Comment trouvent-ils la page "Enregistrement d'un nouvel utilisateur"? (Je suis particulièrement surpris car certains forums n'ont pas d'URL dédiée à cela, par exemple, www.forum.com/register.html, mais utilisent plutôt des chaînes de requête ou même d'autres méthodes invisibles pour la barre d'URL)
Ils trouvent de nouveaux sites par:
- Ramper et rechercher les signatures des logiciels connus. Il s'agit généralement d'un extrait de texte ressemblant à un copyright ou à une balise méta, mais il peut s'agir de n'importe quel identifiant cohérent. Cela s'applique généralement aux logiciels de blog et de forum.
- Inclusion manuelle. Les êtres humains, dont le travail est peu coûteux dans de nombreuses régions du monde, recherchent des logiciels ou des formulaires connus facilement exploitables et les ajoutent à une base de données. Cela s'applique généralement aux formulaires d'inscription et de contact personnalisés.
- Ils achètent des listes. Tout comme les adresses de courrier électronique sont vendues par des spammeurs, les listes de sites cibles vulnérables ou privilégiées sont également vendues.
Comment savent-ils quoi entrer dans chaque champ 'nouvel enregistrement d'utilisateur'?
Ils savent quoi entrer dans chaque champ en utilisant les noms de champs comme guide. 99,99% du temps, le champ d'adresse email est nommé "email" ou quelque chose contenant le mot "email". Vous n'êtes pas obligé d'être un spécialiste des fusées pour savoir que ce champ est probablement destiné à une adresse électronique. Pour des choses comme les noms, identifiant de connexion, adresses, etc., cela fonctionne sur le même principe.
Comment déterminent-ils en quoi une page peut spammer / entrer des données et ce qui ne l'est pas?
Ils s'en foutent. Les outils automatisés peuvent essayer autant de formulaires en si peu de temps et pratiquement sans frais. Il est donc tout à fait évident d'essayer tous les formulaires possibles. Lorsque le travail humain est impliqué, il peut s'agir de «script kiddies» et essayer les solutions évidentes pour voir s'il reçoit un type de réponse indiquant que le formulaire est potentiellement vulnérable. Fondamentalement, tout formulaire est une cible potentielle pour eux, de même que toute page acceptant les entrées de l'utilisateur.
Comment fonctionnent les spambots de forum?
Est-ce qu'ils ont même "vu" cette page? ..Si non, alors je supposerais qu'ils communiquent directement avec le serveur - comment est-ce possible? Comment font-ils?
D'où viennent les spambots? Une personne assise derrière l'ordinateur est-elle en train de ricaner pendant qu'elle regarde son bot détruire site après site? Ou sont-ils en train de ricaner alors qu'ils simplement le "libèrent" sur Internet? Les spambots sont-ils "gérés" par un ordinateur infecté quelque part? Est-ce qu'ils se reproduisent?
Tout est automatisé. Des outils tels que xrumer sont construits et vendus, et permettent d'exploiter des logiciels avec des vulnérabilités connues. Tout le monde peut l'acheter et après l'avoir installé, il fait plus ou moins feu et oublie. Il se rend sur tous les forums de sa liste et essaie de le spammer au mieux de ses capacités. Juste à cause de la force brute, il réussit et en vaut la peine pour les spammeurs. C'est pourquoi ils ne s'arrêtent jamais. Ils doivent à peine lever un doigt pour que cela fonctionne.
Les spambots de forum peuvent-ils briser les CAPTCHAs? Peuvent-ils résoudre des questions de logique (comment?)? Des questions mathématiques?
Oui, mais pas toujours Cela dépend de la qualité de son implémentation. Mais de nombreux captchas, y compris ceux proposés par les grandes entreprises, ont été battus et sont en réalité inutiles. C'est pourquoi plusieurs formes de protection sont nécessaires pour les arrêter. Même dans ce cas, les humains peuvent généralement battre n'importe quel système.
Quelles techniques sont encore valables pour les prévenir?
