webentwicklung-frage-antwort-db.com.de

Identischer Spam von vielen verschiedenen (aber ähnlichen) IP-Adressen

Ein Forum, das ich betreibe, wurde kürzlich Opfer von Spam-Benutzerkonten - mehrere Konten wurden registriert und das Profil wird mit Werbung/Links gefüllt. All dies gilt für dasselbe Unternehmen oder dieselbe Unternehmensgruppe.

Ich habe vor einigen Wochen Konten gelöscht und einige IP-Adressen blockiert, aber heute sind sie mit demselben Spam zurückgekehrt. Jedes Konto hat eine andere IP-Adresse, aber sie haben alle die Form 122.179.*.* oder 122.169.*.*.

Ich denke darüber nach, diese beiden IP-Bereiche zu blockieren, aber es gibt möglicherweise Tausende von IPs in diesem Bereich. Sie scheinen Indien zuzuordnen zu sein (obwohl der Spam für eine amerikanische Firma bestimmt ist), daher ist die Website für ein westliches, englischsprachiges Publikum bestimmt, vielleicht spielt es keine Rolle. Meine Fragen:

  1. Wie posten sie auf so vielen IPs?
  2. Ist die Anzahl der IPs, auf die sie Zugriff haben, wahrscheinlich begrenzt?
  3. Kann ich auf IP-Ebene noch etwas tun, um sie zu blockieren? (Ich untersuche andere Maßnahmen wie das Blockieren von Benutzernamen/Links.)
5
DisgruntledGoat

1.

Sie scheinen von einer DSL-Verbindung zu kommen. Wenn Sie also nach dem Posten der Nachricht die Verbindung zum Internet trennen und die Verbindung erneut herstellen, erhalten Sie eine andere IP-Adresse

2.

Ja, es gibt ein Limit. Blockieren Sie also nur die Klasse, von der Sie sicher sind, dass Sie Spam erhalten, um "False Positives" zu begrenzen.

Mit APNIC's Whois können wir sehen, dass die Klasse 122.179 unterteilt ist in:

122.179.0.0 - 122.179.127.255
122.179.128.0 - 122.179.191.255
122.179.192.0 - 122.179.255.255

und Klasse 122.169 ist verbreitet in:

122.169.0.0 - 122.169.7.255
122.169.8.0 - 122.169.11.255
122.169.12.0 - 122.169.13.255
122.169.14.0 - 122.169.14.255
122.169.15.0 - 122.169.15.255
...
122.169.112.0 - 122.169.127.255
122.169.128.0 - 122.169.191.255
122.169.192.0 - 122.169.192.255
...

3.

Da Ihr Publikum nicht aus Indien stammt und die Firma, über die es spammt, in den USA ist, wurden sie wahrscheinlich für Werbezwecke eingestellt oder ausgelagert, und sie haben es zu weit gebracht.
Sie können nach allen IP-Blöcken suchen, die ihre Anbieter haben, und jeden einzelnen von ihnen sperren (z. B. "BHARTI TELENET LTD.MUMBAI", "ABTS AP").

Viel Glück!

3
CSᵠ

Haben Sie versucht, den IP-Adressbereich über eine .htaccess-Datei zu blockieren?

Um mehrere IP-Adressen zu blockieren, listen Sie diese pro Zeile auf.

order allow,deny
deny from 177.0.0.1 
deny from 177.0.0.2
deny from 177.0.0.3
allow from all

Sie können auch einen gesamten IP-Block/Bereich blockieren.

z.B. - deny from 177.0.0

Dadurch wird der Zugriff für alle Benutzer mit einer Adresse im Bereich von 177.0.0.0 bis 177.0.0.255 verweigert.

2
user21021

Die Site Stop Forum Spam ist eine Ressource, mit der Forum-Spammer blockiert werden können. Die Datenbank kann manuell oder durch API nach IP-Adresse, Benutzername oder E-Mail-Adresse abgefragt werden. Für Simple Machines Forum (SMF) Sites verwende ich ein Modul, das seine Datenbank abfragt , um Forum-Spammer zu blockieren. Es gibt auch Module für viele andere Forum-Softwarepakete, mit denen die Datenbank automatisch abgefragt werden kann. Eine Liste anderer Forensoftware, für die Module verfügbar sind, finden Sie auf der Seite Mods & Plugins auf der Stop Forum Spam-Site.

Eine Suche nach 122.169 und 122.179 im Stop Forum Spam Suchseite zeigt, dass andere Foren derzeit Spammer sehen, die IP-Adressen in diesen Bereichen verwenden.

2
MoonPoint

Mein Vorschlag, seit ich mich kürzlich mit einem ähnlichen Problem in einem meiner Foren befasst habe, ist, die Registrierung so zu ändern, dass ein Benutzer von einem Administrator akzeptiert werden muss, bevor er Mitglied des Forums wird.

1
PyroSamurai

Unabhängig davon, was Sie versuchen, versuchen verschiedene Geräte mit unterschiedlichen IP-Adressen immer, schädliche Aktionen auf Websites auszuführen. Der hier gültige Begriff ist "Script Kiddies".

Am besten überprüfen Sie zuerst Ihre Protokolle auf dem Server, auf dem sich das Forum befindet. Wenn die Website-Software Apache ist, suchen Sie nach access_log- und error_log-Dateien.

In diesen Protokolldateien werden Sie wahrscheinlich mehrere Dutzend Einträge mit genau derselben IP-Adresse bemerken, die versuchen, eine Verbindung zu einer Reihe von URLs herzustellen.

Es gibt verschiedene Möglichkeiten, um Ihrem Problem zu entgehen.

  1. Verschieben Sie die Dateien, die das Forum darstellen, und/oder benennen Sie sie um, und aktualisieren Sie die Skripts und Konfigurationsdateien entsprechend. Benennen Sie beispielsweise in einem wordpress Setup wp-admin.php in worda.php um und ändern Sie alle wp-admin.php in allen Dateien, die Teil von wordpress sind, in worda.php . Auf diese Weise würde das Skriptkind wahrscheinlich nicht versuchen, auf Ihr Skript zuzugreifen, da Sie einen ungewöhnlichen und wahrscheinlich nie dokumentierten Namen verwendet haben.

ODER.

  1. Konfigurieren Sie das Forum so, dass Benutzer einen Sicherheitscode eingeben müssen, um sich zu registrieren oder sogar einen Beitrag als Gast zu verfassen.

Ich bin dagegen, diese angreifenden IPs zu blockieren, da es sich um IPs einer Mischung aus guten (und möglicherweise erwünschten) und schlechten Benutzern handeln könnte. Beispielsweise ist die IP mit einem Router und einer Reihe von Computern verbunden, und ein Computer wird für böswillige Aktionen verwendet Internet wirkt.

0
Mike