水龙头如何工作?


43

我有一个论坛,这个论坛经常受到突如其来的骚扰,当然,击败某件事的最好方法就是认识你的敌人。我担心以后会打败那些笨拙的人,但是现在我想了解更多关于它们的信息。到处阅读,我对缺乏关于该主题的详尽信息感到惊讶(或者我可能没有能力输入正确的搜索词来获得更好的Google搜索结果)。

我对学习水龙头充满兴趣。我在其他论坛上问过,得到了诸如“垃圾邮件始终是您在您的网站上注册的用户”之类的简要答案。

  • 论坛垃圾邮件如何运作?
  • 他们如何找到“新用户注册”页面?(我特别感到惊讶,因为某些论坛对此没有专用的URL,例如www.forum.com/register.html,而是使用查询字符串或URL栏不可见的其他方法)
  • 他们如何知道要在每个“新用户注册”字段中输入什么?
  • 他们如何确定他们可以向哪些页面发送垃圾邮件/向其中输入数据,什么不可以?
  • 他们是否甚至“查看”此页面?
  • ..如果没有,那么我假设他们直接与服务器通信-怎么可能-这可能吗?他们是如何做到的呢?
  • 论坛的垃圾邮件发送程序可以破坏验证码吗?他们可以解决逻辑问题(如何?)?数学问题?
  • 他们会对客户端反机器人验证脚本进行反向工程吗?服务器端脚本?
  • 哪些技术仍然可以防止它们发生?
  • 塞子从哪里来?坐着计算机的人看着他们的机器人在一个站点到另一个站点销毁时,他们是否在窃笑?还是他们只是因为以某种方式将其“释放”到互联网上而在窃笑?受感染的计算机是否在某些地方“冒充”垃圾邮件?他们会自我复制吗?
  • 等等

Answers:


48

他们如何找到“新用户注册”页面?(我特别感到惊讶,因为某些论坛对此没有专用的URL,例如www.forum.com/register.html,而是使用查询字符串或URL栏不可见的其他方法)

他们通过以下方式找到新站点:

  • 爬行并寻找已知软件的签名。通常,这是一段文本,例如版权或元标记,但它可以是任何一致的标识符。这通常适用于博客和论坛软件。
  • 手动包含。在世界许多地方,劳动力廉价的人们正在寻找易于开发的已知软件或形式,并将其添加到数据库中。这通常适用于自定义注册和联系表格。
  • 他们购买清单。就像垃圾邮件发送者出售电子邮件地址一样,也出售已知的易受攻击者或首选目标站点列表。

他们如何知道要在每个“新用户注册”字段中输入什么?

他们通过使用字段名称作为向导来知道要输入每个字段的内容。99.99%的时间将电子邮件地址字段命名为“ email”或包含单词“ email”的名称。您不必是火箭科学家,就可以知道该字段可能是电子邮件地址。对于名称,登录ID,地址等,它的工作原理相同。

他们如何确定他们可以向哪些页面发送垃圾邮件/向其中输入数据,什么不可以?

他们不在乎。自动化工具几乎可以在短时间内免费试用这么多种表格,因此尝试每种可能的表格都非常容易。当涉及到人工时,他们可以成为“脚本小子”,并尝试使用显而易见的东西,看看是否得到任何表明该形式可能脆弱的响应。基本上,任何形式都是它们的潜在目标,就像接受用户输入的任何页面一样。

论坛垃圾邮件如何运作?

他们是否甚至“查看”此页面?..如果没有,那么我假设他们直接与服务器通信-怎么可能-这可能吗?他们是如何做到的呢?

塞子从哪里来?坐着计算机的人看着他们的机器人在一个站点到另一个站点销毁时,他们是否在窃笑?还是他们只是因为以某种方式将其“释放”到互联网上而在窃笑?受感染的计算机是否在某些地方“冒充”垃圾邮件?他们会自我复制吗?

都是自动化的。诸如xrumer之类的工具已经制造,销售,并且包含利用已知漏洞利用软件的能力。任何人都可以购买它,设置它之后,它或多或少会引起火灾而忘记了。它会进入列表中的每个论坛,并尽其所能向其发送垃圾邮件。仅仅由于蛮力,它对于垃圾邮件发送者来说是成功的,也是值得的。这就是为什么他们永不停止。他们只需要松开手指就可以工作。

论坛的垃圾邮件发送程序可以破坏验证码吗?他们可以解决逻辑问题(如何?)?数学问题?

是的,但并非总是如此。取决于其实施的良好程度。但是,许多验证码,包括大公司提供的验证码,遭到了殴打,实际上没有用。这就是为什么需要多种形式的保护来阻止它们的原因。即使那样,人类通常也可以击败任何系统。

哪些技术仍然可以防止它们发生?

