Sicherheitsproblem ?

Ist mod_rewrite evt. deaktiv?

Das ist ein ganz "normaler" Spam bot. - Das Standard-CAPTCHA ist einfach ungenügend, da kommt mit den einfachen Standard-Parametern jeder Bot vorbei. Jedoch bin ich persönlich auch kein Fan von diesem Captcha, da er vor allem Menschen vor der Registrierung abhält. Ich hatte früher ganz gerne das Q&A-Plugin verwendet und damit 100% Bots abgehalten. - Ich hatte da zum Beispiel Fragen drin wie: Was ist das Produkt der Zahlen Fünf und Fünf? - Antwort: 25 oder fünfundzwanzig. - Man könnte natürlich auch mit den anderen Plugins testen was so funktioniert.

Die Bots sind in der Regel nicht auf bestimmte Seiten zugeschnitten und auch nicht besonders intelligent, daher hilft schon eine kleine Abweichung von der Standard-Prozedur. Es muss jedoch in jedem Fall ein leichter Denkprozess nötig sein, denn einfache Rechenaufgaben mit Standardschreibweise lösen auch viele Bots. Sowas wie "Was ist 1 + 1?" ist nicht besonders intelligent.

Eine weitere Methode wäre über die .htaccess für mehr Sicherheit zu sorgen. mod_rewrite sollte jedoch aktiv sein.

Ich habe mal Stardenver per mastodon zusätzlich kontaktiert, damit wir nicht untergehen im Spam

Moin Leute

Account und Spam ist gelöscht. Das mit Q&A halte ich für eine gute Idee. Werde ich heute mal angehen. Danke für die Hinweise. Account und Posts wurden bereits gelöscht.

Bei Q&A kann ich Fragen selbst vorgeben und die passenden Antworten. Antwortet der Registrierende nun auf eine solche Frage mit der richtigen Antwort, ist die Registrierung möglich.

Beispiel: Welches Betriebssystem entwickelt Microsoft
Antwort: Windows, windows, win, Windows 10

Ich kann mehrere richtige Antworten vorgeben

Könnte man nicht wie in einer Facebookgruppe neue User persönlich freischalten? Dieser eine russische User spammt wieder alles voll.
Und wenn sich einer neu anmeldet und es kommt einem komisch vor dann müsste es die Möglichkeit geben diesen erstmal anzufragen was er denn will, gibt es keine Antwort so gibt es auch keinen Einlass. So mache ich das im Facebook.

Boris hat ja scheinbar noch nichts am System geändert bzw hat vielleicht vergessen das andere System zu aktivieren (Q&A), also ich sehe immer noch das Standard-Captcha im Registrierungs-Dialog.

Die Mail-Authentifizierung ist eigentlich ausreichend. mod_rewrite muss aktiv sein und es müssen Bereiche des Forums für bots in der robots.txt gesperrt werden und über eine .htaccess Datei lassen sich bots sprerren, bzw laufen die ins Leere.

Aber ich glaube das habe ich schon mal geschrieben.

Zitat von nicoletta

Die Mail-Authentifizierung ist eigentlich ausreichend.

Nein, valide Mailserver können in wenigen Sekunden aufgesetzt werden und genau so können auch gültige DNS-Records (MX) und Domains registriert werden. Außerdem werden dafür auch genügend gehackte (echte) Mail-Accounts verwendet, die (Datenbanken) kann man sich für wenig Geld einfach kaufen und entsprechend durchprobieren. - Die Bots sind in der Lage den Aktivierungslink aus der E-Mail entsprechend zu erkennen und aufzurufen, dafür ist keine Zauberei nötig.

Zitat von nicoletta

es müssen Bereiche des Forums für bots in der robots.txt gesperrt werden

Wieso? An die robots.txt halten sich nur die "guten" Bots wie Google und Co.. - Spam-bots sind per Definition nicht gut und identifizieren sich selbst oft im User-Agent als normaler Browser-User, jedenfalls würde ich es so machen.

Zitat von nicoletta

über eine .htaccess Datei lassen sich bots sprerren, bzw laufen die ins Leere.

Hast Du das auch schon selbst umgesetzt? - Wie bereits erwähnt, eine Umleitung in Abhängigkeit der User-Agents ist den Aufwand nicht wert und in vielen Fällen nicht ohne Kollateralschäden umsetzbar.

Außerdem geht es doch viel einfacher, indem man einfach Q&A benutzt.

Zitat von nicoletta

Aber ich glaube das habe ich schon mal geschrieben.

genau

Zitat von phpBB Administrations-Bereich > Server-Konfiguration > Sicherheit

IP gegen Schwarze DNS-Liste prüfen:
Wenn aktiviert, wird die IP-Adresse des Benutzers bei der Registrierung und bei der Beitragserstellung gegen folgende DNSBL-Dienste geprüft: spamcop.net und http://www.spamhaus.org. Diese Prüfung kann, abhängig von der Serverkonfiguration, etwas Zeit in Anspruch nehmen. Wenn Verzögerungen oder zu viele falsche Ablehnungen beobachtet werden, sollte diese Prüfung deaktiviert werden.

Wenn man schon sperren einrichten möchte, dann wäre auch das eine Möglichkeit. Das dürfte standardmäßig nicht aktiviert sein. - Das Feature gibt es auch schon seit vielen Jahren in phpBB, damals nach Einführung hatte ich es jedoch nur kurz genutzt und dann wieder abschalten müssen, da der Anbieter auch immer wieder die dynamisch vergebenen Adressen von Endkunden-Anschlüssen in der Liste hatte. - Austragungen aus der Liste sind (waren?) schwierig und langwierig - Hier wäre ich auch vorsichtig, da müsste man schauen ob das inzwischen besser läuft.

Wenn Q&A verwendet wird sollten beispielsweise Umlaute in der Antwort verwendet werden. Q&A können auch schon bots überwinden, wenn auch nicht die Masse.

mega wichtig auch ein Verzeichnisschutz für den Adminbereich.

Die manuelle Freischaltung von User durch Admines ist natürlich immer noch der beste Filter.
Ausschlüsse über die .htaccess mit einschlägigen Einträgen reduziert die manuelle Arbeit.
bots können eine Forum auch völlig lahmlegen.
Richtig ist das lange Listen das Forum verlangsamen können. Dem lässt sich jedoch entgegnen mit Auslagern.

das die robots.txt von bad bots umgangen wird ist richtig. Jedoch lässt sich die Anzahl der Anfragen in einem Zeitfenster beispielsweise begrenzen.

ich kenne die aktuelle Standard .htaccess von phpBB nicht.

Ja ich betreue phpBB Foren in denen ich es genauso handhabe und es funktioniert. Set Jahren kein Ärger mehr.
ich habe aber auch gelesen das die .htaccess, in aktuellen Versionen, sich in Fragen Sicherheit verbessert hat.