[Jann Hendrik]

Wie einige von euch sicherlich schon festgestellt haben gab es in der nahen Vergangenheit Probleme mit SPAM-bots, die sich hier erfolgreich im Forum angemeldet haben.

Die Projektleitung hat daher entschieden, dass wir etwas dagegen tun. Derzeit ist ein Skript eingebunden, dass uns die bots vom Leib halten soll.

Nähere Infos dazu:
http://bot-trap.de/

Darüber hinaus werden wir auch noch eine weitere Hürde einbauen.

Da wir jedoch leider noch keinerlei Erfahrung mit dem bot-trap-Projekt haben kann ich nicht dafür garantieren, dass alles fehlerfrei läuft. Mir ist beim Testen nichts aufgefallen.
Wenn ihr etwas feststellt, so dürft ihr euch wie gewohnt bei einem von uns melden.

In der Hoffnung, dass nun die SPAM-bots in ihrer Aktivität eingeschränkt werden hoffe ich, dass das bot-trap-Skript hier nun seinen Dienst tut!

[schifti]

Nicht nur die Spambots... ich auch

und ich bekomm auf der Hauptseite:

Fatal error: Uncaught exception 'Zend_Session_Exception' with message 'session has already been started by session.auto-start or session_start()' in /htdocs/portal-live/lib/Zend/Session.php:365 Stack trace: #0 /htdocs/portal-live/lib/Zend/Session/Namespace.php(116 Zend_Session::start(true) #1 /htdocs/portal-live/prepend.inc.php(53 Zend_Session_Namespace->__construct('userinfo') #2 /htdocs/portal-live/public/index.php(14 include('/htdocs/portal-...') #3 {main} thrown in /htdocs/portal-live/lib/Zend/Session.php on line 365

[FloB]

Tja, dann wurdest du wohl gesperrt .. was sagt die Log, Jann? Eventuell das Sperrscript erst unmittelbar vor der Ausgabe aufrufen ...

Bei mir klappt alles.

[schifti]

Also das Bot-Dings, kommt auch im IE7 ohne Addons....
Das muss dann wohl an der IP/Hostname liegen.
Der Fehler mit dem Start der Session ist weiterhin noch vorhanden.

[Jann Hendrik]

@Martin: Ich weiß nicht, woran das liegt. Das dürfte aber mit dem bot-trap eigentlich nichts zu tun haben, sondern wird vom ZF verursacht.

Ich spreche dich morgen mal an - damit wir da mal was testen können!?

[schifti]

ok (von Do auf Fr hab ich Monitoring und bin die Nacht wach). Ich teste es mal, ob es bei mir zu Hause auch so ist oder nur in der Arbeit.

[$traight-$hoota]

verhindert das skript eigentlich nur die registrierung von bots oder auch das einstellen von beiträgen?
Der user defg463 hat nämlich grade zwei SPAM-Beiträge veröffentlicht und scheint sich dem namen nach wohl auch als reiner bot angemeldet zu haben (allerdings schon im juli).
Ist es irgendwie einfach möglich, den momentanen Userbestand (mittlerweile über 1000) nach "schlafenden" bot-accounts duchzuforsten? Verdächtig sind halt alle mit null beiträgen (ca. die Hälfte) und ohne sonstige angaben wie messenger, eigene website etc.

[Jann Hendrik]

Es verhindert die Nutzung von Bots - sofern diese bereits bekannt sind.

Bots als solche zu erkennen ist gar nicht so einfach, die bots, die das vB seit Anfang des Monats befallen tragen auch gerne mal eine ICQ-Nummer usw. ein. Fehlende Angaben sind kein Indiz.

[CIX88]

Zitat:

nach "schlafenden" bot-accounts duchzuforsten

... inactive User also

[Jann Hendrik]

Das kann man sicherlich machen, die Frage ist aber, ob sich dadurch an der bot-Problematik irgendwas verbessern sollte.

Wenn die bots sich bisher nicht ausgetobt haben, dann gibt es nicht viel Grund zur Annahme, dass sie es nun tun werden.

Darüber hinaus ist es so, dass die von bot-trap bekannten bots ausgesperrt sind, somit die Gefahr schon minimiert wurde!

[robo47]

Zitat:

Zitat von CIX88

Zitat:

... inactive User also

Schläfer gibt es also nicht nur bei den Terroristen sondern auch bei den Spambots

[Jann Hendrik]

Das ist richtig.
Aber was bringt es diese Schläfer nun zu löschen?
Ob sie nun eine lange Zeit bei uns inaktiv geschlafen haben oder ob sich nächste Nacht 20.000 neue user anmelden und loslegen...
Entweder werden sie durch die vorhandenen Sicherheitsmechanismen gestoppt - oder nicht.

[CIX88]

Zitat:

Aber was bringt es diese Schläfer nun zu löschen?

Jo erstmal nicht viel.
Ich bin nur jemand der auch Datenbanken pflegt und von unnötigen Balast befreit.
Die Performance wird ja auch nicht schneller, wenn z.B. bei jeder Anmeldungen bzw. Registrierung nach Nickname oder E-Mail erst in der DB geschaut wird, ob diese schon vorhanden ist. Und da sage ich mir doch, wer 2 Jahre nimmer online war, kommt sicher so schnell nicht zurück

[Jann Hendrik]

Das ist wohl auch war. Der Sicherheitsgewinn dabei ist aber marginal klein, sofern vorhanden.

Wir sind gerade dabei eine brauchbare Strategie zu entwerfen, mit der wir auf der einen Seite die inaktiv gewordenen user ermuntern wollen wieder aktiv zu werden und auf der anderen Seite diejenigen, die inaktiv bleiben in sauberer Weise aus dem Forum zu löschen.

[CIX88]

Zitat:

user ermuntern wollen wieder aktiv zu werden

Wann kommt der erste Newsletter ?

[Jann Hendrik]

Meinst du damit die Aktivitäts-Erinnerung, dann muss ich dich enttäuschen, da du keinen bekommen wirst, oder meinst du nen richtigen newsletter?

[CIX88]

Im Bezug auf „brauchbare Strategie” war das jetzt mein Gedanke.
Aber zurück zum Thema ... in sachen Bots und User die sich als Bot ausgeben, werde ich demnächst auch massiv vorgehen. Derzeit bin ich noch beim auswerten der Logs ...
Denn wenn mitunter mehr Bots auf eine Seite zugreiffen als User, dann muss das nicht unbedingt sein.

[Jann Hendrik]

Da hast du Recht - so dolle sind die bots dann auch wieder nicht, dass man sie haben will

[Jann Hendrik]

Als weitere Maßnahme gegen SPAM habe ich soeben ein PlugIn für vBulletin installiert, welches eine Frage anzeigt, die korrekt beantwortet werden muss.

Bisher ist der frei definierbare Fragenkatalog recht klein - gerne nehme ich via pn weitere Vorschläge entgegen.

Sollten Probleme bei der Nutzung des 'Text-Captachas' auftauchen, so bitte ich um einen entsprechende Nachricht.

[CIX88]

Zitat:

definierbare Fragenkatalog

Geil, wird dann wie bei „Wer wird Millionär”
Der die Million geschafft hat ... ist registriert
Das bringt jeden Spamer an die Grenze
Ne aber im ernst, die Idee finde ich gut.