Come funzionano gli spambots?

43

Ho un forum che viene molto colpito dagli spambots del forum e, naturalmente, il modo migliore per sconfiggere qualcosa è conoscere il tuo nemico. Mi preoccuperò di sconfiggere quegli spambots più tardi, ma in questo momento mi piacerebbe saperne di più su di loro. Leggendo in giro, mi sono sorpreso della mancanza di informazioni approfondite sull'argomento (o forse della mia inettitudine a inserire i termini di ricerca corretti per ottenere risultati migliori su Google).

Sono interessato a imparare tutto sugli spambots. Ho chiesto su altri forum e ho ottenuto risposte definitive come "Gli spambots sono sempre utenti che si registrano sul tuo sito".

  • Come funzionano gli spambots del forum?
  • Come trovano la pagina "registrazione nuovo utente"? (Sono particolarmente sorpreso perché alcuni forum non hanno un URL dedicato per questo, ad esempio www.forum.com/register.html, ma usano invece stringhe di query o anche altri metodi invisibili alla barra degli URL)
  • Come fanno a sapere cosa inserire in ciascun campo "registrazione nuovo utente"?
  • Come determinano in quale pagina possono spam / inserire i dati e cosa no?
  • 'Visualizza' questa pagina?
  • Se no, suppongo che stiano comunicando direttamente con il server - come è - questo è possibile? Come lo fanno?
  • Gli spambots del forum possono rompere i CAPTCHA? Possono risolvere domande logiche (come?)? Domande di matematica?
  • Eseguono il reverse engineering degli script di convalida anti-bot sul lato client? Script lato server?
  • Quali tecniche sono ancora valide per prevenirle?
  • Da dove vengono gli spambots? Qualcuno è seduto dietro il computer ridacchiando mentre guarda il suo bot distruggere un sito dopo l'altro? O stanno ridacchiando mentre semplicemente lo "rilasciano" su Internet in qualche modo? Gli spambots sono "gestiti" da un computer infetto da qualche parte? Si replicano?
  • eccetera
spam  botattack 
rlb.usa
fonte

Risposte:

48

Come trovano la pagina "registrazione nuovo utente"? (Sono particolarmente sorpreso perché alcuni forum non hanno un URL dedicato per questo, ad esempio www.forum.com/register.html, ma usano invece stringhe di query o anche altri metodi invisibili alla barra degli URL)

Trovano nuovi siti per:

  • Scansione e ricerca di firme di software noto. Di solito si tratta di un frammento di testo come un copyright o un metatag ma potrebbe essere un identificatore coerente. Questo di solito si applica al software per blog e forum.
  • Inclusione manuale. Gli esseri umani, il cui lavoro è economico in molte parti del mondo, cercano software o moduli noti facilmente sfruttabili e li aggiungono a un database. Questo di solito si applica alla registrazione personalizzata e ai moduli di contatto.
  • Comprano liste. Proprio come gli indirizzi e-mail vengono venduti dagli spammer, vengono venduti anche gli elenchi di siti di destinazione noti vulnerabili o preferiti.

Come fanno a sapere cosa inserire in ciascun campo "registrazione nuovo utente"?

Sanno cosa inserire in ciascun campo usando i nomi dei campi come guida. Il 99,99% delle volte il campo dell'indirizzo e-mail è denominato "e-mail" o qualcosa che contiene la parola "e-mail". Non devi essere uno scienziato missilistico per sapere che il campo probabilmente è destinato a un indirizzo e-mail. Per cose come nomi, ID di accesso, indirizzi ecc. Funziona con lo stesso principio.

Come determinano in quale pagina possono spam / inserire i dati e cosa no?

A loro non importa. Gli strumenti automatizzati possono provare così tante forme in così breve tempo praticamente senza costi, quindi provare ogni forma possibile è un gioco da ragazzi. Quando è coinvolto il lavoro umano, possono essere "script kiddies" e provare le cose ovvie per vedere se ottengono qualche tipo di risposta che indica che il modulo è potenzialmente vulnerabile. Fondamentalmente, qualsiasi modulo è un potenziale bersaglio per loro come qualsiasi pagina che accetta l'input dell'utente.

