Spammer @ Guestbook: IP-Adressen "fälschbar"?

[GeYe]

Also ich will nicht wissen, wie man IP-Adressen fälscht. Sondern das Problem ist folgendes:

Ich habe eine eigene Webseite mit einem Gästebuch. Nichts berauschendes, doch ein Gästebuchspammer kann es nicht lassen Werbung für Medikamente zu machen. Also habe ich mir ein paar Tricks einfallen lassen um seine Einträge auszusperren und gleichzeitig zu loggen.

Seit dieser Sperre habe ich etwa jede 4 Minuten einen Gästebucheintrag des Spammer (vermutlich also ein Bot).

Das erstaunliche ist, dass von jedem Gästebucheintrag die IP sich ändert. Sprich der Spammer hat mächtig viele IPs und dazu noch in verschiedenen Netzen => z.B. 58.xxx.xxx.xxx , 82.xxx.xxx.xxx usw.

Die einzelnen Einträge werden vorne auch immernoch mit einer ID versehen, vermutlich liest er das Gästebuch aus und schaut, ob seine Methode erfolgreich war, z.B. w2mz645f-1646738604.

Ich lese die IP-Adresse mit REMOTE_ADDR unter PHP aus. Meinem Wissen nach kann man aber keine IP-Adressen fälschen, da diese eindeutig vergeben werden und meines Wissens nach nicht im Browserheader, sondern theoretisch im IP-Header drin stehen. Die Frage ist nur, wo PHP diese IP herholt und ob ich der IP "vertrauen" kann.

Weil wenn die IPs korrekt sind, habe ich hier mit einem größeren Problem zu kämpfen, denn das würde auf ein richtiges Botnetz hindeuten. Vermutlich mit anungslosen Usern, deren Rechner für Spammaktivitäten genutzt werden.

Hat jemand von euch damit Erfahrung? Denn ich denke mal, es ist nur eine Frage der Zeit bis der Bot / Spammer rausfindet, mit welchen Kriterien ich ihn ausgesperrt habe.

 

[gimmebytes]

Würde jetzt "blind" auf nen Botnetz tippen, würde an deiner Stelle das GB erstmal dicht machen und per Captcha absichern und dann wieder eröffnen

 

[GeYe]

ein Captcha für ein Gästebuch, naja etwas übertrieben würd ich meinen, vor allem weil ich die dinger sehr sehr umständlich finde. Das ist eben nur ein Workaround, der dem User auch noch weh tut. Mechanismen die ein Captcha aushebeln gibt es auch genug und vor allem selber gecodete Captchas leiden am Anfang an noch zu "einfachen" Lösungsmöglichkeiten, diese zu knacken. Einfaches Beispiel, man benennt die Bilder nach ihrem aussehen und lässt sie z.B. nicht dynamisch generieren. => auf den User wirkt die Blockade, auf die Maschine nicht und es manchmal nicht so einfach, wie eine Maschine zu denken

Bevor ich sowas implementiere, mache ich lieber zeitversetzte und nur von mir zugelassen Einträge. Aber das hat immer diesen faden Beigeschmack, dass ein Beitrag der negativ ausfällt einfach gelöscht wird und Besucher davon hindert einen Eintrag zu machen.

Ich mein für mich ist die Webseite ja eh nur aus Spass am Coden und rumprobieren. Die Frage ist nur, was ist wenn man das wirklich einsetzen will und braucht.

Das einfachste ist schon, wenn wir uns als eigene User sehen - mögen wir Captchas? Wollen wir bei Beiträgen erst zensiert werden, bevor sie im Internet erscheinen? Ich denke beides aktzeptieren wir nur ab einem bestimmten Grad und das nur weil uns ein Thema interessiert.

Gästebucheinträge macht man aber eher weniger durch Interesse, sondern um der Person etwas über den anonymen Weg oder schnellen Weg mitzuteilen, eine Meinung auszusprechen (meistens ein Lob, da die negativ eingestellten User meist eh die Seite sofort verlassen ) oder na klar Werbung zu machen.

 

[petervonna]

Solang man bei Captchas nicht Großschreiben muss (zb: a7zRv) machen die mir persönlich nichts aus (also nicht umständlich).

Werden Gb-Einträge allerdings nicht sofort angezeigt (also erst vom Webmaster kontrolliert),
dann hat das schon Auswirkungen - ich jedenfalls poste dann nur noch ungern etwas.

Aber man sollte bedenken, dass Captchas nicht barrierefrei sind (Leute mit Sehschwäche, Sehbehinderung, Blindheit sind dann "ausgesperrt")

 

[syntec]

Damit hatte ich die Tage auch zu tun. Mittlerweile habe ich das etwas abgedämpft durch eine Checkbox die man anklicken muss und durch eine Blacklist in einem Array in dem die wichtigsten Begriffe und Domainendungen (bei mir z.B. "@mail.com") festgehalten sind.
Seitdem ist Ruhe im Karton (bisher...)

