Закрыть
Загрузка данных
Логин:   Пароль:      
Регистрация   Забыли пароль?

Поиск по Bigstreet:



Важные объявления:

Инвайты на bigstreet можно попросить здесь Регистрация по инвайтам это нормальная практика, чтобы отсеять лишних людей, спаммеров и автоматические программы регистрации. Все патчи будут находится только в закрытых сообществах!

Новое в лучших проектах:

И в деле, и на отдыхе сайт Домоседы.Ру - Ваш тайный советник

Все про бульдогов и их хозяев. Блог платформы - bigstreet.

СПОНСИРОВАНИЕ

15 горячих:
Закрыть
Загрузить:
Указать:
Выравнивание:    Копирайт:
Альт
Цвет шрифта Закрыть
Белый Розовый Серебряный Оливковый Красно-коричневый Лимонный Зеленый Темно-синий Желтый Красный Серый Фиолетовый Водный Зеленовато-голубой Голубой
Выделить маркером Закрыть
Розовый Серебряный Оливковый Красно-коричневый Лимонный Зеленый Темно-синий Желтый Красный Серый Фиолетовый Водный Зеленовато-голубой Голубой Черный
Смайлики ;) Закрыть
Улыбка Нахмуриться Подмигивание Язык Смех Смущение Нерешительность Сюрприз Поцелуй Вопль Класс Денежки Ошибся Невинность Плач Рот на замке

Спамеры атакуют сайты на основе bigstreet

Не знаю как вы, а я лично обратил внимание на то, что вот уже в течение 3-х дней сайты на основе bigstreet подвергаются спам-атаке. Заметил это на примере своего сайта, а также на других сайтах с открытой регистрацией — bigstreet.ru, flatlands.ru, lakefishing.ru и еще многих из тех, которые представлены в сообществе Powered by BigStreet. Я не знаю что это — спланированная акция или случайная брешь в коде, но проблема есть.

На всех сайтах т.н. пользователи (такие как ciyoquhi, litoxusi, lixodumi, juyeleyo, wadiquno, yunicamu, sayohana, munefeko, zodayofa, xoreleja, yoyusata, rofecefe, mizetone...) без труда проходят стандартную процедуру регистрации. Не думаю что это делается вручную — интервал между регистрациями примерно 1 час, время везде совпадает.

Скрипт (а скорее всего это скрипт) действует по схеме: регистрация > активация > редактировать профиль > оставить в поле 'адрес сайта' ссылку на сателлит.

Кто-то возможно посмеется и назовет меня параноиком, кто-то просто не обратит внимания на странные ники регистрирующихся и какие-то жалкие 10-20 ссылок...

У того, кому не приятно наблюдать, как его сайт превращают в линкопомойку есть несколько вариантов на выбор:

Решение закрытый сайт системой инвайтов не рассматриваем (хотя это, бесспорно, тоже выход.)

1. Самый простой вариант — закрыть от гостей поле 'адрес_сайта', чтобы поисковики не индексировали ссылки спамера (что видимо и сделано здесь, на bigstreet.ru). Правда, в этом случае никто не гарантирует, что в следующий раз ссылку не запостят в какое-нибудь другое поле.

2. Поставить плагин к Smarty, который все внешние ссылки будет фильтровать и выдавать через редирект. Будут проблемы, если на страницах есть оплаченные ссылки (в этом случае придется плагин немного подкрутить).

3. Добавить дополнительную проверку при регистрации — например вопрос без ответа на который регистрация будет невозможна.

4. Найти в Интернете любое другое решение (благо информации на тему защиты от спам-ботов достаточно).

Если это по какой-то причине сделать проблематично, то хотя бы измените стандартные настройки kcaptcha в файле vendors/kcaptcha/kcaptcha_config.php (длина и амплитуда).

Кстати говоря, на captcha.ru уже можно взять новую версию kcaptcha 1.2.6 (обращаю внимание, т.к. в версии альфа 0.2.1 — kcaptcha 1.2.5)

В идеале, конечно, использовать комплексные меры.

Еще можно закрыть доступ с засвеченного ботом-спамером IP адреса, сделав соответствующую запись в htaccess, но это не избавит от проблемы в будущем.
Впрочем, от проблем в будущем ничто не избавит =), но это не значит, что нам не нужно решать проблемы в настоящем.

P.S. Да, еще момент. В стандартном модуле blog можно оказывается запостить неприлично большое кол-во тегов при добавлении поста. Я об этом не знал, пока не поимел счастье выгребать больше нескольких сотен спамерских тегов из базы после пары сообщений, скажем так, рекламного характера. Хозяин-барин конечно, но я после этого случая поставил ограничение в данном поле по maxlength в разумных пределах, чего и вам советую.
Метки: защита сайта, оптимизация, регистрация, спам
tommyred 27 июля 2009 23:40 комментариев: 16
:) 3,18 :(
просмотров: 1557

