Was macht Mailformulare so interessant?
Linuchs
- menschelei
Guten Morgen,
nach langer Zeit der Ruhe habe ich jetzt wieder einen starken Missbrauch meiner Mailformulare zu beklagen. Ich verstehe nicht, warum sich jemand die Mühe macht, trotz Abfrage einer Rechenaufgabe und automatischer "Korrektur" des Textes (keine Links möglich) so einen Schwachsinn zu versenden:
"Nachricht von ahwouyespm:
iFQMD4 (a h_ref =" h_ttp ://zaqeueubgmgz.com/")zaqeueubgmgz(/a), [ u_rl = h_ttp ://kelmhczioxwv.com/]kelmhczioxwv[/ u_rl ], [link= h_ttp ://dleqdithfhmj.com/]dleqdithfhmj[/link], h_ttp ://spbyhxosumkj.com/"
Der Text wird vor dem Versand auch noch in der "korrigierten" Version angezeigt und trotzdem verschickt.
Welchen Sinn macht das?
Linuchs
Moin Linuchs,
Welchen Sinn macht das?
Das ist ein Bot, der Spam verschickt. Der einzige Sinn ist, dich auf die URL zu lotsen. Wenn man Millionen von solchen Nachrichten verschickt, sind vielleicht 20% dabei, die auf die URL klicken.
Die Bots sind ziemlich gut geworden, mit den meisten selbstgebauten Captchas kommen sie gut klar, der Aufwand ist also gering. Und das einzige, was die tun, ist das Web zu crawlen. Du bist also eher nicht speziell als Ziel ausgesucht worden.
LG,
CK
Hallo,
Welchen Sinn macht das?
Das ist ein Bot, der Spam verschickt. Der einzige Sinn ist, dich auf die URL zu lotsen. Wenn man Millionen von solchen Nachrichten verschickt, sind vielleicht 20% dabei, die auf die URL klicken.
ja klar, aber dann würde man die URLs doch wenigstens korrekt und potentiell klickbar formulieren, und nicht mit künstlich eingefügten Blanks oder Unterstrichen verstümmeln. So muss ein "Opfer" die Adressen ja erst noch abtippen (oder C&P) und dabei korrigieren.
Du bist also eher nicht speziell als Ziel ausgesucht worden.
Davon darf man wohl ausgehen. :-)
Ciao,
Martin
Meine Herren,
Das ist ein Bot, der Spam verschickt. Der einzige Sinn ist, dich auf die URL zu lotsen. Wenn man Millionen von solchen Nachrichten verschickt, sind vielleicht 20% dabei, die auf die URL klicken.
ja klar, aber dann würde man die URLs doch wenigstens korrekt und potentiell klickbar formulieren, und nicht mit künstlich eingefügten Blanks oder Unterstrichen verstümmeln. So muss ein "Opfer" die Adressen ja erst noch abtippen (oder C&P) und dabei korrigieren.
Nach meinem Verständnis stammen die "Verstümmelungen" vom OP und nicht vom Bot selbst.
Moin Martin,
ja klar, aber dann würde man die URLs doch wenigstens korrekt und potentiell klickbar formulieren, und nicht mit künstlich eingefügten Blanks oder Unterstrichen verstümmeln.
Das ist ein Mittel, mit dem gegen die Bayan-Filter versucht wird vorzugehen. h\_ttp
ist halt ein anderes Wort mit einer anderen Gewichtung als http
.
LG,
CK
Hallo
Das ist ein Mittel, mit dem gegen die Bayan-Filter versucht wird vorzugehen.
h\_ttp
ist halt ein anderes Wort mit einer anderen Gewichtung alshttp
.
wie schon angemerkt, "korrigiert" der OP die URLs selbst.
Moin tron,
Das ist ein Mittel, mit dem gegen die Bayan-Filter versucht wird vorzugehen.
h\_ttp
ist halt ein anderes Wort mit einer anderen Gewichtung alshttp
.wie schon angemerkt, "korrigiert" der OP die URLs selbst.
Nein, das auseinanderziehen und einstreuen von Interpunktion habe ich schon oft beobachtet. Das passiert wirklich.
LG,
CK
wie schon angemerkt, "korrigiert" der OP die URLs selbst.
Nein, das auseinanderziehen und einstreuen von Interpunktion habe ich schon oft beobachtet. Das passiert wirklich.
