Stop Forum Spam für bestehende Mitglieder

  • Hey,


    es wäre Klasse, wenn man vorhandene Mitglieder mit der StopForumSpam Datenbank gegen prüfen könnte und nicht nur neue Benutzer.

    Lg SamFreaks

  • Wo ist der Sinn ?


    Sie ändern sich ja nicht im Laufe der Zeit zu Spamern . Wenn es bei der Registration geprüft wird reicht es doch aus man muss doch nicht alle 2 Moante schauen ob es vielleicht ein Spamer gerworden ist :/


    Bitte einmal erläutern.

  • Es gibt Foren mit mehreren Tausenden Mitgliedern und darunter sind bestimmt viele Spammer die nicht direkt ins Forum spammen sondern in Ihrem Profil "Spammen".


    Und dafür wäre es toll, wenn es möglich wäre, die vorhandenen Benutzer gegen prüfen zu können.


    Denn von Haus aus ist Stop Forum Spam ja erst seit 5.2.

    Lg SamFreaks

  • Also die Idee mit dem Gegenprüfen ist gar nicht so falsch.


    Die Leute von Spambots sind nicht auch nicht dumm und oftmals legen Bots Accounts in Foren an, welche zunächst nichts machen.

    Sie unterscheiden sich als erstmal nicht von einem normalen User, welcher sich nur lesend in einem Forum anmeldet.

    Erst später werden diese Spam-Accounts aktiv.


    Insofern wäre eine definierbare Überprüfung durchaus sinnig.

  • Das birgt aber einige Probleme. Nicht zuletzt, weil nur Informationen der letzten 4 Wochen von StopForumSpam verwendet werden. Da du nach DSGVO keine IP-Adressen mehr für die Ewigkeit speichern darfst und die Benutzernamen-Prüfung besser nicht herangezogen werden wollte, bleibt dir nur die E-Mail-Adresse und die muss, wie bereits geschrieben, innerhalb der letzten 4 Wochen aufgefallen sein, um in der Datenbank geführt zu sein.

  • Da sieht man wieder die unclevere Seite der DSGVO ;)

    Denn sollten die Spammer diese Regeln wissen, könnten sie ganz konkret diese Art von Spam-Abwehr umgehen.

  • Das ist korrekt.


    Aber mal ein Vorschlag zur Güte:


    SQL
    SELECT username, email
    FROM wcf1_user u
    JOIN wcf1_blacklist_entry ble ON UNHEX(CAST(SHA2(u.email, 256) AS BINARY)) = ble.hash
    WHERE ble.type = 'email' AND u.blacklistMatches = '';


    Damit findest du alle User, deren E-Mail-Adresse in der Blacklist stehen. Wobei der Query nicht unbedingt ohne Offset/Limit auf Benutzer-Datenbanken mit mehreren tausend Benutzern losgelassen werden sollte.


    EDIT:


    Und um die betreffenden User direkt als Spammer in der Datenbank zu markieren:


    SQL
    UPDATE wcf1_user SET blacklistMatches = '["email"]', activationCode = FLOOR(RAND() * 800000001) + 100000000 WHERE userID IN (
        SELECT userID
        FROM wcf1_user u
        JOIN wcf1_blacklist_entry ble ON UNHEX(CAST(SHA2(u.email, 256) AS BINARY)) = ble.hash
        WHERE ble.type = 'email' AND u.blacklistMatches = ''
    );


    EDIT:


    Gerade mal über eine DB mit ~88.000 Usern gejagt:


    Quote

    /* Betroffene Zeilen: 0 Gefundene Zeilen: 4 Warnungen: 0 Dauer von 1 Abfrage: 0,313 Sek. */

  • Da du nach DSGVO keine IP-Adressen mehr für die Ewigkeit speichern darfst

    Man sollte natürlich nicht die Registrierungs-IP nach einiger Zeit nochmal prüfen, sondern die neue IP. Die, die der User zum Prüfzeitpunkt hat. Da muss also nichts länger gespeichert werden.


    Ich persönlich finde die Idee der mehrfachen, eigentlich sogar ständigen Prüfung gut. Ich erlebe es täglich, dass User zum Registrierungszeitpunkt keine "Spammerdaten" haben, wohl aber beim nächsten Besuch, wenn der "Spamvorgang" durchgeführt wird.


    Das könnte sogar die gleiche IP wie vorher sein, aber die ist vielleicht jetzt bei SFS hinterlegt und damals nicht.