 

[bodo2005]

Man kann auch einfach serverseitig authentifizieren, indem man eine Session-Variable beim Aufruf des Formulars setzt und diese dann beim senden an den server wieder löscht, sollte eigentlich schon ein sehr guter schutz sein.

 

[zatarc]

Ist der Inhalt der gespammten Einträge immer gleich oder kommt zumindest immer ein bestimmter String zum Vorschein? Wenn ja, dann blockiere einfach die Beiträge die einen bestimmten String enthalten (URL, immer die gleiche Überschrift etc.).

 

[cmprmsd]

also das ganze nennt sich IP-spoofing.Dabei wird entweder von einem großen netzwerk angegriffen.Es gibt aber auch die Möglichkeit ein anderes IP-spoofing zu betreiben.Dabei wird einfach alle paar minuten ausgeloggt und dann wieder eingeloggt.Dafür gibt es auch scripte.Das wäre wohl die einfachste methode IP-spoofing zu betreiben.Les dir vieleicht mal das hier durch
http://de.wikipedia.org/wiki/IP-Spoofing
Wenn garnichts klappen sollte,kannst du durchaus die polizei einschalten.Die sollte dann auch die richtige IP und den Standort herrausfinden.Einziges Problem wäre dann noch, dass viele spammer im ausland sitzen.Ich bekomme auch täglich spammails von irgendwelchen seiten,weil ich den spamschutz ausschalten muss.Sonst kommen einige mails nicht an,weil web.de spammails nicht weiterleitet

 

[gimmebytes]

Also ich persönlich finde captchas nicht schlecht, solange die Eingabe wie gesagt nicht besonders kryptisch ausfällt. Du könntest natürlich auch eine andere Form von Captchas einführen, die finde ich persönlich auch sehr interessant:

Du zeigst dem User z.B. ein Bild und er muss eintippen was drauf zu sehen ist. IMHO dürfte es zum Umgehen solch eines Schutzes keinen Algo geben. Klar barrierefreiheit ist so ne Sache, gerade bei der Variante, aber schauen sich Leute deine Page an die drauf angewiesen sind?

Und Beiträge vorm Veröffentlichen zu überprüfen find ich persönlich total ätzend, weil der Admin ja erlauben kann was er will, also dann lieber ein ausgefallener Captcha Schutz!

Aber das auch nur meine Meinung

 

[cmprmsd]

Das beste(aber auch das nervigste) ist, wenn man einen sicherheitscode(aus einem gif bild) eintippen muss.

 

[GeYe]

Also captcha kommt wie gesagt nicht in frage, das ist mir wirklich zu extrem. Im Moment habe ich das Problem ja in Griff bekommen ohne irgendwelche userfeindlichen Methoden ;-)

@bodo2005:
Dein Lösungvorschlag mit der Sessionvariable verstehe ich nicht oder meinst du ein Spambot kann keine Sessionvariable bekommen?

@zatarc
Der Inhalt ist nicht der gleiche. Gerade jetzt, wo der Bot wieder versucht einen Gästebucheintrag in den 4 Minutenabschnitten zu machen, probiert er verschiedene Kombinationen aus. Ich habe ihn bisher an dem Merkmal ausgesperrt, dass er eindeutig zu viele Links in jedem Beitrag hat.

Anfangs hat der Bot z.B. immer die gleiche Emailadresse eingetragen. Mittlerweile tauscht er die fröhlich aus und auch der eigentlich Inhalt ändert sich. Ist aber interessant, wie die Versuche ablaufen.

Wie gesagt mir gings hier eigentlich um die Frage, ob die IP von der PHP-Funktion REMOTE_ADDR eine tatsächliche IP ist oder auch gefälscht werden kann, da ich ja eine Aussperrung des Bots schon realisiert habe. Für den Hinweis mit IP-Spoofing ein Dankeschön an eXPoser. Mal wieder was gelernt

 

[Gelbsucht]

Dabei wird einfach alle paar minuten ausgeloggt und dann wieder eingeloggt.

Tja, nur wie erklärst Du uns das mit den grundverschiedenen Adressräumen 54.xxx etc und 84.xxx etc... Jedenfalls in DE bekommt man bei der dynamischen IPvergabe immer wieder IPs aus dem gleichem Adressraum.

Zb bei der Heag hatte ich immer 213.xxx.xxx.xx und bei Arcor nun der 84er Bereich. Der erste IPBlock bleibt immer gleich. So meine Erfahrung, bei der T und 1&1 hab ich noch nicht drauf geachtet.