Come funzionano gli spambots del forum?

'Visualizza' questa pagina? Se no, suppongo che stiano comunicando direttamente con il server - come è - questo è possibile? Come lo fanno?

Da dove vengono gli spambots? Qualcuno è seduto dietro il computer ridacchiando mentre guarda il suo bot distruggere un sito dopo l'altro? O stanno ridacchiando mentre semplicemente lo "rilasciano" su Internet in qualche modo? Gli spambots sono "gestiti" da un computer infetto da qualche parte? Si replicano?

È tutto automatizzato. Strumenti come xrumer vengono creati e venduti e contengono la capacità di sfruttare software con vulnerabilità note. Chiunque può acquistarlo e dopo averlo installato è più o meno fuoco e dimentica. Va in ogni forum del suo elenco e cerca di spammarlo al meglio delle sue possibilità. Solo a causa della forza bruta ha successo e ne vale la pena per gli spammer. Ecco perché non si fermano mai. Devono appena alzare un dito perché funzioni.

Gli spambots del forum possono rompere i CAPTCHA? Possono risolvere domande logiche (come?)? Domande di matematica?

Sì, ma non sempre. Dipende da quanto bene è implementato. Ma molti captcha, compresi quelli offerti da grandi aziende, sono stati battuti e sono effettivamente inutili. Ecco perché sono necessarie più forme di protezione per fermarle. Anche allora, gli umani di solito possono battere qualsiasi sistema.

Quali tecniche sono ancora valide per prevenirle?

Da una risposta precedente : potresti fare diverse cose (e dovresti fare più di una) tra cui:

1) Mettere un campo falso che vedrà solo i robot. Quindi se quel campo viene inviato con il resto del modulo, puoi ignorarlo (e vietarlo se lo desideri). Puoi anche intercettare i robot cattivi che seguono un collegamento nascosto .

2) Utilizzare un CAPATCHA come reCAPTCHA

3) Utilizzare un campo che richiede all'utente di rispondere a una domanda del tipo 5 + 3. Qualsiasi essere umano può rispondere ma un bot non saprà cosa fare poiché si popola automaticamente i campi in base ai nomi dei campi. Quindi quel campo sarà errato o mancante, nel qual caso l'invio verrà rifiutato.

4) Utilizzare un token e inserirlo in una sessione e aggiungerlo anche al modulo. Se il token non viene inviato con il modulo o non corrisponde, viene automatizzato e può essere ignorato.

5) Cerca invii ripetuti dallo stesso indirizzo IP. Se il tuo modulo non deve ricevere troppe richieste ma all'improvviso è probabilmente colpito da un bot e dovresti considerare di bloccare temporaneamente l'indirizzo IP.

6) Usa Akismet . È ottimo per identificare lo spam.

John Conde
fonte
5
+1 per la risposta completa. Ho avuto un problema di spam e ho implementato l'elemento del modulo nascosto e l'ho chiamato "email" / "mail" e il vero indirizzo di posta elettronica che ho chiamato "address". Niente più spam!
mar10,
1
Un buon post su come gestire i troll (l'idea è la stessa per gli spambots): codinghorror.com/blog/2011/06/suspension-ban-or-hellban.html .
Ercpe,
Per i captcha, dipende dallo strumento che stanno usando per sconfiggerli. Esistono programmi software che a volte (e non sempre) superano i captcha e quindi ci sono servizi che utilizzano manodopera a basso costo per risolvere i captcha e questi hanno un tasso di successo più elevato.
ub3rst4r
11

Come funzionano gli spambots del forum?

I programmatori di talento (se malvagi) li scrivono: probabilmente ci sono tanti diversi tipi di spambots quante sono le persone che li scrivono ma, sfortunatamente, ci vogliono solo pochi autori di spambot che condividono e vendono il loro lavoro per rovinare la vita agli amministratori ...

Una popolare applicazione di spamming del forum si chiama "xrumer".