Ich ersetze Stichworte
$arr_search = array('href','http','url','www');
$arr_replace = array(' h_ref ',' h_ttp ',' u_rl ',' w_ww ');
$text = str_replace( $arr_search, $arr_replace, $text);
und wenn der ersetzte Text vom ursprünglichen abweicht, biete ich ihn nochmal an. Der Nutzer muss also nochmal klicken. Dieser Extra-Klick war hier im Forum doch auch mal als Spamschutz gepriesen.
Linuchs
Tach Christian,
Nein, das auseinanderziehen und einstreuen von Interpunktion habe ich schon oft beobachtet. Das passiert wirklich.
stimmt, so was ist mir auch schon aufgefallen. Aber was soll die Sache mit den Phantasie-URLs (e.g. zaqeueubgmgz.com)? Ich hatte ja mal die Vermutung, dass das quasi Markierungen sind, die zum Beispiel für andere Bots im Netzwerk in irgendeiner Art und Weise dienlich sind, zum Beispiel für gezielte Angriffswellen.
Hallo Christian,
Das ist ein Bot, der Spam verschickt. Der einzige Sinn ist, dich auf die URL zu lotsen. Wenn man Millionen von solchen Nachrichten verschickt, sind vielleicht 20% dabei, die auf die URL klicken.
Nein, kann nicht sein. Die genannten URLs gibt es gar nicht: zaqeueubgmgz.com, kelmhczioxwv.com, dleqdithfhmj.com
Und ein Bot kann Rechenaufgaben erkennen und das Ergebnis eintragen? Okay, dann werde ich die Zahlen als Worte schreiben.
Linuchs
Om nah hoo pez nyeetz, Linuchs!
Und ein Bot kann Rechenaufgaben erkennen und das Ergebnis eintragen? Okay, dann werde ich die Zahlen als Worte schreiben.
Captchas stellen keine wirkliche Herausforderung für einen bot dar. [1]
Für Menschen hingegen sind sie bestenfalls einfach nur lästig, deshalb gibt es unter anderem http://www.9kw.eu/.
Matthias
Hallo Matthias,
Für Menschen hingegen sind sie (Captchas) bestenfalls einfach nur lästig, deshalb gibt es unter anderem http://www.9kw.eu/.
Nicht nur lästig. Oft erkenne ich die Schrift nicht. Soll ein senkrechter Strich nun ein i, ein I, ein l oder eine 1 sein? Das ist ja schon bei normaler sans-serif Schrift schlecht zu erkennen.
Auch unmöglich, wenn man - so wie ich - Cookies gesperrt hat. Da füllt man ein Formular aus und dann passiert beim Absenden irgendwas unerwartetes. Mal ist der Schirm leer, mal das Formular, das wieder eingeblendet wird oder ein neues Captcha kommt. Ebenso unnütz.
Jetzt schaue ich erst, ob ein Captcha zu lösen ist. Wenn ja, spare ich mir die Mühe.
Linuchs
Moin Linuchs,
Das ist ein Bot, der Spam verschickt. Der einzige Sinn ist, dich auf die URL zu lotsen. Wenn man Millionen von solchen Nachrichten verschickt, sind vielleicht 20% dabei, die auf die URL klicken.
Nein, kann nicht sein. Die genannten URLs gibt es gar nicht: zaqeueubgmgz.com, kelmhczioxwv.com, dleqdithfhmj.com
Ja, ich weiß. Ich vermute hier Unfähigkeit. Oft genug sieht man ja sogar Platzhalter im Spam. Und oft genug sind bei mir die URLs auch echt.
Und ein Bot kann Rechenaufgaben erkennen und das Ergebnis eintragen? Okay, dann werde ich die Zahlen als Worte schreiben.
Bringt nix. Schon probiert. Die einfachen Captchas sind geknackt, nichtmal Systeme wie Recaptcha funktionieren noch sauber: ein Kumpel von mir hat Kommentare abgeschaltet, weil Recaptcha keinen Schutz mehr bot.
LG,
CK
iFQMD4 (a h_ref =" h_ttp ://zaqeueubgmgz.com/")zaqeueubgmgz(/a), [ u_rl = h_ttp ://kelmhczioxwv.com/]kelmhczioxwv[/ u_rl ], [link= h_ttp ://dleqdithfhmj.com/]dleqdithfhmj[/link], h_ttp ://spbyhxosumkj.com/"
Gespammt wird, um Geld zu verdienen. Das gilt auch dann, wenn versucht wird Viren oder Trojaner zu verbreiten. Gibt es die Domains nicht, so gehe einfach davon aus, dass deren Namen Strings sind, nach denen später mit Google & Co. gesucht wird. Dann sammelt jemand Adressen, die er später an Kriminelle verkaufen kann.
