it-swarm.com.de

Wie kann ich eine missbräuchliche Person blockieren, die endlos versucht, mehr Konten zu registrieren?

Ich habe eine kostenlose Seite mit offener Registrierung; Jeder kann sich registrieren und ich kann das nicht ändern. Konten müssen jedoch nach dem Ausfüllen eines Profils von einem Administrator genehmigt werden, damit ich auf eine Vielzahl von Informationen zugreifen kann, um doppelte Benutzer zu identifizieren (Geburtsdatum, Kommentar zur Selbsteinführung, E-Mail-Adresse, Fotos, gemeldeter Speicherort im Profil, geolokalisierte IP-Adresse) , IP-Adresse usw.)

In letzter Zeit ist die Website den Angriffen eines einzelnen Benutzers ausgesetzt, der äußerst missbräuchlich ist und anscheinend unbegrenzte Zeit hat, mehrere Konten zu registrieren. Diese Konten können relativ leicht gesperrt werden, aber es ist eine Menge Arbeit für den Administrator (mich) und ich befürchte, dass ich eines der legitimen Konten vermissen werde (dieser Benutzer registriert ungefähr 6 Konten pro Tag).

Ich habe schon:

  • die bekannten IP-Adressen des Benutzers wurden gesperrt
  • blockierte Registrierung von bekannten Domains, die für "Einweg" -E-Mail-Adressen verwendet werden
  • es wurde eine spezielle Ansicht hinzugefügt, mit deren Hilfe ich Konten anhand bekannter Zugriffsmuster des Benutzers identifizieren kann

Kann ich mit Cookies usw. etwas tun, um die Registrierung für diesen Benutzer noch schwieriger zu machen?

Dies ist eine Drupal 7 Site).

EDIT : In meinem Fall ist dies ein menschlicher Benutzer, kein Bot. Die Bot-Antworten sind jedoch nützlich für diejenigen, die speziell von Spammern angegriffen werden.

41
Patrick Kenny

Anstatt zu versuchen, den Benutzer daran zu hindern, sich zu registrieren, was ein Spiel für Trolle und Hacker ist, machen Sie die Seite für ihn ärgerlich. Lassen Sie ihn wollen - zu gehen, anstatt ihn dazu zu bringen, das Trolling-Spiel zu gewinnen.

Was ich in der Vergangenheit nicht speziell für Drupal getan habe, ist, den Benutzer registrieren zu lassen. Ich habe dann sein spezielles Konto sabotiert:

  1. Ich habe if ($someuser) { sleep(Rand($base, $base*2)) } in den Code gestreut, wobei $base würde täglich zunehmen. Ich habe dafür gesorgt, dass er viele Auszeiten hatte.
  2. Ich würde N% seiner Beiträge fallen lassen, wobei N über 50% begann und nur von dort aus zunahm. Wenn der Beitrag bestimmte Schlüsselwörter hätte, würde er sofort gelöscht.
  3. Ich würde zufällig CSS-Regeln löschen, damit die Seite schlecht angezeigt wird. Wieder würde der Schweregrad mit der Zeit zunehmen.

Dies erforderte mehr Aufwand von meiner Seite, aber gemäß dem Rat von Sun Tzu konditionierte ich den Benutzer , um meine Website zu hassen . Ich wollte, dass er nicht das Gefühl hat, dass er uns nervt, sondern dass er sich über die Verzögerungen und offensichtlichen Fehler ärgert. Es dauerte weniger als eine Woche, bis er uns aufgab.

[~ # ~] edit [~ # ~] : In den Kommentaren erwähnt Benutzer rooby das Elend Modul das auf dem gleichen Konzept basiert:

  1. Verzögerung : Erstellen Sie eine Verzögerung mit zufälliger Länge, die den Anschein einer langsamen Verbindung erweckt. (Standardmäßig geschieht dies in 40% der Fälle)
  2. Weißer Bildschirm : Präsentieren Sie dem Benutzer einen weißen Bildschirm. (Standardmäßig geschieht dies in 10% der Fälle)
  3. Falsche Seite: Weiterleiten zu einer zufälligen URL in einer vordefinierten Liste. (Standardmäßig geschieht dies 0% der Zeit)
  4. Zufälliger Knoten : Weiterleiten zu einem zufälligen Knoten, auf den der Benutzer zugreifen kann. (Standardmäßig geschieht dies in 10% der Fälle)
  5. 403 Zugriff verweigert : Zeigt dem Benutzer den Fehler "Zugriff verweigert" an. (Standardmäßig geschieht dies in 10% der Fälle)
  6. 404 Nicht gefunden : Zeigt dem Benutzer den Fehler "Nicht gefunden" an. (Standardmäßig geschieht dies in 10% der Fälle)
  7. Formulare werden nicht gesendet : Leiten Sie während der Validierung zum Formular zurück, um das Senden zu verhindern. (Standardmäßig geschieht dies in 60% der Fälle.) Hinweis: Gelegentlich werden bestimmte Formulare basierend auf der gedrückten Taste überprüft. In diesen Fällen funktioniert dies nicht.
  8. Absturz von IE6 : Wenn der Benutzer Internet Explorer 6 verwendet, stürzt sein Browser ab. (Standardmäßig geschieht dies 0% der Zeit)
  9. Spam : Ersetzen Sie den Knoteninhalt durch ein festgelegtes Word. (Standardmäßig geschieht dies in 10% der Fälle)
  10. Abmelden : Melden Sie den Benutzer ab. (Standardmäßig geschieht dies in 10% der Fälle)
51
dotancohen

