/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Uønskede besøgende
Fra : Jens R. Rasmussen


Dato : 28-07-11 22:44

Hej/

På min hjemmeside har jeg bla.a. lagt Snitz diskussionsforum ind.
Desværre regisrerer der sig ca. 10 spammere pr. dag, som alle har
det til fælles at deres fornavn og efternavn er ens, så jeg kan
sikkert let modificere koden og fange dem.

Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
eller skal jeg blot lave min egen side hvorfra de formentligt
ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
besøgende på jeres hjemmesider?

mvh
/Jens

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Birger Sørensen (28-07-2011)
Kommentar
Fra : Birger Sørensen


Dato : 28-07-11 23:37

Jens R. Rasmussen formulerede spørgsmålet:
> Hej/
>
> På min hjemmeside har jeg bla.a. lagt Snitz diskussionsforum ind.
> Desværre regisrerer der sig ca. 10 spammere pr. dag, som alle har
> det til fælles at deres fornavn og efternavn er ens, så jeg kan
> sikkert let modificere koden og fange dem.
>
> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?
>
> mvh
> /Jens

Find deres IP, brug den til at finde deres ISP.
Send lortet til den.
Der går ikke ret længe, så kommer de ikke igen.

Birger

--
http://varmeretter.dk - billig, sund og hurtig mad
http://bbsorensen.dk



Leif Neland (29-07-2011)
Kommentar
Fra : Leif Neland


Dato : 29-07-11 09:23


"Jens R. Rasmussen" <Jens.R.Rasmussen@uni-c.dk> skrev i en meddelelse
news:4e31d823$0$304$14726298@news.sunsite.dk...
> Hej/
>
> På min hjemmeside har jeg bla.a. lagt Snitz diskussionsforum ind.
> Desværre regisrerer der sig ca. 10 spammere pr. dag, som alle har
> det til fælles at deres fornavn og efternavn er ens, så jeg kan
> sikkert let modificere koden og fange dem.
>
> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?
>
Hvis du vil være lusket, så laver du det således at de kun selv kan se deres
posts. Så tror de at det er lykkedes at spamme, og de generer dig ikke mere.

Leif


> --
> Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
> - Pædagogiske tutorials på dansk
> - Kom godt i gang med koderne
> KLIK HER! => http://www.html.dk/tutorials



Bertel Lund Hansen (29-07-2011)
Kommentar
Fra : Bertel Lund Hansen


Dato : 29-07-11 10:05

Leif Neland skrev:

> Hvis du vil være lusket, så laver du det således at de kun selv kan se deres
> posts. Så tror de at det er lykkedes at spamme, og de generer dig ikke mere.

Hvorfor skulle de holde op med at spamme?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

Stig Johansen (29-07-2011)
Kommentar
Fra : Stig Johansen


Dato : 29-07-11 10:55

Bertel Lund Hansen wrote:

> Hvorfor skulle de holde op med at spamme?

Og hvem er 'de'.
Bot'erne er da fløjtende ligeglade med 'resultatet', og læser det sikkert
ikke - bortset fra nogle intelligente bot'er, der kontrollerer 'outcome'.

--
Med venlig hilsen
Stig Johansen

Bertel Lund Hansen (29-07-2011)
Kommentar
Fra : Bertel Lund Hansen


Dato : 29-07-11 11:12

Stig Johansen skrev:

>> Hvorfor skulle de holde op med at spamme?

> Og hvem er 'de'.

Spørg Leif Neland.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

Leif Neland (29-07-2011)
Kommentar
Fra : Leif Neland


Dato : 29-07-11 11:35


"Bertel Lund Hansen" <splitteminebramsejl@lundhansen.dk> skrev i en
meddelelse news:4e32778f$0$310$14726298@news.sunsite.dk...
> Leif Neland skrev:
>
>> Hvis du vil være lusket, så laver du det således at de kun selv kan se
>> deres
>> posts. Så tror de at det er lykkedes at spamme, og de generer dig ikke
>> mere.
>
> Hvorfor skulle de holde op med at spamme?
>
Det er mere, hvis det ikke er bots, men belastende typer, der ellers prøver
alle mulige krumspring.