Hier meine aktuelle Version des Spamfilters für Mail- und sonstige Formulare:
<?php
function ftx_is_spam($str) {
# Muster: Eintrag beginnt mit Link:
$arMuster[]='^http:\/\/';
$arMuster[]='^<a href';
$arMuster[]='^\[url=';
#3 Links:
$arMuster[]='http:\/\/.*http:\/\/.*http:\/\/';
#5 Sonderzeichen aufeinander
$arMuster[]='&#[0-9A-F]{2,3};&#[0-9A-F]{2,3};&#[0-9A-F]{2,3};&#[0-9A-F]{2,3};&#[0-9A-F]{2,3};';
#Spam-Begriffe
$arMuster[]='tramadol]';
$arMuster[]='viagra';
$arMuster[]='cialis';
$arMuster[]='prozac';
$arMuster[]='pharmacy';
$arMuster[]='fluotextine';
$arMuster[]='charts';
$arMuster[]='investing';
$arMuster[]='cheap';
$arMuster[]='sacher[- ]finanz';
$arMuster[]='thepowerlevel.com';
$arMuster[]='well-racking.com';
$arMuster[]='hcracking.com';
$arMuster[]='doxyciline';
$arMuster[]='investment';
$arMuster[]='trading';
$arMuster[]='profit';
$arMuster[]='dollars';
$arMuster[]='farming';
$arMuster[]='watches';
$arMuster[]='replica';
$arMuster[]='gucci';
$arMuster[]='click here';
####### excec! #################
$replace['i']='########I#######';
$replace['l']='########I#######';
$replace['o']='########O#######';
$replace['a']='########A#######';
$replace['c']='########C#######';
$replace['z']='########C#######';
$replace['########I#######']='[il1]';
$replace['########O#######']='[o0]';
$replace['########A#######']='[a@]';
$replace['########C#######']='[czxs]';
$str=trim(strtolower($str));
$arKeys=array_keys($replace);
foreach ($arMuster as $strMuster) {
foreach ($arKeys as $key) {
$strMuster=str_replace($key, $replace[$key], $strMuster);
}
if (preg_match('/'.$strMuster.'/', $str)) {
ftx_SpamdetectDie();
return true;
}
}
return false;
}
function ftx_SpamdetectDie() {
header("HTTP/1.0 403 Forbidden",true,403);
die('
<html style="margin:20%">
<h1>Spam erkannt!</h1>
<p>Falls Sie nicht zu spammen versuchten: Gehen Sie zurück gegen Sie weniger Urls ein, vermeiden Sie Begriffe wie Viagra etc.<p>
<p><a href="http://translate.google.de/#de/en/Spam%20erkannt!%0A%0AFalls%20Sie%20nicht%20zu%20spammen%20versuchten%3A%20Gehen%20Sie%20zur%C3%BCck%20gegen%20Sie%20weniger%20Urls%20ein%2C%20vermeiden%20Sie%20Begriffe%20wie%20viagra%20etc.">Translate this for me.</a></a>
</html>
');
}
/*
#Test:
$str='gtlhmgbtujy, <a href="http://www.fuclgkbbnh.com">iqjfunnsej</a> , [url=http://www.kvhpydjclx.com]tqgiacfovj[/url], http://www.bsgnbtiyhn.com iqjfunnsej, http://www.bsgnbtiyhn.com iqjfunnsej';
#$str='Kaufen Sie Vi@gr@!';
#$str='http://kkkk http://gghjgh http://liliul';
#$str='<a href="http://bigzgzgjzg">bigzgzgjzg</a>';
#$str='';
echo ftx_is_spam($str);
*/
Der Spamfilter ist gewiss weder toll noch schön - er funktioniert aber.
Ansonsten ist es noch hilfreich Suchmaschinen mitzuteilen, das es unerwünscht ist, Webseiten mit Mailformularen anzubieten. Man kann auch den Zugriff für Crawler in der robots.txt verbitten.
Dabei aber keineswegs die Adresse konkret benennen, sonst macht man sie den Crawlern des Packs ja erst schmackhaft:
Disallow: /konta*
(matcht kontakt.php kontakt.html ...)
Dabei aber keineswegs die Adresse konkret benennen, sonst macht man sie den Crawlern des Packs ja erst schmackhaft:
Disallow: /konta*
(matcht kontakt.php kontakt.html ...)
Würde ich nicht empfehlen. Macht man mal und dann gerät es in Vergessenheit. Die englische "/contact.html" fällt durch. Schlimmer noch, false positives:
/kontaktlinsen.html
/kontaktallergie.html
/kontaktgrill.html