E-Mail an den ISP des Missbrauchers - Sie werden Machen Sie Schluss damit!

Sie haben ein Protokoll seiner Kontoerstellungszeiten und der zur Registrierung verwendeten IP-Adressen, oder? Sie haben auch ein Protokoll aller seiner belästigenden Kommentare? Senden Sie diese Protokolle an ihren ISP .

Sie können den ISP finden, indem Sie eine IP-Suche entweder direkt mit ARIN unter https://whois.arin.net/ui oder einem anderen Dienst durchführen, der sie einfach für ein whois verwendet. Die meisten Benutzer haben einen tatsächlichen ISP für den Eigentümer der IP, aber einige (normalerweise große Unternehmen) besitzen die IP selbst. In beiden Fällen finden Sie heraus, wem die IP gehört, und von dort aus können Sie sie nachschlagen und eine Missbrauchs-E-Mail-Adresse abrufen (manchmal wird eine tatsächliche Missbrauchs-E-Mail-Adresse in die WHOIS-Informationen eingefügt, was großartig ist) Ihre E-Mail an. Seien Sie freundlich und höflich mit dem ISP. Schreiben Sie keinen epischen Roman - halten Sie es einfach. Etwas wie "Diese IP hat mich und die Benutzer meiner Website belästigt, siehe Protokolle" wird ausreichen. Sie sehen täglich Tausende davon, sie wollen keine Schluchzergeschichte lesen.

Ich war Netzwerkingenieur bei einem ISP. Wir haben unzählige Belästigungsberichte für diese Art von Verhalten erhalten. Sobald ein Teilnehmer den Anruf erhält, stoppt er in etwa 90% der Fälle. Wenn dies weiterhin der Fall ist, können rechtliche Schritte eingeleitet werden, was bedeutet, dass die meisten ISPs sehr ernsthafte Maßnahmen ergreifen.

Ihr Angreifer ist wahrscheinlich ein Kind, das zu Hause bei seinen Eltern lebt . Wenn das Internetkonto seiner Eltern zu kündigen droht, sind sie unglaublich verärgert über sein Verhalten.

Ich habe diesen Weg persönlich eingeschlagen und er funktioniert, auch wenn der Angreifer nicht in Ihrem Land ist. ISPs nehmen es NICHT gut auf, wenn Benutzer in ihrem Netzwerk missbräuchlich sind.

Randnotiz

Es besteht die Möglichkeit, dass er einen Proxy verwendet. Es ist jedoch sehr unwahrscheinlich, dass er bei der Erstregistrierung einen Proxy verwendet hat, es sei denn, er beabsichtigte (ab dem Zeitpunkt seiner Registrierung) vollständig, auf Ihrer Website zu trollen. Wenn keine der IPs tatsächlich auf einen legitimen ISP verweist, bei dem Sie tatsächlich eine Missbrauchs-E-Mail senden können, versuchen Sie, sie an den von ihm verwendeten Proxy-Dienst zu senden.

Die Leute haben die verrückte Idee, dass jemand, der einen Proxy verwendet, nicht nachweisbar ist. Das ist falsch Proxy-Dienste folgen normalerweise den gleichen Regeln wie alle anderen (natürlich gibt es Ausnahmen). Wenn sie einen Missbrauchsbericht erhalten, kümmern sie sich genau wie ein ISP darum.

Bei der unglaublich geringen Wahrscheinlichkeit, dass dieser Benutzer hinter einem Proxy steht, der nicht Nice spielt, würde ich den Ratschlägen der anderen Antwortenden folgen. Im Ernst, das ist so selten, dass die meisten Websitebesitzer niemals einen Angriff von jemandem sehen werden, der scheinbar "nicht nachweisbar" ist.

30
Nate I

Bei Ihrer Frage erwähnen Sie nicht, dass Sie ein Captcha haben. Vielleicht ist dieser nervige Benutzer ein Bot? Ich vermute, dass Sie bereits ein Captcha haben und dieser Benutzer tatsächlich ein Mensch ist.

Aber ... wenn das nicht der Fall ist, würde ich empfehlen:

reCAPTCHA

Verwendet den Google reCAPTCHA-Webdienst, um das CAPTCHA-System zu verbessern und E-Mail-Adressen zu schützen.