Hvis man sletter dem, kommer de måske igen under et andet navn.

Hvis man bare skjuler deres indlæg for alle andre, tror de at alle kan læse
det, men da de ingen reaktion får på inlægget, holder de op

Leif



Stig Johansen (29-07-2011)
Kommentar
Fra : Stig Johansen


Dato : 29-07-11 10:08

Jens R. Rasmussen wrote:

> så jeg kan
> sikkert let modificere koden og fange dem.

Glem det, for det er en 'lost battle'.

> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?

Det er garanteret bot'er, så det giver unødig støj på nettet at redirigere
til andre sider.

Der findes mange forskellige metoder til at undgå det skrammel.

En nem metode er at indføre et felt, som skal være tomt.

Her kunne jeg foreslå navne som email,comment eller message, da en empirisk
undersøgelse har vist, at bot'er _altid_ udfylder disse felter.

Det vi stadig give unødig trafik.

Hvis du kan accepter at dine sider (kommentarer) kun virker med javascript,
kan du lave det trick at udskift submit knappen med en anden value (vha
JS), og teste på denne i dit ASP.

Da det er til vished grænsende usandsynligt at bot'er nogensinde
implementerer JS fortolkere er det nok den løsning, der giver mindst unødig
trafik på internettet.


--
Med venlig hilsen
Stig Johansen

Rune Jensen (30-07-2011)
Kommentar
Fra : Rune Jensen


Dato : 30-07-11 05:03

On 28 Jul., 14:44, Jens R. Rasmussen <Jens.R.Rasmus...@uni-c.dk>
wrote:

> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?

Jeg fandt engang for rigtigt længe siden en hjemmeside, som havde
lavet et space invaders spil*), hvor den måde de forskellige "aliens"
rykkede på og så ud på, var afhængigt af hvilke spammere der var på
hjemmesiden og hvad indholdet af spammen var på det pågældende
tidspunkt. Det synes jeg sådan set er ret kreativt.

Forestil dig f.eks. at russiske mailadresser giver grønne aliens og
kinesiske mailadresser giver røde aliens. Eller sådan noget lignende.

10 spammails er så nok ikke helt nok til action-spil, men der må da
være andre spil man kan lave, som kræver en "tilfældigheds"generator.

Man skal tænke på, at hver gang, der sendes en spammail, eller at man
på anden måde opdager en spambot, så har man samtidig et "hit" til ens
hjemmeside som i princippet bare går til spilde, og det er for så vidt
bare at udnytte det hit til noget konstruktivt.

Man kunne også lave "kunst" ud af det. Ligesom WinAMP og Mediaplayer
har en mulighed for at lave animeret kunst ud af lyd, kan man jo også
lave kunst ud af disse hits. Måske med lidt SVG og noget JS.


*) Der var faktisk mange slags spil, også nogle selvopfundne. Har ikke
siden bogmærket mere


MVH
Rune Jensen

Philip Nunnegaard (30-07-2011)
Kommentar
Fra : Philip Nunnegaard


Dato : 30-07-11 13:41

Jens R. Rasmussen skrev:

> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?

Lige med hensyn til brugeroprettelse bruger jeg gerne emailvalidering.
Brugeren får tilsendt en email med et link hyn skal klikke på for at
kunne bruge profilen.

Med andre ting på siderne (specielt på de steder hvor man kan poste uden
at have en brugerprofil) bruger jeg en kombination af css og
serversidetjek på om det er en bot eller et menneske (serversidetjekket
fik jeg ide til via indlæg fra Rune for et par år siden).

CSS-metoden er meget lig den som Stig referer til i denne tråd. Feltet
som ikke må udfyldes, er skjult via css, således at mennesker ikke ser
det, mens botterne udfylder det gladeligt.