Mentre mi rendo conto che questo non risponde a tutte le tue domande, penso che valga la pena menzionare che tutto ciò che un bot non può fare bene (come risolvere complesse domande logiche non statiche) può essere fatto da un lavoratore a basso costo all'estero. Lo spamming è un'attività molto simile a qualsiasi altra e non mancano manodopera a basso costo per diffondere messaggi spam.

danlefree
fonte
4
Mi sembra di aver appena visto una mucca essere trasformata in una pianta di carne. Ma altamente informativo.
rlb.usa,
Video di interesse, divertente che sia stato reso la vigilia di Natale; la data era il 12-25-2006 alle 12:15 ... :-)
errori del
Ack! apparentemente non così talentuoso ... Quel programma mi ricorda FriendBlaster (lo usavamo al lavoro - ero contrario, ma il capo non ascoltava). Non ho dubbi sulla quantità di tempo e sforzi che l'autore ha messo nel programma. Ma, onestamente, nulla di ciò che viene eseguito è così difficile da implementare (e mal implementato nel caso di FriendBlaster). Molto più impressionanti sono gli hacker e i ricercatori di sicurezza che sviluppano exploit e infrangono gli schemi DRM entro poche settimane dalla loro uscita.
Lèse majesté,
2

Ho creato un plug-in Anti-spam per WordPress , blocca lo spam piuttosto bene senza Captcha o altro.

Come funziona: al modulo dei commenti vengono aggiunti due campi aggiuntivi. La prima è la domanda sull'anno in corso. Il secondo dovrebbe essere vuoto. Se l'utente visita il sito, al primo campo viene automaticamente risposto con javascript, il secondo campo viene lasciato vuoto ed entrambi i campi sono nascosti e invisibili per l'utente. Se lo spammer tenta di inviare un modulo di commento, commetterà un errore con la risposta sul primo campo o tenterà di inviare un campo vuoto e il commento di spam verrà rifiutato. L'utente non deve inserire Captcha o altro per dimostrare che non è un bot, tutto è realizzato da JavaScript.

Puoi scaricare il plug-in e utilizzare il codice per risolvere il problema con lo spam sul tuo sito.

webvitaly
fonte
1
Quindi i tuoi utenti hanno bisogno di JavaScript per poter registrarsi? Questa è una perdita di accessibilità, giusto?
Augustin Riedinger,
@AugustinRiedinger Plug-in anti-spam con javascript disabilitato funziona come un semplice approccio captha. Ci sono circa meno del 2% degli utenti con javascript disabilitato.
webvitaly,
Vuoi dire che visualizzerai il captcha in quel caso, giusto? So che ci sono pochissimi utenti lì, ma stavo pensando in termini di buone pratiche. Leggi cose interessanti a riguardo però.
Augustin Riedinger
@AugustinRiedinger Sì, mostro una domanda tipo captcha sull'anno in corso se l'utente ha disabilitato javascript.
webvitaly,
0

Quando provo a sconfiggerli, una cosa che dovrei tenere a mente è che il loro scopo è di solito di pubblicare collegamenti al maggior numero possibile di siti Web a beneficio del black hat SEO.

Si preoccupano della quantità di siti a cui ottengono l'accesso e non specificamente del tuo sito. Qualcuno che vuole solo fare spam solo sul tuo sito potrebbe semplicemente registrarsi senza usare un robot.

In quanto tale, sono abbastanza sicuro che un test su misura ben scritto (ad esempio domande a cui i membri del forum conosceranno la risposta) sarà quasi sempre più efficace contro i robot rispetto a qualsiasi altro pre-scritto che i robot saranno probabilmente saggi a.

Ad esempio, se un robot decifrasse Recaptcha, avrebbe accesso a milioni di moduli per lo spam. Se avesse superato un test su misura, avrebbe avuto accesso solo a un sito Web, quindi nessuno spam bot automatico si preoccuperebbe di farlo.

https://www.projecthoneypot.org può fornire alcuni dati utili da utilizzare (ad es. parole chiave e ips da bloccare)

Richard B
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.