Spam trotz ausgeblendetem Plugin (Comments)

[Ralf H.]

Mal wieder ein Lebenszeichen von mir.

Habe in meiner Page auf mehreren Seiten das Plugin Comments (v. 3.7) integriert, um Feedback zu erhalten.
Das sieht dann z.B. aus, wie auf dieser Seite: Gebrochene Rackets 01 <-- Kommentarfunktion unter der Anleitung.

Auf einer 2. Anleitungsseite (um die geht es hier) hatte ich ebenfalls das Plugin aktiviert und auch nützliches Feedback erhalten.
Seit einiger Zeit wurde statt Feedback dort allerdings Spam immer aufdringlicher. Anfangs habe ich die englischsprachigen Spam-Kommentare immer gelöscht, was mir mehrfach täglich zu aufwendig wurde.
Ich habe also das Plugin auf der Seite ausgelammert:

Code: Select all

<!-- <div>{{{PLUGIN:comments('badm_gebr_racket_02');}}}</div> -->

Ausgeklammert deshalb, weil ich dachte, die Robots geben irgendwann auf und ich aktiviere die Komments wieder. Es sind schließlich einige wichtige Kommentare bereits enthalten.
Spam ist in dem Bereich seltener geworden, aber findet trotzdem noch statt (ich bekomme Mailhinweis bei jedem Kommentar).

Fragen:
1) Wie machen die Robots das, dass sie (scheinbar) aus dem Quelltext die Kommentarfunktion weiter nutzen?
2) Wie kann ich die Robots veranlassen, zumindest seltener zu posten, als mehrfach täglich?

lg,
Ralf

[cmb]

Mal wieder ein Lebenszeichen von mir.

Schön.

Ich habe also das Plugin auf der Seite ausgelammert:

Das funktioniert so leider nicht wie gewollt. Schau Dir mal den erzeugten HTML-Quelltext der Seite an. Dort findet man noch das gesamte HTML des Kommentarformulars. Das ist zwar ordnungsgemäß auskommentiert, aber das stört einen Spam-Bot u.U. nicht, weil er das vielleicht nicht mal merkt (kommt darauf an, wie der Bot scrape't). Schlimmer aber noch: wenn ein Bot die Seite bereits gescrape't hatte, dann schaut er im Zweifel gar nicht mehr nach, sondern schickt einfach die Formulardaten an die alte Post-Adresse, und diese ist noch aktiv, da CMSimple(_XH) den Pluginaufruf auswertet, auch wenn dieser in einem HTML-Kommentar steht.

Lösung: entweder den Pluginaufruf ganz entfernen, oder aber für CMSimple(_XH) unkenntlich machen (z.B. durch Entfernen einer der geschweiften Klammern).

Zum Spamproblem im Besonderen: das sollte eigentlich durch das CAPTCHA (das ja aktiviert ist) auf menschliche Spammer beschränkt sein. Da aber vom Kommentarformular nichts mehr auf der Seite zu sehen ist, kann man wohl ausschließen, dass ein Mensch den Spam direkt über die Seite schickt. Wie der Spam nun dennoch zustande kommt, kann ich nur vermuten. Ich könnte mir vorstellen, dass der Spambot weiß, wie er das CAPTCHA abrufen kann, und sich die mitgesendete Session-ID merkt (in der Session wird nämlich die erwartete Zahlenkombination gespeichert). Das Captcha könnte dann von einem Menschen gelöst werden, und dann kann der Spambot eben den Spam versenden. Es würde mich gar nicht mal wundern, wenn irgendwo Menschen vor einem Computer sitzen, und den ganzen Tag einfach nur CAPTCHAs lösen, die ihnen vorgesetzt werden. Und dann gibt es ja auch noch die Möglichkeit das CAPTCHA auf einer ganz anderen Seite einzublenden, und es sich dort von einem Besucher lösen zu lassen. Es kann aber auch sein, dass das CAPTCHA per OCR automatisiert gelöst wird.

Natürlich ist es auch nicht auszuschließen, dass das CAPTCHA vollständig umgangen werden kann (was dann ein Programmierfehler wäre).

Was Du bei aktiviertem (ob nun auskommentiert oder nicht) Kommentarformular machen kannst, um den Spam zu reduzieren? Ich würde es mal mit einem schwerer zu knackenden CAPTCHA probieren. Wenn wirklich Menschen involviert sind, dann hilft das nichts, aber zumindest OCR hat seine Grenzen. Leider ist ein einfacher Austausch des CAPTCHAs bei Comments nicht vorgesehen.

Eine andere Möglichkeit wäre es, die Seite (oder zumindest die Kommentarfunktion) durch ein Memberpages-Plugin nur angemeldeten Benutzern zugänglich zu machen. Das könnte aber natürlich auch einige sinnvolle Kommentare verhindern, weil sich nicht jeder gerne irgendwo registriert. Und ohne Individualanpassung ist das auch nur in Verbindung mit Membersarea möglich, das wiederum nicht unter CMSimple_XH funktioniert.