Ret apropos, da jeg så sent som i dag oplevede ikke at kunne poste en
kommentar på en side, fordi jeg ikke kunne læse det utydelige billede
som de diskede op med. Lige denne capcha-metode opfatter jeg som noget
makværk der kun generer brugerne unødigt. Der findes andre lige så
effektive metoder som nævnt i denne tråd.

--
Philip

Stig Johansen (02-08-2011)
Kommentar
Fra : Stig Johansen


Dato : 02-08-11 09:09

Philip Nunnegaard wrote:

> Ret apropos, da jeg så sent som i dag oplevede ikke at kunne poste en
> kommentar på en side, fordi jeg ikke kunne læse det utydelige billede
> som de diskede op med. Lige denne capcha-metode opfatter jeg som noget
> makværk der kun generer brugerne unødigt. Der findes andre lige så
> effektive metoder som nævnt i denne tråd.

Googles er specielt slem.

Hver gang jeg har villet oprette en ny mailaresse, har jeg måttet prøve
flere gange, samt anmode om 'nyt billede'.

Problemet er, at man har troet der var avancerede OCR algoritmer, hvor det i
virkeligheden var 'udlicitering' til 'humans'.

Hint:
Lav en side, der vha HTTP request's kalder oprettelse af email, men
præsenterer brugeren for en 'interessant' side, der er kodeordsbeskyttet.

'Interessant' er i denne forbindelse porno/nøgenbilleder eller whatever.

I stedet for at få adgang til denne 'side', har man i virkeligheden aflæst
Google's captcha.

Simpelt, men effektivt

--
Med venlig hilsen
Stig Johansen

Philip Nunnegaard (03-08-2011)
Kommentar
Fra : Philip Nunnegaard


Dato : 03-08-11 06:40

Stig Johansen skrev:

> Googles er specielt slem.

Den kom netop fra Google, selvom selve hjemmesiden var en anden.
Det undrer mig så en del at netop Google laver sådan noget makværk. Jeg
kan forstå at de også gør det på deres egne sider.

De burde da ellers om nogen have hjerne nok til at lave spambegrænsende
løsninger der ikke generede brugerne.

Lige den løsning forbinder jeg med midten af forrige årti.

--
Philip

Rune Jensen (05-08-2011)
Kommentar
Fra : Rune Jensen


Dato : 05-08-11 05:06

3. august 2011 kl. 07:40, Philip Nunnegaard <nunnenos...@hitsurf.dk>
wrote:

> Det undrer mig så en del at netop Google laver sådan noget makværk.

Både og. Googles services er suverænt vigtigt for målrettede angreb
fordi én service når ud til rigtigt mange mennesker, og derfor virker
sådan noget som skjulte felter med CSS ikke dér, så man er nødt til at
finde på noget andet. Spam- eller hackingforsøg via bots er formentlig
mest brugt på Google Groups - ellers er det rigtige personer, som
laver angrebene. Eller i hvert fald programmer dedikerede til at
angribe Google.

De botangreb, som de fleste oplever på deres hjemmesider, det er
ældgamle standard-spamprogrammer som udfører det, og derfor
forholdsvist nemt at dæmme op for. Botprogrammører er nemlig ret
dovne. Så længe en metode virker i store træk og giver forventet
indtjening, så gider de ikke udvikle. Til gengæld, kan de få den
højere indtjening ved at gå efter ét offer, så gør de gerne forsøget.

> Jeg kan forstå at de også gør det på deres egne sider.

På Blogger.com, som Google også ejer, der vil man blive bedt om at
identificere sin person via mobil, hvis de oplever "uregelmæssigheder"
med ens konto. Mobilen er EMM noget, man vil se mere af i fremtiden i
forbindelse med identittets-verificering, måske knyttet til et
kodeord, man selv har, sådan det bliver en slags to-faktor.
Udfordringen ligger selvfølgelig i at gøre det "sikkert nok" og
samtidig brugervenligt.

