LINUX.ORG.RU
ФорумAdmin

[Спам] Обход капчи? Откуда эта гадость лезет?

 


0

1

На моем маленьком и скромном сайте в форуме и в гостевой книге в день появляется одно-два спаммерских сообщения.

Сообщения следующего вида:

1. car insurance :[[[ cheap auto insurance hokjnx
(IP 205.202.120.216)

2. cialis online uur order viagra yinnq
(IP 97.74.204.93)

На форуме можно писать без регистрации от гостя, но отправка поста защищена капчей PunBB, которая выглядит так:

http://i.piccy.info/i5/01/62/1846201/scr_215.jpg

В самодельной гостевой книге сделана самодельная капча, которая выглядит так:

http://i.piccy.info/i5/04/62/1846204/scr_216.png


Вопросы: кто пихает спам в форум и гостевуху? Робот или человек? Индусы за 0.000001 денег за распознанную капчу? Можно ли от этого защититься?

Пару сообщений в день удалить несложно, но запустишь на неделю, и уже 15 левых сообщений будет болтаться на сайте.

имя файла картинки с каптчей отдается юзеру как хеш? Тогда, расхешировать проблем не составляет роботу.

anonymous
()

Вопросы: кто пихает спам в форум и гостевуху? Робот или человек? Индусы за 0.000001 денег за распознанную капчу? Можно ли от этого защититься?

Робот

Индусы за 0.000001 денег за распознанную капчу?

бинго

Можно ли от этого защититься?

нельзя, только премодерация спасет

xtraeft ★★☆☆
()

Я тут как-то давно на ЛОРе кинул ссылку на одну свою поделку. Так мне сразу же в день по 10 спамерских сообщений стало приходить. После запиливания рекапчи как рукой сняло.

SOmni ★★
()

Капчу пунбб хрумер решает, самодельную в гостевухе он решает через сервис с индусами. Поменяй имена полей формы либо добавь к форме вопрос как на некоторых форумах типа: «вы не робот?». После таких изменений хрумер не пройдёт. Ну если конечно хрумеровод не добавит в базу новые поля или ответ на вопрос. И да, рекапчу хрумер решает.

PoMbl4
()
Ответ на: комментарий от PoMbl4

А капчу по типу «Сколько будет 5 минус 1 плюс 4? Ответ числом: » решает? Интересует именно хрумер, т.к простым скриптом wget+awk+grep понятно что решается.

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

Решает, там есть файл, в котором лежат соответствия: минус=-, плюс=+ и т.д. В конечном итоге все сведется к «5 - 1 + 4».

PoMbl4
()
Ответ на: комментарий от PoMbl4

воистину опасны знания и талант, если ими обладает человек, мыслящий нехорошее.

Komintern ★★★★★
()
Ответ на: комментарий от PoMbl4
<p>Сколько будет 5 <span class="mathsign"><span class="clksld__3f3_3"></span><span class="bbnfk2ld_dd3_d2"></span></span> 1 <span class="mathsign"><span class="clksld__3f3_3"></span><span class="cfwds4dClksld__b5f_12"></span></span> 4? Ответ числом: </p>

Ну и соответственно, в цсс делаем span.clksld__3f3_3 залитым горизонтальным прямоугольником, span.bbnfk2ld_dd3_d2 - пустым, а span.cfwds4dClksld__b5f_12 - вертикальным, и позиционируем их относительно span.mathsign так, чтобы при наложении давали знак «+». Аналогично с знаками ":" и «*».

И да, при каждой выдаче страницы можно кусок css отдавать внутри хтмл или отдельным урлом, рандомно генерируя имена классов.

Распознает этот ваш хрумер такое?

GateKeeper ★★
()
Ответ на: комментарий от GateKeeper

Нет, он и работает благодаря тому, что на большинстве форумов нет таких изощренных защит. Разбор страниц у него довольно примитивный.

PoMbl4
()
Ответ на: комментарий от GateKeeper

Распознает этот ваш хрумер такое?

Неплохая идея!

real_kas
()

Всё весьма бананно. Вашу каптчу скчивают и показывают на другом сайте чтобы открыть доступ к порнухе. ее вводят малолетние задроты, далее правильный ответ вводится на твоем сайте. ПРОФИТ!

mmarkk
()
Ответ на: комментарий от mmarkk

Да, чтобы не заморачиваться лишними действиями, доступ к этой порнухе они показывают в любом случае, даже при неверно введенной каптче. но дрочеры об такой фиче не догадываются и всегда стараются указать верный ответ.

Другими словами: каптчей защититься нельзя. Можно правда ограничить доступ только среди россиян, написав на каптче русским текстом что-нибудь. Тогда кстати и индусам будет внезапно, очень неприятно.

mmarkk
()
Ответ на: комментарий от mmarkk

Можно примерную схему этих проксей?

Ифрейм с заранее заполненными полями формы, защищенной капчей? Или как? Что происходит в случае, если капча привязывается к адресу и другим параметрам пользователя, ее запросившего?

GateKeeper ★★
()

странно, что до сих пор не упомянули матанкапчу, она, кстати, заодно и «школьников» хорошо фильтрует :)

shty ★★★★★
()
Ответ на: комментарий от GateKeeper

Да какая разница..... злоумышленник для тебя представится браузером. а картинку, скачанную корректным образом, покажет в другом месте.

Всякие жабаскрипты, фреймы и прочие херни защищают от прямого показа каптчи (когда порнозритель своим браузером качает её у тебя)

mmarkk
()

от индусов спасался кириллической капчей

Ingwar ★★★★★
()
Ответ на: комментарий от GateKeeper

Каг-бе каптча-прокси:

1. [порно-браузер] ------GET /captcha.jpg ----> [прога_на_сервере_геев] ----GET /gencptch.php---> твой_сервер
2. [порно-браузер] -GET /answer.cgi?answ=1234-> [прога_на_сервере_геев] -GET /answer.php?a=1234-> твой_сервер

mmarkk
()
Ответ на: комментарий от mmarkk
<link rel="stylesheet" type="text/css" href="/generated/styles/captcha" />
<div class="captcha">
<p>Сколько будет 5 <span class="mathsign"><span class="clksld__3f3_3"></span><span class="bbnfk2ld_dd3_d2"></span></span> 1 <span class="mathsign"><span class="clksld__3f3_3"></span><span class="cfwds4dClksld__b5f_12"></span></span> 4? Ответ числом: </p>
<input type="text" name="captcha" />
</div>

Классы спанов генерируются рандомно. Стили этих классов генерируются по урлу вверху. На решение задачи 10-30 секунд, далее перегенерация задачи. Токен в урлах не светится, в куках тоже, живет так же 10 секунд. Задача на 5 секунд для школьника нулевого класса. Успеют забрать страницу, геренированный цсс, показать у малыша, получить ответ и вернуть его оригинальному серверу?

GateKeeper ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.