根据先前的回答:您可以做几件事(并且应该做更多的事情),包括:

1)放置一个只有机器人才能看到的假字段。然后,如果该字段与表单的其余部分一起提交,则可以忽略它(并根据需要禁止它们)。您还可以捕获遵循隐藏链接的恶意机器人

2)像reCAPTCHA一样使用CAPATCHA

3)使用一个要求用户回答5 + 3之类的问题的字段。任何人都可以回答该问题,但由于它会根据字段名称自动填充字段,因此机器人不知道该怎么办。因此,该字段将不正确或丢失,在这种情况下,提交将被拒绝。

4)使用令牌并将其放入会话中,并将其添加到表单中。如果令牌未与表单一起提交或不匹配,则它是自动的,可以忽略。

5)寻找来自同一IP地址的重复提交。如果您的表单不会收到太多请求,但是突然有可能它被机器人击中了,您应该考虑暂时阻止该IP地址。

6)使用Akismet。它非常适合识别垃圾邮件。


5
+1为彻底的答案。我遇到了垃圾邮件问题,并实现了隐藏的表单元素,并将其命名为“ email” /“ mail”,并将真实的电子邮件地址输入命名为“ address”。不再有垃圾邮件!
2010年

1
关于如何处理巨魔的好帖子(对于垃圾邮件专家的想法是相同的):codinghorror.com/blog/2011/06/suspension-ban-or-hellban.html
ercpe 2012年

对于验证码,取决于他们使用什么工具来击败它们。有些软件程序有时(并非总是)通过验证码,然后有些服务使用廉价的劳动力来解决验证码,并且这些程序具有较高的成功率。
ub3rst4r 2012

11

论坛垃圾邮件如何运作?

才华横溢(如果是邪恶的)程序员编写它们-可能有各种各样的垃圾邮件程序与有人在编写它们一样多,但是,不幸的是,这只需要几个spambot作者共享和出售他们的作品即可破坏管理员的生活...

一种流行的论坛垃圾邮件应用程序称为“ xrumer”。

虽然我意识到这并不能回答您的所有问题,但我认为值得一提的是,机器人不能做的任何事情(例如解决复杂的非静态逻辑问题)都可以由海外低薪工人完成。垃圾邮件的处理与其他任何事情一样,并且不乏廉价劳动力将垃圾邮件发送到那里。


4
我感觉就像只是看着一头母牛在肉厂里被加工。但是内容丰富。
rlb.usa 2010年

有趣的视频,有趣的是它是圣诞节前夕。日期是2006年12
错误

阿克!显然不是那么有才华。。。这个程序让我想起了FriendBlaster(我们以前在工作中使用它-我反对它,但老板不听)。我毫不怀疑作者投入该程序的时间和精力。但是,老实说,没有什么执行起来很难实现(在FriendBlaster的情况下实现起来很差)。骇人听闻的是,黑客和安全研究人员在漏洞发布后几周内开发了攻击并破坏了DRM方案。
冒犯君主

2

为WordPress创建反垃圾邮件插件,它在没有Captcha或其他任何内容的情况下可以很好地阻止垃圾邮件。

它是如何工作的:在注释表单中添加了两个额外的字段。首先是有关本年度的问题。第二个应该是空的。如果用户访问站点,则第一个字段将自动使用javascript回答,第二个字段留空,并且两个字段对于用户都是隐藏和不可见的。如果垃圾邮件发送者试图提交评论表格,他将在第一个字段上回答错误或尝试提交空白字段,垃圾邮件评论将被拒绝。用户不必输入验证码或其他任何证明它不是机器人的东西,一切都是由javascript制作的。

您可以下载该插件,并使用该代码解决您网站上的垃圾邮件问题。


1
因此,您的用户需要javascript才能注册?那是可访问性的损失,对吗?
Augustin Riedinger 2014年

@AugustinRiedinger具有禁用的javascript的反垃圾邮件插件的作用类似于简单的captha方法。大约有不到2%的用户禁用了javascript。
webvitaly 2014年

您是说要在这种情况下显示验证码,对不对?我知道那里的用户很少,但是我在考虑最佳实践。虽然阅读有趣的事情
Augustin Riedinger 2014年

@AugustinRiedinger是的,如果用户禁用了javascript,我会显示类似有关今年的验证码的问题。
webvitaly 2014年

0

当试图打败他们时,我要记住的一件事是,它们的目的通常是为了吸引更多的SEO利益而发布指向尽可能多网站的链接。

他们关心的是可以访问的网站数量,而不是您的网站。只是想只向您的网站发送垃圾邮件的人就可以简单地注册而无需使用机器人。

因此,我非常确定,编写良好的量身定制的测试(例如,您的论坛成员将知道答案的问题)几乎总是比任何预先编写的,可能是明智的测试对机器人更有效。至。

例如,如果某个机器人破解了Recaptcha,那么它将可以访问数百万种垃圾邮件表格。如果它破解了一个定制测试,那么它将只能访问一个网站,因此没有自动垃圾邮件机器人会费心这样做。

https://www.projecthoneypot.org可能会提供一些有用的数据(例如,要阻止的关键字和ips)

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.