Zur Boardunity Forenstartseite

Zurück   Boardunity & Video Forum » Technik » Programmierung und Datenbanken

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 4,00 durchschnittlich.
  #1  
Alt 12.10.2008, 20:14
Benutzerbild von Luki
Administrator
 
Registriert seit: 02.2004
Ort: Hamburg
Beiträge: 486

vBulletin Spambot / Spam / Captcha - Analyse & Infos


Moin,

ist man mal eine Woche weniger aktiv passiert's - das vbulletin wird mit Spambots geflutet.

Trotz nicht zaghafter Einstellungen beim vB Captcha (Zufällige Schriftart, Zufällige Schriftgröße, Zufällige Neigung) gibt es anscheinend clevere Programmierer die es ohne Probleme schaffen die Standard vBulletin Captcha zu entschlüsseln und wie bei der Boardunity bis zu 60 Profile am Tag anzulegen.

nicht nur die Registrierung meistern die Bots
* sie legen Profile an
* besuchen einen mit verschiedenen IP's und Browser Agents
* versenden PM's und Beiträge
* und machen aus meiner Sicht leider alles was auch normale User machen...

anbei mal ein Profil, Boardunity Statistik Registrierungen (seit der Spambot Plage) und ein Logauszug Beispiel eines Bots:

Code:
200.63.42.75 - - [05/Oct/2008:05:50:19 +0200] "GET /register.php HTTP/1.0" 200 19608 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; FDM)"
200.63.42.75 - - [05/Oct/2008:05:50:20 +0200] "POST /register.php?do=register HTTP/1.0" 200 21436 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; FDM)"
200.63.42.75 - - [05/Oct/2008:05:50:20 +0200] "GET /image.php?type=hv&hash=5b0f70716a590674e07b223e3a3e7a1b HTTP/1.0" 200 11991 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; FDM)"
200.63.42.75 - - [05/Oct/2008:05:50:22 +0200] "POST /register.php?do=addmember HTTP/1.0" 200 16252 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; FDM)"
200.63.42.75 - - [05/Oct/2008:07:21:09 +0200] "GET /register.php?a=act&u=3868&i=16600367 HTTP/1.0" 200 23185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:09 +0200] "POST /login.php?do=login HTTP/1.0" 200 14651 "http://boardunity.de/register.php?a=act&u=3868&i=16600367" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:09 +0200] "GET /register.php?a=act&u=3868&i=16600367 HTTP/1.0" 200 24457 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:10 +0200] "GET /usercp.php HTTP/1.0" 200 28646 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:10 +0200] "GET /profile.php?do=editsignature HTTP/1.0" 200 31471 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:11 +0200] "POST /profile.php?do=updatesignature HTTP/1.0" 302 - "http://boardunity.de/profile.php?do=editsignature" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:11 +0200] "GET /index.php HTTP/1.0" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:11 +0200] "GET /?= HTTP/1.0" 200 45494 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:11 +0200] "GET /profile.php?do=editprofile HTTP/1.0" 200 41201 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:12 +0200] "POST /profile.php?do=updateprofile HTTP/1.0" 302 - "http://boardunity.de/profile.php?do=editprofile" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:12 +0200] "GET /profile.php?do=editpassword HTTP/1.0" 200 28021 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:12 +0200] "GET /register.php?a=act&u=3868&i=16600367 HTTP/1.0" 200 24457 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:13 +0200] "GET /wbb2-gehacked-suche-sicherem-forum-t5695-neuester-beitrag.html HTTP/1.0" 301 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:13 +0200] "GET /wbb2-gehacked-suche-sicherem-forum-t5695.html HTTP/1.0" 200 170265 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:14 +0200] "GET /profile.php?do=addlist&userlist=buddy&u=3207 HTTP/1.0" 200 26444 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:15 +0200] "GET /profile.php?do=addlist&userlist=buddy&u=2000 HTTP/1.0" 200 26438 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:15 +0200] "GET /profile.php?do=addlist&userlist=buddy&u=3207 HTTP/1.0" 200 26444 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:07:21:16 +0200] "GET /profile.php?do=addlist&userlist=buddy&u=2000 HTTP/1.0" 200 26438 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))"
200.63.42.75 - - [05/Oct/2008:12:33:35 +0200] "GET /newthread.php?do=newthread&f=21 HTTP/1.0" 200 25756 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:37 +0200] "GET /register.php HTTP/1.0" 200 19446 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:37 +0200] "POST /register.php?do=register HTTP/1.0" 200 21342 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:38 +0200] "GET /image.php?type=hv&hash=bd56d79c93dda6fb6c1945e688580c13 HTTP/1.0" 200 10422 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:38 +0200] "POST /register.php?do=addmember HTTP/1.0" 200 22148 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:39 +0200] "GET /image.php?type=hv&hash=c7f14f8598ea3137160374d5567a4101 HTTP/1.0" 200 12082 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:39 +0200] "POST /register.php?do=addmember HTTP/1.0" 200 22148 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:40 +0200] "GET /image.php?type=hv&hash=e41745871013143d9b418b78895444b2 HTTP/1.0" 200 12520 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:40 +0200] "POST /register.php?do=addmember HTTP/1.0" 200 22013 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:41 +0200] "GET /image.php?type=hv&hash=98066aede5609d3ab2cd01e6b0d8713d HTTP/1.0" 200 9437 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:41 +0200] "GET /newthread.php?do=newthread&f=21 HTTP/1.0" 200 25625 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:41 +0200] "POST /login.php?do=login HTTP/1.0" 200 14623 "http://boardunity.de/newthread.php?do=newthread&f=21" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:42 +0200] "GET /newthread.php?do=newthread&f=21 HTTP/1.0" 200 45307 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:42 +0200] "GET /usercp.php HTTP/1.0" 200 28551 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:43 +0200] "GET /profile.php?do=editsignature HTTP/1.0" 200 31823 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:44 +0200] "POST /profile.php?do=updatesignature HTTP/1.0" 302 - "http://boardunity.de/profile.php?do=editsignature" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:44 +0200] "GET /index.php HTTP/1.0" 301 - "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:44 +0200] "GET /?= HTTP/1.0" 200 45940 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:45 +0200] "GET /profile.php?do=editprofile HTTP/1.0" 200 41270 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:48 +0200] "POST /profile.php?do=updateprofile HTTP/1.0" 302 - "http://boardunity.de/profile.php?do=editprofile" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:48 +0200] "GET /profile.php?do=editpassword HTTP/1.0" 200 27926 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:49 +0200] "GET /newthread.php?do=newthread&f=21 HTTP/1.0" 200 45307 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:50 +0200] "POST /newthread.php?do=postthread&f=21 HTTP/1.0" 302 - "http://boardunity.de/newthread.php?do=newthread&f=21" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:55 +0200] "GET /showthread.php?p=46333 HTTP/1.0" 301 - "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:56 +0200] "GET /453-interesting-things-t6256-p46333.html HTTP/1.0" 301 - "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:12:33:56 +0200] "GET /453-interesting-things-t6256.html?= HTTP/1.0" 200 55763 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
200.63.42.75 - - [05/Oct/2008:21:14:31 +0200] "GET /register.php HTTP/1.0" 200 19513 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0"
200.63.42.75 - - [05/Oct/2008:21:14:31 +0200] "POST /register.php?do=register HTTP/1.0" 200 21342 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0"
200.63.42.75 - - [05/Oct/2008:21:14:32 +0200] "GET /image.php?type=hv&hash=05aa26e2da624e4e608da54ab571d128 HTTP/1.0" 200 9198 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0"
200.63.42.75 - - [05/Oct/2008:21:14:35 +0200] "POST /register.php?do=addmember HTTP/1.0" 200 21769 "http://boardunity.de/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 9.0"
Abhilfe schafft anscheinend die Frage & Antwort Einstellungen beim vBulletin, da die Bots kein deutsch kennen.
Ich werde die nächste Woche mal andere Schriftarten als die Standard Schriftarten des vbulletin Forums in der Boardunity einpflegen, da ich vermute das die Bots ziemlich genau auf diese Schriftarten geeicht sein sollten... (Bericht folgt)

