасности и устранена ли она в более поздних версиях форма или нет, но есть такой факт: в том случае, если сайт обкладывают какие-нибудь китайские боты, то контрольные вопросы они быстро обходят. А даже если не обходят, то набор вопросов статичен и при желании (если форум стоит таких действий), можно просто составить список вопросов и скормить ответы боту, дабы он их попросту подбирал.

Ну не знаю... У меня форум полумёртвый, но не первый год в сети, и атакуют меня частенько. Недавно хостер помогал отбиваться, иначе никак.

Но факт: после установки вопросов боты тыкаются, но пройти не могут. Через месяц вопрос раскалывают, и я его меняю. Например, недавно висело издевательское "Где можно найти админа?" (Подсказка: twitter). После чего мне один посетитель написал, что полдня искал меня в твиттере, и как же попасть на форум. Заменила слово "подсказка" на слово "скопируйте". Все равно пока тихо

[2009bes]

. Заменила слово "подсказка" на слово "скопируйте".

Один из вариантов.


Можно также скомбинировать вопросы: "2+4 и мынус 2 умножить на 7 "   но нивкоем случае"  2+4-2х7

[Serifa]

Зачем так издеваться над пользователями? Многие, увидев такие вот примеры, забьют вообще на регистрацию Я бы точно забила.

Поэтому я всегда пишу в самом вопросе подсказку для самых торопливых. И даже с подсказкой - ведь ее еще надо прочитать - боты какое-то время думают, прежде чем прорваться в премодерацию.

[sgtWhite]

Я сделал так и забыл о проблеме ))

[GeorG]

Я сделал так и забыл о проблеме ))

Помню один молодец, при вопросе показать "столицу Родины России", минут десять её на карте искал

[remingtone]

хз, зачем такие сложности. у меня каптча отключена, один вопрос всего стоит и подтверждения регистрации нету при 1000-1500 посетителей в день ни один робот не зарегился года за 3. очень редко живые спамеры заходят по одному - сразу мордой у пол и на виселицу

[sgtWhite]

GeorG, ну вы-то, смею надеяться, смогли бы ответить? 

[GeorG]

Не исключено... ^^

[Serifa]

хз, зачем такие сложности. у меня каптча отключена, один вопрос всего стоит и подтверждения регистрации нету при 1000-1500 посетителей в день ни один робот не зарегился года за 3. очень редко живые спамеры заходят по одному - сразу мордой у пол и на виселицу

Дык, у меня разрешено постить без регистрации, вот они и стараются. Если прорвутся толпой - в премодерации бардак. Хорошо, что только в одном разделе.

[remingtone]

и у меня. отвечай на простой вопрос - и пиши. без премодерации

[2009bes]

и пиши. без премодерации

во всех разделах

[remingtone]

именно. и так - годы

[Serifa]

Вывод: у вас работают модераторы )

[2009bes]

Вывод: у вас работают модераторы

Согласен

[remingtone]

модераторы формально есть, но толку от них мало. поясню: есть неиндексируемый раздел "реклама" - по правилам туда идет вся коммерция и ссылки на другие сайты. а модераторы в случае чего НЕ переносят туда темы - вот такие вот они )) но при этом ни один бот с виагрой и казино никогда ничего не писал. иногда придет живой человек, закинет в индексируемый раздел пост про ксеноновые лампы со ссылкой на свой сайт, или кто-нибудь с продажей масел, а модераторы не реагируют - вот это и все наши "проблемы"

[Serifa]

Значит, с виагрой и казино приходят не боты. Реально, боты мои проверочные вопросы пройти не в состоянии. А вот с живыми спамерами как?

[2009bes]

А вот с живыми спамерами как?

Я сразу по ип и хосту блокирую, а если рекламируют хорошо- переношу в раздел - ваша реклама

[Mr. Anviss]

Я сразу по ип и хосту блокирую

А если TOR?

[2009bes]

TOR?

Что это ?

[valek0972]

Что это ?

http://ru.wikipedia.org/wiki/Tor

[2009bes]

http://ru.wikipedia.org/wiki/Tor

спасибо, познавательно.     

[remingtone]

Значит, с виагрой и казино приходят не боты. Реально, боты мои проверочные вопросы пройти не в состоянии. А вот с живыми спамерами как?

и один мой не в состоянии, о чем и речь

[Serifa]

По айпи лучше никого не блокировать. Потом самому потребуется через tor зайти или прокси, а форум тебя не пускает У меня такое постоянно было, пока я всех забаненных по айпи не разбанила. Трудно угадать, с каким айпи сам на форум зайдешь.

Хотя чаще не пускает как гостя, пока как админ не зайдешь.
У меня вообще с айпи всё загадочно. Как гость - имею один айпи, как админ - другой, как персонаж - третий... Да еще меняются каждый день. Чаще всего форум ловит меня со штатскими айпи.

[remingtone]

ну так у вас клоудфларе подключено - потому и пляска с айпи. откуда б вы не заходили - у вас будет айпи из пула клоудфларе. кстати, как вам сервис? я наловчился лочить ботов в клоудфларе. сервис надо поставить на паузу (включается прямой трафик, как обычно), отловить реальный айпи врага и залочить его в панели угроз клоудфларе. включить сервис, и враг больше не увидит форума

[Serifa]

Ну раз что-то подключено в обход мнения админа - то это хостер постарался. Я даже не знаю, где у этого счастья панель искать

[Aville]

Помогают вопросы вот такие:

[Garik]

Как придёт ИИ регаться задачи по высшей математике не помогут. Уже приходил пару раз,каптчу любую решает на раз. Мимоходом пару сотен ботов нарегил. 

[donfisher]

Сейчас на всех форумах попрошайка скамит. Никакие вопросы не помогают, что только не пробовал.
Остановился на реге по подтверждению админа. Но это конечно не очень удобно, обрезает много новых реальных пользователей.