D'une réponse précédente : Vous pouvez faire plusieurs choses (et devriez en faire plus d'une), notamment:
1) Mettre un faux champ que seuls les bots verront. Ensuite, si ce champ est soumis avec le reste du formulaire, vous pouvez l'ignorer (et les interdire si vous le souhaitez). Vous pouvez également piéger les mauvais robots qui suivent un lien caché .
2) Utilisez un CAPATCHA comme reCAPTCHA
3) Utilisez un champ qui demande à l'utilisateur de répondre à une question du type 5 + 3. Tout être humain peut y répondre, mais un bot ne sait pas quoi faire, car il s'agit d'un champ à remplissage automatique basé sur le nom du champ. Donc, ce champ sera soit incorrect, soit manquant, auquel cas la soumission sera rejetée.
4) Utilisez un jeton et mettez-le dans une session et ajoutez-le également au formulaire. Si le jeton n'est pas soumis avec le formulaire ou ne correspond pas, il est automatisé et peut être ignoré.
5) Recherchez les soumissions répétées de la même adresse IP. Si votre formulaire ne doit pas recevoir trop de demandes mais qu'il est soudainement frappé par un bot, vous devez envisager de bloquer temporairement l'adresse IP.
6) Utilisez Akismet . C'est excellent pour identifier le spam.
Des programmeurs talentueux (si méchants) les écrivent - il y a probablement autant de types de spambots différents qu'il y a de personnes qui les écrivent mais, malheureusement, il suffit de quelques auteurs de spambots pour partager et vendre leur travail et ruiner leur vie pour les administrateurs ...
Une application populaire de spam sur un forum s'appelle "xrumer".
Bien que je sache que cela ne répond pas à toutes vos questions, je pense qu’il convient de mentionner que tout ce qu’un bot ne peut pas bien faire (comme résoudre des questions complexes de logique non statique) peut être fait par un travailleur mal payé à l’étranger. Le spamming est une activité très semblable aux autres et il ne manque pas de main-d'œuvre bon marché pour envoyer des spams.
la source
J'ai créé le plugin Anti-spam pour WordPress , il bloque le spam assez bien sans Captcha ou quoi que ce soit d'autre.
Comment ça marche: Deux champs supplémentaires sont ajoutés au formulaire de commentaires. Il y a d'abord la question de l'année en cours. Deuxième devrait être vide. Si l'utilisateur visite le site, le premier champ reçoit automatiquement une réponse en javascript, le second champ est laissé vide et les deux champs sont masqués et invisibles pour l'utilisateur. Si le polluposteur essaie de soumettre un formulaire de commentaire, il commettra une erreur de réponse dans le premier champ ou tentera de soumettre un champ vide et le commentaire de spam sera rejeté. L'utilisateur n'a pas besoin d'entrer Captcha ou quoi que ce soit d'autre pour prouver que ce n'est pas un bot, tout est créé en javascript.
Vous pouvez télécharger le plugin et utiliser le code pour résoudre le problème du spam sur votre site.
la source
Lorsque j'essaie de les vaincre, il ne faut pas oublier que leur objectif est généralement de publier des liens vers le plus grand nombre possible de sites Web pour le bénéfice du black-hat SEO.
Ils se soucient de la quantité de sites auxquels ils ont accès, et non de votre site en particulier. Une personne désirant simplement envoyer du spam à votre site pourrait tout simplement s’inscrire sans utiliser de robot.
En tant que tel, je suis à peu près sûr qu'un test sur mesure bien écrit (par exemple des questions pour lesquelles les membres du forum connaîtront la réponse) sera presque toujours plus efficace contre les robots que n'importe quel test pré-écrit dont les robots sont susceptibles d'être sages à.
Par exemple, si un robot craquait Recaptcha, il aurait accès à des millions de formes de spam. S'il craque un test sur mesure, il n'aura accès qu'à un seul site Web. Aucun robot anti-spam automatisé ne se donnera la peine de le faire.
https://www.projecthoneypot.org peut fournir de bonnes données à utiliser (par exemple, les mots clés et les ips à bloquer)
la source