freue mich über Eure Erkenntnisse, Beschwerden und Ideen
Miniaturansicht angehängter Grafiken
vbulletin-spambot-spam-captcha-analyse-infos-profil_spambot.png  vbulletin-spambot-spam-captcha-analyse-infos-spambot_statistiken.png  

  #2  
Alt 12.10.2008, 21:19
neues Mitglied
 
Registriert seit: 07.2008
Beiträge: 4
Also bei mir ist Ruhe seit Installation des NDMR Botblocker

  #3  
Alt 12.10.2008, 21:50
Benutzerbild von Luki
Administrator
 
Registriert seit: 02.2004
Ort: Hamburg
Beiträge: 486
puhhh war das eine Arbeit - beinahe 500 Accounts gerade rausgefiltert und gesperrt, aber damit sollte hier nun Ruhe sein!! (im Anhang mal die Liste der gesperrten Accounts und Bots für die, die es interessiert!)

Captcha ist ebenfalls überarbeitet, sodass dieser nicht mehr "Standard" ist! - das sollte das Problem nun entgültig lösen.

Was sehr sonderbar ist und hier bestätigt wurde, über 50% waren Gmail Adressen; mit anderen Worten Good Bye Captcha, Good Bye Google Mail - sogar der Google Captcha ist geknackt!! oO

Zitat:
It does appear that a certain spam program has released an update in the last few days that is able to decipher the image captchas of gmail, Invision, PHPBB, and vBulletin. Since gmail is broken, the script can automatically create email addresses for email verification.

