Ich höre gerade
Patch für phpBB um Spam-Anmeldungen zu erschweren
19. Juli 2006 von Lars SchenkNachdem der Captcha-Code vom phpBB-Forum genackt wurde erhalte ich bei phpBB-Foren-Installationen immer mehr automatische Spam-Anmeldungen und entsprechende Spam-Beiträge. Leider scheint phpBB dem bisher nicht viel entgegenzusetzen. Mit einem einfachen Patch habe ich daher meine phpBB-Installationen gegen Spam-Anmeldungen geschützt.
Die RegBots greifen direkt auf die übermittlung der Anmelde-Formular-Information zu und setzen das für den “agreement screen” erforderliche “agreed=true”.
Da Web-Formular-Variablen CasE-sEnsiTivE sind kann man einfach den default lower-case Name “agreed” in eine andere Schreibweise verändern. Damit sind dann manuelle Anmeldungen weiterhin möglich, aber die RegBots die den Default-Parameter “agreed” bedienen wollen scheitern und bleiben draußen.
Die für den Patch betroffenen Dateien sind:
admin/admin_users.php
includes/usercp_avatar.php
includes/usercp_register.php
Mit dem Text-Editor sucht man nach “agreed” und ersetzt dies durch eine Kombination von Groß- und Kleinbuchstaben oder gleich mit einer anderen Parameterbezeichnung wie z.B. “IAmInAgreement”. Solange alle Referenzen auf diese Variable identisch sind funktionieren die Regiestrierung und das Ändern von Profildaten wie gewohnt - nur halt nicht für die RegBots die über den Default-Parameternamen versuchen das System zu umgehen.
Noch ein Hinweis für Benutzer wie mich, die den Editor VI verwenden: VI ersetzt nur das erste Vorkommen einer Zeichenkette in einer Zeile wenn man “:%s/agreed/AgReEd” verwendet. Und es gibt einige Stellen, wo die Zeichenkette “agreed” mehrmals in einer Zeile vorkommen. Also das Ersetzen mehrmals ausführen, bis alle Zeichenketten ersetzt wurden.
Kategorie: tech-recipes
Am 1. November 2006 um 11:41 Uhr
Hallo Lars,
habe Deinen patch (Ändern der agree-variablen) in mein board eingebaut und man kann sich immer noch registrieren. Man merkt keinen Unterschied. KLASSE!
Ob es tatsächlich funktioniert weiss ich im Moment nicht. Mein board ist noch in der Entwicklungsphase.
Oder gibt es so eine Art TestBot mit der man sein Board gegenüber Bots austesten kann (ähnlich wie ein Virustest oder Firewall-Test) ???
Schöne Grüße aus Dortmund
Michael
Am 17. November 2006 um 12:44 Uhr
hey!
das ist ein echt guter tip! hatte vile spamanmeldungen… und mich schon genervt, dass phpBB das problem nicht erkennt! mal schauen ob es jetzt weniger werden!
Am 25. November 2006 um 14:43 Uhr
[...] Nachdem ich bereits vor einigen Monaten mit einer recht einfachen Modifikation eine zunächst wirksame Maßnahme gegen den geknackten Captcha Code des phpBB Forums eingesetzt habe, stieg in den letzten Wochen die Zahl der Spambot-Anmeldungen bei Classic-Cadillac.com/forum wieder dramatisch an. Die Bösen hatten also aufgerüstet und ich musste in die nächste Runde im Kampf gegen die Spambots. [...]
Am 29. Dezember 2006 um 13:16 Uhr
…funktioniert ausgezeichnet!!! Habe seit reichlich 24h keine Spamanmeldungen mehr! Die manuelle Reg. funktioniert weiterhin einwandfrei. Vielen Dank für den Patch!
Sehr sehr nützlich!
Viele Grüße aus Plauen und einen guten Rutsch ins neue Jahr wünscht
RalfZ
Am 15. August 2007 um 16:08 Uhr
Hatte in letzter Zeit pro Tag an die 30 Spam-Anmeldungen auf drei Foren - mit dem einfachen agreed-Trick keine einzige mehr!
Danke!
Am 14. Oktober 2008 um 23:02 Uhr
Herzlichen Dank,
auch ich hatte ständig Probleme mit bis zu 10 Spam-Anmeldungen pro Tag und hätte nicht gedacht, dass es sich dabei um Bots handelt (schließlich müssen die ja das Captcha lösen). Doch nach Einfügen deines Patches waren die Spams schlagartig vorbei!
Vielen Dank nochmal dafür,
Dets …