Как бороться с хакерами?
-
tarrow
- Уже с Приветом
- Posts: 2577
- Joined: 28 May 2001 09:01
- Location: USA
Как бороться с хакерами?
Окрыл свой форум, но туда сотнями стали закидывать порно-сайты. Пришлось закрыть доступ, но даже в закрытый как-то умудряются пролезать. Как бороться с ними? Устал стирать их посты.
-
PavelM
- Уже с Приветом
- Posts: 13316
- Joined: 13 Jun 1999 09:01
- Location: Yekaterinburg -> Montreal
-
Flash-04
- Уже с Приветом
- Posts: 63377
- Joined: 03 Nov 2004 05:31
- Location: RU -> Toronto, ON
на форумах которые посещаю, такого нет 
-
Artemk
- Уже с Приветом
- Posts: 4790
- Joined: 21 Jul 2002 21:55
- Location: Minsk -> Louisville, KY
-
Uzito
- Уже с Приветом
- Posts: 8230
- Joined: 06 Feb 2002 10:01
- Location: NJ, USA
1) поставить форум в нестанадтный каталог..
см. привет - forum.privet.com вместо стандатрного www.privet.com/forums
2) разрешить посты только зарегистрированым пользователям
3) на страничке регистрации добавить вопрос по теме [форума].
"Введите фамилию самого знаменитого российского вратаря".
4) включить ручную активацию пользователей.
см. привет - forum.privet.com вместо стандатрного www.privet.com/forums
2) разрешить посты только зарегистрированым пользователям
3) на страничке регистрации добавить вопрос по теме [форума].
"Введите фамилию самого знаменитого российского вратаря".
4) включить ручную активацию пользователей.
-
VovaK98
- Уже с Приветом
- Posts: 1828
- Joined: 04 Mar 2002 10:01
- Location: Tampa
Re: Как бороться с хакерами?
tarrow wrote:Окрыл свой форум, но туда сотнями стали закидывать порно-сайты. Пришлось закрыть доступ, но даже в закрытый как-то умудряются пролезать. Как бороться с ними? Устал стирать их посты.
С каких адресов эта бодяга идет? Уверен, что это Китай и Россия. Если ваша аудитория в-основном англоязычная, то фильтруйте IP на предмет принадлежности к англоязычным странам или Европе.
Несите чушь бережно, стараясь не расплескать. Чушь хороша, когда она полная.
-
Слава Труду!
- Уже с Приветом
- Posts: 1187
- Joined: 10 Mar 2008 17:19
Re: Как бороться с хакерами?
Это не хакеры, а..ммм.. роботы-спамеры. Хакеры валят ваш сервер к примеру.
-
olley
- Мистер Привет 2015
- Posts: 7606
- Joined: 26 Mar 2002 10:01
- Location: San Diego
У меня в гостевую сыпался спам от спам-ботов пачками каждый день. Изучив логи пришел к выводу, что делать бан-лист по IP бесполезно - идет с разных адресов. Отрезать целыми странами не пробовал, но во-первых нужно держать и постоянно обновлять базу (бесплатная база IP locations весит 100 Мб) либо использовать платный сервис. Во-вторых не факт, что Китаем и Россией все ограничится. В-третьих - решение обрезать целыми странами ради спам-ботов само по себе совершенно дурацкое. Это наилучшая иллюстрация к поговорке "выплеснуть ребенка с водой".
В общем, пришел к следующему решению. Спам-боты - глупые существа. Они умеют только лазить по ссылкам и делать POST в найденные формы на страницах. При этом они не умеют обрабатывать JavaScript. (По крайней мере не умели это делать два года назад и не умеют до сих пор). Пользователей с отключенным JavaScript у меня примерно полпроцента, в целом, навскидку я нашел на w3c цифру в 5-6%
Самое простое решение, основанное на вышеприведенных рассуждениях.
В серверном коде проверять
После такого простого кода спам-боты исчезли из Гостевой совсем. Вообще. За два года прорвался только один и то я подозреваю, что это был постинг сделанный вручную. При этом я записываю постинги сделанные в else ветке в лог, чтобы удостоверится, что не убил что-то нужное. В логе я вижу, что сапам сыплется по-прежнему и там нет ни одного сообщения от живого человека.
Разумеется, если кто-то сочтет ваш форум достойным создания customized спам-бота, то это не спасет. Ничто не спасет кроме капчи
Тут вам надо трезво оценить вероятность того, насколько ваш форум интересен спамерам.
Другой подход. Генерировать на странице что-нибудь вроде 5+2=.... и просить пользователя ввести ответ в одном из полей. Мое личное впечатление, что это гораздо менее раздражает, чем чертова CAPTCHA. Если я думаю написать или не написать сообщение в какой-то форум без регистрации и вижу капчу, то ответ как правило: не писать
А посчитать в пределах 10 мне не сложно.
Есть еще разные AJAX-based компоненты, которые позоволяют фильтровать бот/человек. Но они тоже, как следует из названия, используют JavaScript. Если надо без ява-скрипта и надежно, то капча - лучший способ. Но при этом и самый annoying
В общем, пришел к следующему решению. Спам-боты - глупые существа. Они умеют только лазить по ссылкам и делать POST в найденные формы на страницах. При этом они не умеют обрабатывать JavaScript. (По крайней мере не умели это делать два года назад и не умеют до сих пор). Пользователей с отключенным JavaScript у меня примерно полпроцента, в целом, навскидку я нашел на w3c цифру в 5-6%
Самое простое решение, основанное на вышеприведенных рассуждениях.
Code: Select all
function CheckFields()
{
a = document.getElementById("robot");
a.value = "human";
}
</script>
</head>
<body onload="CheckFields()">
...
blah-blah-blah...
<form .... >
your forum message form is here
<input type="hidden" name="robot" id="robot" value="machine" />
</form>
В серверном коде проверять
Code: Select all
if robot.value == "human"
//do your processing
else
// that's a spam-bot
// just drop it
После такого простого кода спам-боты исчезли из Гостевой совсем. Вообще. За два года прорвался только один и то я подозреваю, что это был постинг сделанный вручную. При этом я записываю постинги сделанные в else ветке в лог, чтобы удостоверится, что не убил что-то нужное. В логе я вижу, что сапам сыплется по-прежнему и там нет ни одного сообщения от живого человека.
Разумеется, если кто-то сочтет ваш форум достойным создания customized спам-бота, то это не спасет. Ничто не спасет кроме капчи
Тут вам надо трезво оценить вероятность того, насколько ваш форум интересен спамерам.
Другой подход. Генерировать на странице что-нибудь вроде 5+2=.... и просить пользователя ввести ответ в одном из полей. Мое личное впечатление, что это гораздо менее раздражает, чем чертова CAPTCHA. Если я думаю написать или не написать сообщение в какой-то форум без регистрации и вижу капчу, то ответ как правило: не писать
А посчитать в пределах 10 мне не сложно.
Есть еще разные AJAX-based компоненты, которые позоволяют фильтровать бот/человек. Но они тоже, как следует из названия, используют JavaScript. Если надо без ява-скрипта и надежно, то капча - лучший способ. Но при этом и самый annoying
olley
-
tarrow
- Уже с Приветом
- Posts: 2577
- Joined: 28 May 2001 09:01
- Location: USA
Я пользуюсь вот этим софтом: http://www.phpbbguru.net/
Там все установки стандартные. Есть визуальное подтверждение изображения. Однако сегодня пришлось вручную убирать 20 порносайтов.
Там все установки стандартные. Есть визуальное подтверждение изображения. Однако сегодня пришлось вручную убирать 20 порносайтов.