Man kunne også forestille sig, at noget af arbejdet blev lagt ud til
brugerne selv. Som f.eks. når man har en LOG over de IPer, som har
været logget ind på ens Gmail-account. Det er jo så brugeren selv, som
skal holde øje med, om der har været "indbrud". Det hjælper så også
mere brugeren - ikke så meget udbyderen, imod angreb.



MVH
Rune Jensen

Philip Nunnegaard (06-08-2011)
Kommentar
Fra : Philip Nunnegaard


Dato : 06-08-11 23:35

Rune Jensen skrev:

> Både og. Googles services er suverænt vigtigt for målrettede angreb
> fordi én service når ud til rigtigt mange mennesker, og derfor virker
> sådan noget som skjulte felter med CSS ikke dér, så man er nødt til at
> finde på noget andet.

Netop Google ville jeg tro havde ansat så professionelle programmører,
at de da sagtens kunne finde ud af ikke at genere brugerne.

Jeg opfatter denne manuelle capcha som noget jeg associerer med
amerikanske webfora lavet af amatører i phpBB.
Jeg forbinder det med årene 2004-2005, hvor commentspam var et
forholdsvis nyt fænomen for os dødelige. Ikke 2011.

Og skal det endelig være, hvorfor så lave et billede som er umuligt at læse?
Jeg boycotter den slags sider.


--
Philip

Jens R. Rasmussen (07-08-2011)
Kommentar
Fra : Jens R. Rasmussen


Dato : 07-08-11 11:02

Tak for en interessant debat - men jeg tror ikke nogen har svaret på
mit spørgsmål - eller også forstår jeg ikke svarene.

Når jeg nu har 'fanget' en uønsket spamrobot, fx ved som stig
foreslår at lade den udfylde et usynligt e-mail felt og jeg så
evaluerer på isNull(e-mail) - hvad gør jeg så når svaret er falsk?
Laver jeg en server.transfer til ?? - eller er der en kill-kommando,
som afbryder transaktionen, lukker spammerens web-side ned eller ??

mvh
/Jens

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Leif Neland (07-08-2011)
Kommentar
Fra : Leif Neland


Dato : 07-08-11 21:17

Den 07-08-2011 12:02, Jens R. Rasmussen skrev:
> Tak for en interessant debat - men jeg tror ikke nogen har svaret på
> mit spørgsmål - eller også forstår jeg ikke svarene.
>
> Når jeg nu har 'fanget' en uønsket spamrobot, fx ved som stig
> foreslår at lade den udfylde et usynligt e-mail felt og jeg så
> evaluerer på isNull(e-mail) - hvad gør jeg så når svaret er falsk?
> Laver jeg en server.transfer til ?? - eller er der en kill-kommando,
> som afbryder transaktionen, lukker spammerens web-side ned eller ??
>

Act naturally.

Gør det så svært som muligt for robotten at opdage at indlægget ikke er
blevet postet.

Sig blot "Tak for dit indlæg" eller lignende, ganske som du plejer.

Hvis spammeren skal til at programmere specielt for din side, er det
lettere at spamme naboens side i stedet.

Leif

--
Bevar P2, luk P3, der er nok P3'er i forvejen.

Stig Johansen (08-08-2011)
Kommentar
Fra : Stig Johansen


Dato : 08-08-11 10:31

Leif Neland wrote:

> Act naturally.

Ja og nej.

>
> Gør det så svært som muligt for robotten at opdage at indlægget ikke er
> blevet postet.
>
> Sig blot "Tak for dit indlæg" eller lignende, ganske som du plejer.

Hvis man gør det, vil flere bot'er lave en yderligere GET for at verificere
indholdet (der er postet).

De får ingen verificering, men 'tror' siden eksisterer, og vil prøve igen.

(Husk bot'erne fører databaser over URL'er til senere salg).

> Hvis spammeren skal til at programmere specielt for din side, er det
> lettere at spamme naboens side i stedet.

Det er der ingen der gør (programmerer til 'uinteressante' sider).