[Ralf H.]

Glaubt ihr, es bringt schon was, wenn ich die "Homepage-Funktion" deaktiviere?
Evtl. ist es für Robots reizvoll, wenn sie ihre eigene Homepage direkt verlinken kann?!
Alle Spams sind zumindest mit verlinkter Homepage ausgestattet.

lg,
Ralf

[Ralf H.]

oder aber für CMSimple(_XH) unkenntlich machen (z.B. durch Entfernen einer der geschweiften Klammern).

Das habe ich jetzt schon mal gemacht.
Stimmt, die bisherigen Kommentare sind jetzt aus dem Quelltext verschwunden.

Eine andere Möglichkeit wäre es, die Seite (oder zumindest die Kommentarfunktion) durch ein Memberpages-Plugin nur angemeldeten Benutzern zugänglich zu machen.

Nee. Den Grund nennst du ja bereits selbst.

[cmb]

Glaubt ihr, es bringt schon was, wenn ich die "Homepage-Funktion" deaktiviere?

Das könnte vielleicht helfen. Aber letztlich frage ich mich, warum jemand überhaupt seine Homepage eingeben können soll; wenn er unbedingt Interesse daran hat, dann kann er die ja auch im eigentlichen Kommentar selbst angeben. Und da bei Comments der Link zur Homepage wohl nicht mit rel=nofollow ausgezeichnet ist, könnte das sogar von Google als unerwünschte Linkanhäufung eingestuft werden.

[Ralf H.]

Glaubt ihr, es bringt schon was, wenn ich die "Homepage-Funktion" deaktiviere?

Habs jetzt deaktiviert und hoffe, dass die Spammer so weniger Interesse am Spammen haben.

Jetzt warte ich einige Tage und gucke was passiert.
Sofern ich keine weiteren Mailhinweise zu neuen Spam-Kommentaren erhalte, aktiviere ich testweise wieder das Plugin auf der Seite.

lg,
Ralf

[svasti]

kann ich nur vermuten. Ich könnte mir vorstellen, dass der Spambot weiß, wie er das CAPTCHA abrufen kann, und sich die mitgesendete Session-ID merkt (in der Session wird nämlich die erwartete Zahlenkombination gespeichert)

Wie kann man denn von außen an die Sessionwerte kommen? Sollte das nicht unmöglich sein?

Ich hatte hier gerade auch so einen Fall. Ich hatte eine Website auf XH 1.6.6 upgedatet und das alte Comments ebenfalls (jetzt Version 4.1). Aber trotz Captcha gab es ab und zu SPAM-Comments. Habe deshalb jetzt das Captcha umgeschrieben, statt 6 Zahlen steht auf dem generierten Bild jetzt Zahl·p·l·u·s·Zahl und dadrüber die Aufforderung dies auszurechnen. Bin gespannt, ob es weiterhin SPAM geben wird oder nicht.

[cmb]

Wie kann man denn von außen an die Sessionwerte kommen? Sollte das nicht unmöglich sein?

An die Sessionwerte sollte man von außen nicht kommen, aber eben an die Session-ID, und die genügt ja bereits, um die bestehende Session weiter zu verwenden.

Da fällt mir gerade ein: was passiert, wenn man das Formular ohne gültige Session mit einem leeren CAPTCHA abschickt?

Habe deshalb jetzt das Captcha umgeschrieben, statt 6 Zahlen steht auf dem generierten Bild jetzt Zahl·p·l·u·s·Zahl und dadrüber die Aufforderung dies auszurechnen. Bin gespannt, ob es weiterhin SPAM geben wird oder nicht.

Ja, das ist interessant.

[mhz]

Hallo,
wäre das nicht evtl. die Lösung:
Die angepasste Datei "robots.txt" verhindert, dass Bots, die sich daran halten (dürften alle namhaften Suchmaschinenbetreiber so handhaben), Spam oder reduziert diesen erheblich.

Gruß
Michael

[Ralf H.]

upgedatet und das alte Comments ebenfalls (jetzt Version 4.1).

Hast du einen Vorteil durch das Update erfahren?
Für die letzten Comments-Updates musste man für cmsimple_XH ja immer tricksen. Ab 4.0 erfordete es weitreichende Änderungen, die ich eigentlich nicht umsetzen wollte.
Oder läuft Comments 4.1 ohne spezielle Anpassungen?

Habe deshalb jetzt das Captcha umgeschrieben, statt 6 Zahlen steht auf dem generierten Bild jetzt Zahl·p·l·u·s·Zahl und dadrüber die Aufforderung dies auszurechnen.

Bist du so nett und stellst uns den Code zur Verfügung?
Ich würde sicher innerhalb eines Tages merken, ob das erweiterte Captcha die Spamflut hemmt.

lg,
Ralf