  • Und genau das ist der Haken: Wenn die IP später bei SFS gelistet wird, hast du keine Garantie dafür, dass es sich bei dem gemeldeten User auch um den handelt, der sich zuvor bei dir registriert hat.

  • Die Logik verstehe ich nicht. Man hat doch nie die Garantie, dass der User ein Spammer ist, obwohl er bei SFS auftaucht.

  • Das sehe ich anders. Dass die IP bei Registrierung noch nicht bei SFS auftaucht heißt doch nicht, dass es kein Spammer ist, sondern nur, dass der User noch nicht als Spammer auffällig geworden ist.


    Beispiel:

    - User registriert sich in Forum A, war niemals auffällig und ist daher auch nicht bei SFS gelistet.

    - User registriert sich in Forum B, spammt und wird vom dortigen Admin bei SFS hinterlegt

    - User spammt nun auch in Forum A

    => Nun könnte Forum A erkennen, dass der User ein Spammer ist, wenn erneut geprüft würde.


    Die meisten IPs bei SFS werden wohl irgendwelche ominösen "ausländischen" sein. Daher ist es unwahrscheinlich, dass der User, der zum Registrierungszeitpunkt noch nicht als Spammer erkannt wurde, kein Spammer ist, wenn er eine solche IP nun erneut verwendet. Oder anders gesagt: Wer eine typische Spammer-IP verwendet, ist mit hoher Wahrscheinlichkeit ein Spammer. Egal ob er nun heute oder ein einigen Wochen "erwischt" wird.

  • Ich finde daran überhaupt nichts unlogisches, dass es egal ist, ob eine IP nun vor zwei Wochen oder heute bei SFS eingetragen wird.


    Spammer-IP ist Spammer-IP. Ich rede doch nicht von deutschen, dynamischen Einwahl-IPs. Ich rede von den "Verbrecher"-IPs. Ich verstehe auch nicht, wie man das nicht verstehen kann... Aber egal, wie du schon sagst: jeder, wie er meint.

  • Eventuell kann man ja in die Sache etwas Logik hinein bringen.


    Bei bisher all meinen Erfahrungen mit Spammern, sind mir folgende Arten von Spam aufgefallen:


    1. Spam-Bots, die andere User per PN mit Nachrichten belästigen
    2. Spam-Bots, welche in den User-Profilen Links platzieren
    3. Spam-Bots, welche gleich von Anfang an, Beiträge mit Spam und entsprechenden Links posten
    4. Spam-Bots, die zunächst einen Account anlegen, zunächst inaktiv sind und dann erst nach einiger Zeit aktiv werden


    Typ 1 ist besonders für uninformierte Admins tückisch, da diese entweder erst durch andere User informiert werden oder mit eigenem normalen User-Account den Spam entdecken.


    Nichtsdestotrotz kann man Typ 1 und 2 dadurch austricksen, indem man die Usergruppenrechte entsprechend einschränkt. Und erst Usern ab einer gewissen Beitragszahl entsprechend mehr Rechte einräumt.


    Typ 3 kann man mit der Link-Beschränkung gut den Spaß verderben.


    Typ 4 ist insofern auffällig, da diese meist sich nur 1x im Forum anmelden, doch sonst keinen Besuche im Forum haben.

    Erst wenn sie sich dann wieder nach einer gewissen Zeit im Forum anmelden, fangen sie gleich an zu spammen.


    Auffällig bei Typ ist ebenso eine recht wirre Mail-Adresse. Oft werden auch gleich mehrere Accounts unter der gleichen Mail-Domain (z.Bsp. account1@spamdomain, account2@spamdomain, ...) registriert.

    Sicher ist es nicht ungewöhnlich, dass zum Beispiel von großen Mail-Providern nahezu zeitgleich mehrere User sich neu registrieren. Doch bei solch teilweise exotischen Mail-Domains deutet viel auf Typ-4 Bots hin).


    Ich persönlich habe mir schon eine Tabelle angelegt, wo ich Useraccounts ganz gezielt in den verschiedenen Foren suche.

    Witzig dabei ist, dass die IP's der Bots dieser Account von Forum zu Forum zum Teil unterschiedlich sind.


    Wie man sieht, ist das also mit dem Spam eine Sache, welche nicht so einfach in den Griff zu bekommen ist, denn die Ersteller von Bots sind auch nicht gerade auf den Kopf gefallen und passen ihre Strategie immer wieder den Gegebenheiten an.

    Edited once, last by Tassja ().