En langt bedre løsning er at smide en "404 Not found" i hovedet på dem
(Løsning til Jens).

Uden at gå i dybden, så lad mig blot sige:
Det er observeret, og afprøvet i det virkelige liv

Jeg har ikke lige ASP (mit kildekodebibliotek) tilgængeligt, men det er
noget med:
if "bot"
Response.status = 404
Response.statustext = "Not found"
Response.end
endif

Hvis du (Jens) vælger løsningen med skjult felt, så brug email, da det
genererer mindst mulig unødig trafik.

Message og Comment forsæger at sende alenlange lister af (malware) URL's, og
kan let komme op på flere Kbyte.

--
Med venlig hilsen
Stig Johansen

Stig Johansen (08-08-2011)
Kommentar
Fra : Stig Johansen


Dato : 08-08-11 10:33

Stig Johansen wrote:

> En langt bedre løsning er at smide en "404 Not found" i hovedet på dem
> (Løsning til Jens).

Hov, så lige at Rune har givet et tilsvarende svar.
Beklager indlægget.

--
Med venlig hilsen
Stig Johansen

Jens R. Rasmussen (08-08-2011)
Kommentar
Fra : Jens R. Rasmussen


Dato : 08-08-11 21:08

Et sidste spørgsmål. Hvordan laver jeg et skjult felt, som kun spamrobotter
'ser'. Jeg er i en tabel hvor man skal angive hvem man er m.v.
Hvis jeg nu tilføjer en række og skriver

<tr style="display:none">
<td>e-mail</td>
<td><input type="text" name="mail" /></td>
</tr>

Og så efterfølgende laver et tjek på

if Len(Request.Form("mail")) = not 0 then
... har jeg ham så her?

Når jeg selv går ind på siden kan jeg 8serlvfølgelig) ikke se linjen - men
vil spamrobotter 'se' den og udfylden tror I?

mvh


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Stig Johansen (09-08-2011)
Kommentar
Fra : Stig Johansen


Dato : 09-08-11 08:59

Jens R. Rasmussen wrote:

> Et sidste spørgsmål. Hvordan laver jeg et skjult felt, som kun
> spamrobotter 'ser'. Jeg er i en tabel hvor man skal angive hvem man er
> m.v. Hvis jeg nu tilføjer en række og skriver
>
> <tr style="display:none">
> <td>e-mail</td>
> <td><input type="text" name="mail" /></td>
> </tr>
>
> Og så efterfølgende laver et tjek på
>
> if Len(Request.Form("mail")) = not 0 then
> .. har jeg ham så her?

Ja, for spambotter 'ser' kun HTML'et, og intet andet.
Men jeg har lige et par 'korrektioner'.
1) Inline style (style="display:none")
De er jo ikke dumme, og enhver bot vil agere på display:none, og formentlig
springe den over.

Lave det som en class (eller id), og læg CSS'et i en ekstern fil.

Bot'erne må ikke fylde noget (for så bliver de opdaget), så det er rimeligt
sikkert at antage at de aldrig får indbygget parsing af JS eller CSS.

2) Brug name="email".
Mail virker måske lige så godt, men baseret på _meget_ statistik ser email
ud til at være 100% fool-proof.
(Hvis man ikke bruger en javascript løsning).

> Når jeg selv går ind på siden kan jeg 8serlvfølgelig) ikke se linjen - men
> vil spamrobotter 'se' den og udfylden tror I?

Spambotter 'ser' html'et og forholder sig til det der er angivet i <form>
delen.

Så der ser felter og udfylder det (måske).

Jeg har (sammen med Rune) samlet ufattelig meget statistik, og analyser, og
som nævnt er det (i forhold til vores undersøgelse) kun comment, message,
email (og vistnok homepage), der giver en 100% 'hitrate' på udfyldelse.

Ingen andre feltnavne (vi har prøvet) giver 0 eller 100% 'hitrate'.

Denne her:
if Len(Request.Form("mail")) = not 0 then
kan du omskrive til:
if Request.Form("mail")>"" then ... we got 'him'...!