Von daher denk ich auch eher an ein Botnetz, zumal auch auf diversen Clanseiten die GBs schon zugespammt wurden und werden. Viele zwar mit geloggter IP, aber alle ohne diese Sicherheitsabfrage.

Mich nerven diese Abfragen nicht, wobei eine mit einem Hundebild zB, wo man HUND eintippen muß wohl noch sicherer wäre.

 

[cmprmsd]

Wie wäre es zB mit einem Proxyserver?is doch das gleiche wie ein gateway man hat keine ip mehr und spammt mit der des proxy`s.Es gibt viele kostenlose von denen

 

[bodo2005]

@bodo2005:
Dein Lösungvorschlag mit der Sessionvariable verstehe ich nicht oder meinst du ein Spambot kann keine Sessionvariable bekommen?

Doch, aber es müsste vor jedem Absenden die Formularseite aufrufen. Wenn du dann noch eine time $_SESSION setzt, die prüft, ob vom eintragen (aufrufen) bnis zum absenden mind. 30 sek. vergangen sind, dürfte der spambot probleme bekommen.

 

[madbros]

exposer hat einen (offenbar überlesenen) guten Vorschlag gemacht: Sicherheitsbildchen mit einem Buchstaben/Zahlencode drin. Das ist meiner Meinung nach Usern durchaus zuzumuten, mal eben einen Code abzutippen. drei-vier Zeichen reichen ja schon aus, um einen Bot auszusperren.

 

[cmprmsd]

Danke =)
Denn das sollte kein "middle"Bot können

 

[GeYe]

@exposer und madbros
siehe http://de.wikipedia.org/wiki/Captcha: Für mich ist ein Captcha ein Sicherheitsbildchen mit Code, welchen man abtippen muss und daher vorerst keine Lösung

@bodo2005
Jetzt verstehe ich was du meinst, aber ich vermute stark, dass die Bots das mittlerweile machen, da sie ja auch IDs "reinposten", die sie später auslesen => für einen Bot sollte es kein Problem sein die Seite vorher aufzurufen. Aber es ist zumindestens mal eine Idee. Thx

@exposer und Proxyserver
Ein Bot wird mit Sicherheit keinen Proxyserver nehmen, wie ich ganz oben schon erwähnt habe, ändert sich die IP andauernd und liegt zudem in verschiedenen IP-Bereichen. Wenn man von ein und dem selben Proxyserver zugespammt wird (oder auch von mehreren) kann man als Webmaster diese ja auch teilweise aussperren, z.B. (mit der Meldung: "Da sie scheinbar über einen anonymen Proxy verbunden haben, muss ihr Beitrag erst geprüft werden, blabla"). Oder einfach stärkere Kriterien einfallen lassen um den Spam aus den normalen Einträgen zu filtern.

@Gelbsucht
Ich stimme dir vollkommen zu, zwar unterscheiden sich die IP-Bereiche bei Arcor auch im ersten Block, aber sie liegen z.B. zwischen 84.xxx - 86.xxx damit in einem absteckbaren Bereich. Es gibt auch Internetseiten, wo man die IP-Ranges nachschauen kann.

 

[cmprmsd]

@exposer und Proxyserver
Ein Bot wird mit Sicherheit keinen Proxyserver nehmen, wie ich ganz oben schon erwähnt habe, ändert sich die IP andauernd und liegt zudem in verschiedenen IP-Bereichen. Wenn man von ein und dem selben Proxyserver zugespammt wird (oder auch von mehreren) kann man als Webmaster diese ja auch teilweise aussperren, z.B. (mit der Meldung: "Da sie scheinbar über einen anonymen Proxy verbunden haben, muss ihr Beitrag erst geprüft werden, blabla"). Oder einfach stärkere Kriterien einfallen lassen um den Spam aus den normalen Einträgen zu filtern.

Lol?Wer sagt denn das die proxyserver in einem Land stehen?Es gibt sehr viele underground links zu diesen "kuriosen"proxyservern.Also normalerweise liegen die auch in verschiedenen ländern

 

[ag3nt]

Hmm also ein Möglichkeit wäre es eventuell auch noch die Zeit zu messen zwischen der Auslieferung der Seite und dem Zurücksenden des Beitrages, das ist zwar auch nicht wirklich sicher, da der Bot eine Menschliche Reaktionszeit vortäuschen könnte aber vielleicht bringts ja doch etwas.

 

[gimmebytes]

Ich hab mal bei Google geschaut, ich finde ja nachwievor so eine Lösung hier garnicht so übel, kein lästiges Abtippen und es dauert auch nicht lange und wirkt:

http://www.kittenauth.com/index.php?q=node/5