Давайте обсудим эффективные решения по блокировке ботов (автоматическая регистрация и публикация топиков)

ботМне в очередной раз написал пользователь с вопросом «что делать с ботами?» и тут я понял что пора бы уже обобщить всю доступную информацию о защите от ботов и получить итоговое решение по защите от двух видов «неприятностей»:

  1. Автоматическая регистрация
  2. Публикация топиков если у бота уже есть аккаунт (зарегистрирован автоматически или «вручную»)

Меня эта тема мало волновала т.к. все сообщества я делаю закрытыми от свободных регистраций, но понимаю что пора бы уже разобраться т.к. лс ростет и для ботов он стал лакомым кусочком.

Скудные топики, разбросанные по всему сообществу, трудно находить. Более того — каждый из них решает только одну проблему (1 или 2). Поэтому хотелось бы подвести итоги по решению проблем с ботами и услышать от пользователей сообщества их решения и велосипеды по защите своих сайтов от «вредителей».

Кроме общих решений вроде «минимального рейтинга для публикации» также хотелось бы услышать эффективность решений вроде вставки дополнительных полей в форму регистрации через ЖС и в форму топика и сверки этих значений на бэкенде (если есть такие у кого хороший опыт по данным решениям).

Предлагаю в комментариях делиться соображениями по всем видам банов ботов, которые вы знаете и встречали и в итоге можем сложить самые лучшие работающие и эффективные решения.

27 комментариев

avatar
5 копеек от меня. Боты скорее всего регистрируются руками, если бы это делалось автоматически, то регистрация была сотнями, а то и тысячами. Регистрируются в основном с доменов yahoo.com, outlook.com, freemail.hu, mailcatch.com. Если отсечь эти домены, то количество регистраций ботов уменьшится на 90%.
У меня стоит премодерация, потому кроме дополнительной работы по удалению ботов со всем их содержимым не доставляют. Единственное негативное последствие — неправильно показывают счетчики подписанных на блоги.
avatar
Отсекайте. Плевать на то, что не только я пользуюсь почтами от outlook и yahoo.
avatar
У меня пользователей процентов 70 с mail.ru, 20% с рамблера, 5 % с gmail и чего то там еще…
avatar
Что у вас за сайт?
Дискриминация по почтовому адресу
avatar
Дискриминация..? Слабо сказано. Я тиран и деспот! :)=)
avatar
Скоро я представлю плагин комплексной защиты от ботов.
avatar
Убрать обычную регистрацию. Использовать авторизацию только через социальные сети.
avatar
Предлагаю перевести капчу на кирилицу.
Как я понимаю, нужно в файле engine ▸ lib ▸ external ▸ kcaptcha — kcaptcha_config.php переписать
# KCAPTCHA configuration file

$alphabet = "0123456789abcdefghijklmnopqrstuvwxyz"; # do not change without changing font files!

# symbols used to draw CAPTCHA
//$allowed_symbols = "0123456789"; #digits
//$allowed_symbols = "23456789abcdegkmnpqsuvxyz"; #alphabet without similar symbols (o=0, 1=l, i=j, t=f)
$allowed_symbols = "23456789abcdegikpqsvxyz"; #alphabet without similar symbols (o=0, 1=l, i=j, t=f)

под кирилицу и исправить файлы png в папке fonts

Правильно?
avatar
Не правильно..? ((
avatar
Не подскажете путь к папке Fonts?
avatar
да все там же — engine/lib/external/kcaptcha/fonts
avatar
Думаю от №1 поможет динамическая смена ссылки registration. Т.к. спам-программы натравливаются на эту ссылку. Вот как примерно это делается.
avatar
Аналогично регаются в-основном с yahoo.com, outlook.com, freemail.hu и небольшого процента других малоизвестных доменов. Есть сильное подозрение, что все-таки руками. Т.к. с капчей уже много экспериментов проводил, вплоть до смены на рекапчу, а реги все не прекращались. Пришел к мысли, что может помочь добавление контрольных вопросов на русском языке, ответ на которые сможет дать только соотечественник, т.к. подозреваю злоумышленников в иноземном происхождении. Хотя и не факт. Но просто это уже крайний вариант.
avatar
да, у меня тоже 90% c мыла на этих доменах.
avatar
Из своей практики — много сайтов на WP — всегда спасает плагин wordpress.org/extend/plugins/invisible-captcha/ (поставил и забыл )))