--
Med venlig hilsen
Stig Johansen

Rune Jensen (18-08-2011)
Kommentar
Fra : Rune Jensen


Dato : 18-08-11 03:20

On Aug 9, 9:59 am, Stig Johansen <wopr...@gmail.com> wrote:

> Spambotter 'ser' html'et og forholder sig til det der er angivet i <form>
> delen.

Jeg har lavet nogle forsøg senere med at indsætte falske form-felter
i en remark, som jeg så kunne tjekke på serverside. Dette virker
desværre ikke længere så vidt jeg kan se, ellers var det en EMM ret
smart måde at snyde botter på. Men det lader til, at langt de fleste
nu også forstår HTML remark, og ved hvornår den begynder og slutter.

Jeg vil dog tro, de gennemløber HTMLen med regular expressions, altså
de udfører ikke HTMLen som du også skriver, så kan man finde en måde
at omgås denne RegEx ville det være ret interessant. Men så skal man
jo nok se koden til den.


MVH
Rune Jensen

Rune Jensen (07-08-2011)
Kommentar
Fra : Rune Jensen


Dato : 07-08-11 06:48

On 7. august 2011 kl. 12:02, Jens R. Rasmussen <Jens.R.Rasmus...@uni-
c.dk> wrote:

<SNIP>
> Laver jeg en server.transfer til ??

Nok kun hvis man er lidt mere avanceret :)

> - eller er der en kill-kommando,
> som afbryder transaktionen, lukker spammerens web-side ned eller ??

Sort of. Du kan sende sådanne botter en 404 fejlside. Her er lidt
simplificeret. hvad jeg selv bruger:

If isSpamBot Then
' Hvis spammer bot, sæt en 404 og afslut request
Response.Status="404 Page not found"
Response.Write"<html><head><title>NOT FOUND</title></
head><body><h1>404 Side ikke fundet</h1><p>Siden blev ikke fundet!</
p></body></html>"
Response.End
Else
' Hvis det er en "human being"
' .........
End If

Reelt behøver du vel egentlig ikke en else, hvis du bare laver alt bot-
tjekket i første if og gør det i starten af scriptet.


MVH
Rune Jensen

Leif Neland (16-08-2011)
Kommentar
Fra : Leif Neland


Dato : 16-08-11 11:46


"Jens R. Rasmussen" <Jens.R.Rasmussen@uni-c.dk> skrev i en meddelelse
news:4e31d823$0$304$14726298@news.sunsite.dk...
> Hej/
>
> På min hjemmeside har jeg bla.a. lagt Snitz diskussionsforum ind.
> Desværre regisrerer der sig ca. 10 spammere pr. dag, som alle har
> det til fælles at deres fornavn og efternavn er ens, så jeg kan
> sikkert let modificere koden og fange dem.
>
> Men hvad gør man så ved dem? Findes der en 'Go to hell'-side
> eller skal jeg blot lave min egen side hvorfra de formentligt
> ikke kan komme videre. Eller hvad plejer I at gøre med uønskede
> besøgende på jeres hjemmesider?
>

Man kunne også lede bot'en videre til en honeypot, hvor den får leveret et
tegn pr minut, og håbe den blev hængende, så den ikke lavede rav et andet
sted

Leif



Rune Jensen (18-08-2011)
Kommentar
Fra : Rune Jensen


Dato : 18-08-11 03:10

On Aug 16, 12:45 pm, "Leif Neland" <l...@neland.dk> wrote:

> Man kunne også lede bot'en videre til en honeypot, hvor den får leveret et
> tegn pr minut, og håbe den blev hængende, så den ikke lavede rav et andet
> sted

Nogle gør faktisk (vel en 15-20% på mine sider), jeg har haft en sådan
honeypot. Hvad jeg gjorde var så i stedet at sende en header tilbage
med et tilfældigt tegn gentaget 32767 gange, og fordelen er
naturligvis, den kode kan laves med en simpel string-kommando, men
svaret fylder ad h til og giver ikke mening. Hvordan jeg ved det
virker, er fordi jeg samtidig gav den en unik ID i en cookie. Dagen
efter kunne jeg så se forsøg på spam fra 4-5 andre botter med den
cookie.