If you are using the image captcha, change the fonts and the backgrounds. In your forums/images/regimage directory, you will find a fonts/ and a backgrounds/ directory. Remove all of the default fonts in the fonts directory and add a collection of your own .ttf fonts. You can get freeware fonts all over the web. Pick some that are a bit strange but still readible and stick them in the directory. The backgrounds are 201x61 jpg images. Create your own, I suggest putting some text on them, that will really confuse the script, just do it so that when the captcha text is added to it by vBulletin, it doesn't confuse your registrees. The system will automatically use the fonts and images that you add to the appropriate directories.
Quelle: [vB 3.7] How to Reduce Spam and Registration Bots - vBulletin Community Forum

vieleicht rüstet vB ja bald mal mit animierten Captcha nach
sichere animierte Captcha (bewegt) - Security Forum

Ich bin gespannt ob die neuen Captcha's unten helfen! - Ansonsten baue ich eine Sperre ein, das alle Accounts die den Captcha einmal falsch eingeben oder mit einer IP mehrere Accounts anmelden moderiert werden...

Gruß
Luki
Miniaturansicht angehängter Grafiken
vbulletin-spambot-spam-captcha-analyse-infos-captcha2.png  vbulletin-spambot-spam-captcha-analyse-infos-captcha.png  vbulletin-spambot-spam-captcha-analyse-infos-captcha3.png  
Angehängte Dateien
Dateityp: xls Spambots.xls (74,5 KB, 3090x aufgerufen)


Geändert von Luki (13.10.2008 um 16:08 Uhr).
  #4  
Alt 13.10.2008, 02:41
Benutzerbild von Tobias Schäfer
Rinser
 
Registriert seit: 03.2005
Ort: Stuttgart
Beiträge: 61
Ich hab bei mir ganz gute erfahrungen mit versteckten Formularfeldern gemacht, also einfach ein Formularfeld per CSS verstecken und alles was das Feld ausfüllt ist ein Bot
So kann man sich dann auch das CAPTCHA sparen was die User freut.

__________________
Tobias Schäfer
Gruß Tobi

Mein Blog
  #5  
Alt 13.10.2008, 09:47
Benutzerbild von Luki
Administrator
 
Registriert seit: 02.2004
Ort: Hamburg
Beiträge: 486
Zitat:
Zitat von Tobias Schäfer Beitrag anzeigen
Ich hab bei mir ganz gute erfahrungen mit versteckten Formularfeldern gemacht, also einfach ein Formularfeld per CSS verstecken und alles was das Feld ausfüllt ist ein Bot
So kann man sich dann auch das CAPTCHA sparen was die User freut.
gute Sache! Zusätzlich kann man auch eine einfache Flood Protection einbauen, die wie die Doppelpostsperre einer IP nur max. 2 Registrierungen in 12 Stunden erlaubt...

Zitat:
Zitat von derhil Beitrag anzeigen
Also bei mir ist Ruhe seit Installation des NDMR Botblocker
wenn sich das Add-On durchsetzen sollte, denke ich das die Jungs von diesem Xrumer Spamtool ziemlich schnell nachrüsten würden...


Geändert von Luki (13.10.2008 um 16:13 Uhr).
  #6  
Alt 20.03.2009, 13:48
Benutzerbild von Luki
Administrator
 
Registriert seit: 02.2004
Ort: Hamburg
Beiträge: 486
... und das haben Sie anscheinend auch:
XRumer 5 Spam - Did you hear about BEST software for promo and SEO? ;)

  #7  
Alt 20.03.2009, 20:34
Mitglied
 
Registriert seit: 03.2009
Beiträge: 109
Ich habe seit zwei Wochen Cyb - Advanced Registration am laufen, bis jetzt hat sich kein Spambot mehr angemeldet.
Allerdings sollte man die Standardfrage schon ändern und mehrere Fragen hinzufügen.

  #8  
Alt 24.03.2009, 18:05
Benutzerbild von Lian
MCSEboard.de Staff
 
Registriert seit: 05.2004
Beiträge: 237
Stop Forum Spam - Forum Banlist bringt Ruhe, es gibt ein Plugin dafür bei vb.org

Ist eine Spam RBL

Das und reCaptcha sollte helfen, ist seit vB3.7 imo dabei.

Antwort


Stichworte
antispam, bots, captcha, captcha cracker, cracker, forenspam, formular, google, googlemail, input, spam, spambot, spambots, vbulletin, xrumer


Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Nofollow / Spam Protection für Foren Luki Projekt Forum 3 02.03.2008 19:31
Spam Bot in Foren Funktionsweise Ole Programmierung und Datenbanken 3 10.01.2008 12:18
Verkaufe vBulletin 1 Jahreslizens Unregistriert Marktplatz: Projekt, Domain- & Jobbörse 10 16.11.2007 21:19
vBulletin Weblog-Addon v1.0.0 veröffentlicht rellek Forensoftware 12 28.10.2007 12:32
Das vBulletin 3 Daniel Richter Erfahrungsberichte 12 23.10.2005 17:14






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25