Принцип работы описан автором здесь — andrey.sorvin.ru/2009/09/nevidimaya-kapcha-kak-molcha-ignorirovat-ataku-spamerov-v-kommentariyakh/

Причем, боты активно регаются, но ничего не пишут и не комментируют. Вся проблема в том, что за регистрацию отвечает один механизм (включающий сервис ручного распознавания и ввода капчи, поверьте русская каптча тоже активно распознается индусами за копейки), а за публикацию уже отвечает тупой бот, который должен наклепать как можно больше материалов после состоявшейся регистрации. Вот тут и срабатывает защита — бот не способен нажать кнопку отправки формы ;) (Если это, конечно не натренировонный реальный браузер со скриптом автоматических действий — но это уже другая история, от которой защиты нет — такие меры применяются только для атаки на конкретный сайт).

Как я давно уже просил неких авторов — суть в использовании поведенческих факторов (нажатие кнопок отправки формы с уникальным идентификаторов завязанном на событии характеризующем реального пользователя), над которыми не заморачиваются ботописатели из-за накладности процесса (так как под каждый сайт нужны персональные настройки).

Однако, если защита будет вычислена — от целенаправленной атаки никакая защита не спасет ;)
avatar
Предлагаю написать плагин, который будет подтверждать регистрацию по номеру сотового телефона!
avatar
Реально бы спасла активация через код в смс. Минусы: удовольствие платное и нужен плагин, который будет отправлять код при регистрации через SMS Gateway.
Кто-то пытался уже делать такое?
avatar
Вы же не вахтёры, что бы не «пущать» без документа.
Нужна простая регистрация, это вам любой маркетолог скажет.
avatar
Какого документа, ты о чем вообще?
Мы здесь не маркетинг обсуждаем, а «эффективные решения по блокировке ботов».
Чем регистрация посредством смс — не эффективное решение против ботов?
avatar
Sapienti sat.
avatar
Ага давай, блесни латынью еще ))
Не надо быть маркетологом, чтобы понять, что нужен баланс между простотой и безопасностью. Это и так всем ясно.
avatar
Ранее предлагал, просто перепощу сюда.

Есть простой способ избавиться от ботов.
Сделать плагин в котором будет несколько написанных самим вебмастером простых вопросов и ответов.
Каждый вебмастер придумал свой вопрос и ответ, он уникальный. В плагине их задаёт вебмастер сам.
Фамилия президенда РФ — Путин.
Таких вопросов — ответов несколько.
Всё не один бот не пройдет. И не из за магии, а просто по тому что никто не будет пыхтеть над взломом отдельного сайта с уникальным вопросом. Просто уходим от массовости, от создания универсальной капчи на все случаи жизни и для любых сайтов, и вопрос решен.

Еще можно защитится от попадания в базу спамеров при сборе ими базы, убрать признаки ЛС типа © Powered by LiveStreet CMS и изменить путь к стандартной регистрации /registration/
avatar
Еще большинство спамеров постят сразу после регистрации (реальный юзер сначала коммент оставит, присмотрится), в Хрумере есть возможность сначала зарегистрироваться потом прийти запостить, но 95% этим не пользуются.
Можно не давать писать посты стразу.
avatar
И еще у спамеров есть базы ресурсов куда лучще не постить, т.к. аладельцы пищут абузы хостерам и спонсорам.
Можно спамеров их же оружием побить, простамить 10 наиболее активных по абузным местам, если будет на это коллективная воля.
avatar
Присоединюсь к такому начинанию, от себя могу выдать список ip спамеров за 3 месяца.
avatar
Тут нужны домены спамеров (посмотреть в спаме), но затея не совсем законна, нужен свободный от предрассудков Бетмен.
Я бы предложил более простой путь. Нужен топик с призывам написать абузы хостерам спамеров, спонсорам и тд (образцы). Если 100 вебмастеров напищут это будет поводом не спамить LS, но до индусов не дойдет все равно.
С айпи можно утонуть с рутине, постоянно добавляя их в базу для отказа доступа.
avatar
с вопрос-ответом поддерживаю!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.