....skal lige siges, at normalt kan botter ikke huske cookies. Det er
som regel harvesterbots, som husker det for dem (som i dette
tilfælde), og harvesterbots er ret nemme at fange. De har i ca 80%
tilfælde 1. en useragent med JAVA+versionsnummer og de accepterer ikke
GZIP eller i 2. en useragent IE6.0 og accepter ikke GZIP.

Hvor man så lige husker, at alle browsere forstår GZIP, så gør den
ikke, er der stor chance for (99%), den er ren automatiseret
spambotprogram[1].

Det kan derfor også betale sig at lave fingeraftryk af visse dele af
HTTP headeren fra en GET request og så tjekke på den ved POST, hvor
den naturligvis skal svare til den postendes HTTP header. Accept-
Encoding skal f.eks. være ens fra GET til POST og evt. fra POST til
POST (hvis der postes flere gange), men der er flere andre man kan
tjekke på (afhold dog fra at bruge Accept, da den er tricky i IE)..
http://en.wikipedia.org/wiki/List_of_HTTP_header_fields

Jeg putter dette fingeraftryk i et hidden form field ved GET, som jeg
så tjekker på ved POST.

Dette kaldes i Linux SVJV for autorisation - at man er den, man
udgiver sig for at være, idt. at man er den samme som henter siden,
som også poster.

Jeg har aldrig oplevet at danske IPer spammede eller harvestede mine
sider iøvrigt. Derfor har jeg også en function, hvor jeg netop tjekker
på danske IPer, og den giver en tilsvarende TRUE eller FALSE. Den
bruger jeg i tvivlstilfælde og som en hvidliste.


[1] Det er nærmest umuligt at lave en bot, som accepterer GZIP, hvis
botten installeres via infection (den kommer til at fylde alt for
meget), men man vil kunne lave en sådan bot, som forstår GZIP, hvis
man har en dedikeret server, hvor man er sikker på, der ikke er andre
som blander sig. Det er især Ukrainere og Israelere gode til, bl.a.
fordi deres regeringer er gennemkorrupte, så dem har jeg blacklistet
fuldstændigt på IP.


MVH
Rune Jensen

Rune Jensen (18-08-2011)
Kommentar
Fra : Rune Jensen


Dato : 18-08-11 03:32

On 18 Aug., 11:09, Rune Jensen <runeofdenm...@gmail.com> wrote:

> Dette kaldes i Linux SVJV for autorisation - at man er den, man
> udgiver sig for at være, idt. at man er den samme som henter siden,
> som også poster.

Nåhjo - det er her ikke en god ide at bruge IP som del af
fingeraftrykket. Og begrundelsen er, at hvis man sidder med en Opera,
som pludselig går i Turbo-mode, så ændres IP-adressen til Operas IP,
men det er stadig den samme bruger.


MVH
Rune Jensen

Stig Johansen (22-08-2011)
Kommentar
Fra : Stig Johansen


Dato : 22-08-11 09:38

Leif Neland wrote:

> Man kunne også lede bot'en videre til en honeypot, hvor den får leveret et
> tegn pr minut, og håbe den blev hængende, så den ikke lavede rav et andet
> sted

He

Havde selv den tanke engang, men det kræver egen server - eller en rimelig
stor honeypot.

Til dem der ikke kender så meget til teknikken, så er det geniale at ved at
sende et tegn 'en gang imellem', vil klienten (bot'en) ikke få en timeout,
men blot vente og vente, og dermed udfylde sine ressourcer.

Men på den anden side optager man selv lige så mange TCP sessions, som eder
er aktive bot'er.

--
Med venlig hilsen
Stig Johansen

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408914
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste