Nachdem der Captcha-Code vom phpBB-Forum genackt wurde erhalte ich bei phpBB-Foren-Installationen immer mehr automatische Spam-Anmeldungen und entsprechende Spam-Beiträge. Leider scheint phpBB dem bisher nicht viel entgegenzusetzen. Mit einem einfachen Patch habe ich daher meine phpBB-Installationen gegen Spam-Anmeldungen geschützt.
Die RegBots greifen direkt auf die übermittlung der Anmelde-Formular-Information zu und setzen das für den “agreement screen” erforderliche “agreed=true”.
Da Web-Formular-Variablen CasE-sEnsiTivE sind kann man einfach den default lower-case Name “agreed” in eine andere Schreibweise verändern. Damit sind dann manuelle Anmeldungen weiterhin möglich, aber die RegBots die den Default-Parameter “agreed” bedienen wollen scheitern und bleiben draußen.
Die für den Patch betroffenen Dateien sind:
admin/admin_users.php
includes/usercp_avatar.php
includes/usercp_register.php
Mit dem Text-Editor sucht man nach “agreed” und ersetzt dies durch eine Kombination von Groß- und Kleinbuchstaben oder gleich mit einer anderen Parameterbezeichnung wie z.B. “IAmInAgreement”. Solange alle Referenzen auf diese Variable identisch sind funktionieren die Regiestrierung und das Ändern von Profildaten wie gewohnt – nur halt nicht für die RegBots die über den Default-Parameternamen versuchen das System zu umgehen.
Noch ein Hinweis für Benutzer wie mich, die den Editor VI verwenden: VI ersetzt nur das erste Vorkommen einer Zeichenkette in einer Zeile wenn man “:%s/agreed/AgReEd” verwendet. Und es gibt einige Stellen, wo die Zeichenkette “agreed” mehrmals in einer Zeile vorkommen. Also das Ersetzen mehrmals ausführen, bis alle Zeichenketten ersetzt wurden.
Hallo Lars,
habe Deinen patch (Ändern der agree-variablen) in mein board eingebaut und man kann sich immer noch registrieren. Man merkt keinen Unterschied. KLASSE!
Ob es tatsächlich funktioniert weiss ich im Moment nicht. Mein board ist noch in der Entwicklungsphase.
Oder gibt es so eine Art TestBot mit der man sein Board gegenüber Bots austesten kann (ähnlich wie ein Virustest oder Firewall-Test) ???
Schöne Grüße aus Dortmund
Michael
hey!
das ist ein echt guter tip! hatte vile spamanmeldungen… und mich schon genervt, dass phpBB das problem nicht erkennt! mal schauen ob es jetzt weniger werden!
Pingback: Lars-Schenk.com » Besserer Captcha Code für phpBB
…funktioniert ausgezeichnet!!! Habe seit reichlich 24h keine Spamanmeldungen mehr! Die manuelle Reg. funktioniert weiterhin einwandfrei. Vielen Dank für den Patch!
Sehr sehr nützlich!
Viele Grüße aus Plauen und einen guten Rutsch ins neue Jahr wünscht
RalfZ
Hatte in letzter Zeit pro Tag an die 30 Spam-Anmeldungen auf drei Foren – mit dem einfachen agreed-Trick keine einzige mehr!
Danke!
Herzlichen Dank,
auch ich hatte ständig Probleme mit bis zu 10 Spam-Anmeldungen pro Tag und hätte nicht gedacht, dass es sich dabei um Bots handelt (schließlich müssen die ja das Captcha lösen). Doch nach Einfügen deines Patches waren die Spams schlagartig vorbei!
Vielen Dank nochmal dafür,
Dets …
Herzlichen Dank auch!
funktioniert wirklich einwandfrei! Wirklich eine super Idee!!!
Beim nächsten Mal, wenn Spam-Einträge zu sehen sind, wird es vielleicht helfen, die Formular-Felder umzubenennen oder zu vertauschen. Ist meine Idee für das nächste Update. Mal sehen was die Zukunft so bringt…
Mfg
tiga
Hallo Leute, hab die Änderungen vorgenommen so wie beschrieben. Ein fast 100% iger Erfolg! Es kam an einem Tag nur eine Spam-Anmeldung.
Ich hab daraufhin die Formularfeldeigenschaften bzw. die Namen der Formularfelder geändert. register_user heisst jetzt anders. Einfach alle Dateien per Suchfunktion die entsprechenden php-Dateien finden und ändern. (die Bezeichnung der Formularfelder ändern!!!) Ich denke es wird jetzt noch besser funktionieren.
Eine Frage: Wie entfernt man aus der Vergangenheit die ganzen Spam-bot Einträge im phpbb-Admin Bereich???
P.S. bei Urlauberforum.com handelt es sich lediglich um ein Testforum wo ich in der Vergangenheit extrem viele Spam-bot-Einträge hatte…
Obwohl ich für mein Browser Strategiespiel Mythana das Forum erst vor ein paar Tagen eingerichtet habe, habe ich täglich ca. 10 Spam Anmelder. Ich habe deine Anleitung umgesetzt und hoffe, dass der Spam nun aufhört. :-) Recht herzlichen Dank!
Aramon
lange hab ich nach einer lösung für mein board gesucht, diese ist extrem einfach und funktioniert super, vielen dank dafür!
Um die massenhaften Spamanmeldungen zu verhindern habe ich schon auf Registrierung nur per Mail umgestellt, das kann ich nun rückgängig machen. Deine Lösung ist so einfach und simpel – aber man muß erst einmal drauf kommen.
Tausend Dank!
Hmm, an meinem Forum funktioniert der Trick nicht. Wahrscheinlich weil ich noch zusätzlich den Anti-Bot-Question-Mod drin hab. Muss ich da evtl. noch ne Datei editieren?
Gruß