Предотвращение спам-ботов на сайте?

Question

У нас проблема на одном из наших довольно больших сайтов со спам-ботами. Кажется, боты создают учетные записи пользователей, а затем публикуют записи журнала, которые приводят к различным спам-ссылкам.

Похоже, что они обходят наш captcha - либо он был взломан, либо использует другой метод для создания учетных записей.

Мы планируем активировать электронную почту для учетных записей, но мы находимся на расстоянии около недели от реализации таких изменений (из-за загруженных графиков).

Однако я не чувствую, что этого будет достаточно, если они используют эксплойт SQL где-то на сайте и выполняют всю скриптовую скрипту. Поэтому мой вопрос к вам:

Если они используют какой-то эксплойт XSS, как его найти? Я защищаю утверждения, где могу, но, опять же, его довольно большой сайт, и мне понадобится некоторое время, чтобы активно очищать SQL-запросы, чтобы предотвратить XSS. Можете ли вы порекомендовать что-нибудь, чтобы помочь нашей ситуации?

Answer 1

1) Как уже упоминалось выше, reCAPTCHA - хорошее начало.

2) Askimet - отличный способ отметить спам перед публикацией. Это то, что Wordpress использует для остановки спама, и это чрезвычайно эффективно. Затем вы можете отклонить или поставить в очередь запись для модерации на основе результатов. Это API тоже смешно прост в использовании. (У меня есть PHP-код, если он вам нужен). Вам может потребоваться коммерческая лицензия, хотя я уверен, что вы можете начать использовать бесплатную версию.

3) Проверка адресов электронной почты, безусловно, хорошая идея, так как для этого требуется действительная учетная запись электронной почты, которой нет у многих спамеров. Просто убедитесь, что вы легко проверяете адрес электронной почты, как если бы он был слишком сложным, и он также может превратить законных пользователей.

Answer 2

Если боты эксплуатировали дыру в скрипте где-то, в журналах должно быть доказано. Проверьте прямые POST-файлы на сценарии создания пользователей и скрипты создания записей в журнале без обычной «нормальной» активности серфинга до момента хита: боты, возможно, троллировали сайт только один раз и обходят шаг по снятию форм и притворяются заполняющими их в. Ищите GET-запросы с очевидными данными типа XSS в строках запроса.

Вы также можете встроить случайный токен в скрытое поле внутри форм и потребовать, чтобы токен присутствовал для активации/публикации. Если боты только разобрали ваши сценарии регистрации и занимаются прямыми сообщениями, это остановит их на своих дорогах, пока создатели ботов не поймают и не будут искать токен. Но это даст вам некоторое пространство для дыхания, чтобы реализовать лучшую систему.

Если в ваших таблицах учетной записи пользователя не указана временная метка времени создания, добавьте ее и создайте временную метку сервера, а не ваши пользовательские скрипты. Таким образом, вы можете сузить период времени (ы) для сканирования журналов для активности бота и посмотреть, что они делают. И если ничего другого, вы можете заблокировать IP-адреса, из которых боты отправляются.

Answer 3

Я удивлен, что кто-то может посоветовать Akismet и принято в качестве ответа:

• Akismet зацепления illegal in EU as infringing privacy protection laws;
• Любые blacklisting system helps criminals, making internet unusable by legit users;
• Системы, собирающие спам для анализа, обречены действовать ретроактивно, всегда отставая от спамерских технологий и развития бота;
• Зачем накапливать и анализировать спам, загруженный ботами, а не блокировать спам-боты?