Комментарии:
Еще вот что… не думаю, что всем стоит использовать какое-то одно универсальное решение (хотя в стандартной сборке доработать процедуру регистрации все-таки наверное имеет смысл). Ведь чем разнообразнее будут варианты защиты от спам-ботов на наших сайтах, тем сложнее спамерам будет корректировать свои скрипты.
tommyred tommyred   27 июля 2009 23:54
:) 1 :( #
Да, тоже наблюдаю ежедневно прирост новых посетителей на своем сайте :), с такими же никами и со ссылками в их профиле. Решил применить вариант номер 2 из вашего поста, а до кучи поставлю свою капчу которою придумывал сам в свое время, тогда станет мне понятно дыра это или обход стандартной капчи.
inetlover inetlover   28 июля 2009 10:05
:) 0 :( #
Странно… у меня на днях тоже зарегилась группа таких пользователей, но ссылок в профиле не ставили… наверное у меня на сайте что-то глючит :)
Finnr Finnr   28 июля 2009 13:54
:) 0 :( #
Да. Есть такое.
У меня 6 клонов...
Пишу им в поле user_password - "спамер детектед", а к user_reg_email в конце слеш добавляю...
redhummer redhummer   29 июля 2009 07:10
:) 0 :( #
помогает, пока это явление на обрело массовый характер
redhummer redhummer   29 июля 2009 07:11
:) 0 :( #
Дима это уже массовых характер.
kolobok kolobok   28 августа 2009 16:27
:) 0 :( #
хм… а у меня сейчас зарегился кто-то руками видимо, но с рекламной ссылой..

и мысль простая в голову пришла: отображать ссылки только людей с ненулевой кармой или силой… И жить спокойно. Ну пока что спокойно))
Finnr Finnr   30 июля 2009 14:20
:) 0 :( #
хм… а у меня сейчас зарегился кто-то руками видимо, но с рекламной ссылой..

и мысль простая в голову пришла: отображать ссылки только людей с ненулевой кармой или силой… И жить спокойно. Ну пока что спокойно))
Finnr Finnr   30 июля 2009 14:24
:) 0 :( #
Можно конечно и так, но отшить бота на стадии регистрации — гораздо важнее. Если регистрации ботов проходят удачно, то ваш сайт рано или поздно попадёт в базу вкусных для спамеров ресурсов…
Соответственно таблица юзеров будет пухнуть от возрастающего кол-ва «мертвых душ». А оно нам надо? А для тех, кто «ручками» да, можно сделать так, что определенные поля в профиле становятся доступны по мере увеличения рейтинга пользователя на сайте. Но дополнительно еще придется стрипать теги на выводе из текстовых полей профиля, т.к. запостить ссылку можно не только в поле «ваш сайт».
tommyred tommyred   30 июля 2009 14:58
:) 0 :( #
Не совсем понял, что делают спамеры, но вот тут многие наши сайты перечислены.
inetlover inetlover   4 августа 2009 15:32
:) 0 :( #
это для того, чтобы яндекс индексировал наши сайты лучше)) и их ссылки на них
Finnr Finnr   4 августа 2009 16:24
:) 0 :( #
Ну это не новость, на narode не один год уже помойка из подобных страниц. Регаются под левым ником на яндексе, автоматом создается сайт на народе. Этот сайт используют как площадку, т.к. бытует мнение, что сайты на народе яндекс индексирует в первую очередь (наверное так оно и есть =) это ж сервис яндекса ). Заметьте, перечислены не все сайты, а только те, где спамеры беспрепятственно зарегистрировали свои профили-клоны. (в данном случаем видим как под ником zendop01, пиарится сайт starfacts ) А ведь регистраций не одна и не две, разные ники… Для каждого видимо создается такой вот сайтег на народе.
tommyred tommyred   4 августа 2009 17:27
:) 0 :( #
Лично я для себя понял, особенно после нескольких установленных вордперссов, что механические решения, глупы. Подправить бота 5 минут. Надо делать индивидуальные решения.

Как вариант, — ловушки для ботов, предлагаю стандартные поля, такие как поле ввода mail'a, оставлять с класическим атрибутом name=«mail», но с классом, в котором visibility=«hidden»; а реально для пользователя, отображать поле для ввода mail с именем kurva. но обрабатывать как mail; и просто при регистрации, и постах, проверять на наличие текста в этих полях.

Думайте креативнее; и жить будет легче.
pomaxa pomaxa   4 августа 2009 19:21
:) 2 :( #
Действительно лучше придумать что-то свое, хотя за основу можно взять уже готовые решения. Хотя бы на том же сайте captcha.ru можно выбрать альтернативу. Но железной защиты нет, а единственный козырь против спамера при таком подходе — это то, что варианты можно (и скорее всего придется) менять время от времени.
tommyred tommyred   5 августа 2009 22:27
:) 0 :( #
просто, лично мне, иногда трудно понять что за надпис выдают эти каптчи. А ломаються… что каптчи, что левые подходы… с одинаковой скоростью. просто, пока твой сайт не являеться главной целью бота. То намного эффективней и разумней, ставить ловушки. Можно ещё JSом на лету что-то менять, например названия элементов формы.
pomaxa pomaxa   5 августа 2009 23:56
:) 0 :( #
не надо выдумыват велосипед, надо не усложнять, а упрощать. а это значит, что вместо того тчо бы обвешивать свой сайт кучей фич, которые только усложняют жизнь(процес регистрации, в данном случае). надо искать творческие решения.
pomaxa pomaxa   6 августа 2009 00:01
:) 0 :( #
Написать комментарий
Только зарегистрированные пользователи могут оставлять комментарии.





Подписаться на рассылку
"Бесплатный движок bigstreet.ru"


 
© 2008-2010. | О сайте | Инструкции | Обратная связь
© Powered by BigStreet RC1-maps Сервис коротких адресов
www.webmoney.ru Участник проекта CMS Magazine


Работа с БД:
 Время - 0.003
 Запросов - 8 		Работа с кэшем:
 Время - 0.9107
 Записей - 2
 Прочтений - 5 		Общее время:
 0.9585