(enter image description here

17
No Sssweat

Hellban/Shadowban

Da es nahezu unmöglich ist, eine Person daran zu hindern, neue Konten zu erstellen, um gesperrte Konten zu ersetzen, ist das sogenannte Hellban ( http://www.urbandictionary.com/define.php?term=) eine beliebte Lösung für dieses Problem hellban ) oder shadowban, wo Sie eine Funktion implementieren, die bestimmte Konten von allen anderen isoliert, ohne dass deutlich wird, dass sie gesperrt wurden.

Sie würden beispielsweise sicherstellen, dass sie das Gefühl haben, dass ihre Erfahrung echt ist und sie weiterhin dieselben Konten verwenden können, aber eine Bedingung stellen, dass alle ihre Beiträge oder Aktivitäten nur für höllisch gesperrte Konten und Konten (oder nicht protokolliert) sichtbar sind. in Situationen), die IP und/oder Cookies mit dem hellbanned-Konto teilen. Wenn der Benutzer weiterhin trollt, aber keine Antwort erhält, wird er schließlich gehen.

9
Peteris

Auf Vorschlag von No Sssweat setze ich dies als Antwort anstelle eines Kommentars ein, damit mehr Leute es sehen.

Drupal.org/project/misery macht einen ziemlich guten Job, um den Mist eines Benutzers mit ungefähr acht verschiedenen Methoden zu ärgern. Zufällige Zeitüberschreitungen, Abmeldungen, zufällige Weiterleitungen usw. und die Häufigkeit kann geändert werden.

Eine einfache Version von dotancohens Nice beschreibt das Problem.

7
Niall Murphy

Wie wäre es mit einem zweiten Faktor? Angenommen, Sie senden in Ihrer Registrierung ein SMS an ihr Telefon oder eine E-Mail) und bitten sie, ihre Registrierung zu bestätigen, indem Sie auf einen Link klicken und die Informationen zurücksenden. Sie erhalten eine schwer zu fälschende Version Kennung als IP-Adresse und es kann einfacher sein, ihn auf diese Weise herauszufiltern. Offensichtlich wird eine kleine Menge an Skripten erforderlich sein ...

6
Blackbeagle

Es ist eigentlich unmöglich.

Sie können eine Person nicht davon abhalten, sich immer wieder zu registrieren. Das einzige, was Sie tun können, ist den Registrierungsprozess zu beschleunigen und ihre ID doppelt/dreifach zu überprüfen (über die E-Mail-Adresse nd Google-Konto nd Facebook-Konto nd = LinkedIn-Konto nd Telefonnummer usw.) und korrelieren Sie jede Person mit einer bestimmten ID, die alle diese Details zusammenfasst.

Die bestimmte Person kann entweder ein anderes Netzwerk über einen Webproxy auswählen, viele @ E-Mails erstellen, mehrere Facebook-/Google-/LinkedIn-Konten eröffnen usw. Sie können diese Person jedoch nie daran hindern, sich erneut zu registrieren (es sei denn, Sie überprüfen ihre DNA).

Sie haben nur die Wahl, den Registrierungsprozess zu beschleunigen.

5
Auzias

Wie von No Sssweat vorgeschlagen, können Sie reCAPTCHA verwenden. Wenn Sie jedoch legitime Benutzer nicht ärgern möchten, können Sie das Modul Honeypot ausprobieren. Es besteht die Möglichkeit, ein zusätzliches Feld zu haben, das nicht ausgefüllt werden sollte (AFAIK-Bots können alle Felder ausfüllen) oder zeitlich begrenzt zu sein.

Die Dokumentation lautet:

Honeypot verwendet sowohl die Honeypot- als auch die Zeitstempelmethode, um Spam-Bots davon abzuhalten, Formulare auf Ihrer Drupal -Seite auszufüllen (lesen Sie hier mehr). Diese Methoden sind gegen viele Spam-Bots wirksam und nicht so aufdringlich wie CAPTCHAs oder andere Methoden, die den Nutzer bestrafen [YouTube].

Eine weitere Option ist das Modul Spambot , das Spam verhindert, indem Registrierungsversuche gegen den Stop Forum Spam überprüft werden.

Spambot schützt das Benutzerregistrierungsformular vor Spammern und Spambots, indem Registrierungsversuche anhand der Online-Datenbank Stop Forum Spam (www.stopforumspam.com) überprüft werden. Außerdem werden einige nützliche Funktionen zum Umgang mit Spam-Konten hinzugefügt.

4
Suresh R

Es gibt eine Antwort auf die Frage - auch wenn die Community dies als anstößig empfinden könnte. Ich weiß nicht warum, sparen Sie Kosten, dass der Weg nicht öfter genommen wurde.

Senden Sie ein Unterlassungsschreiben an die Person, die Ihre Website betritt und gegen Titel XVIII des US-amerikanischen Kodex verstößt. Manipulation von Computern, Betrug und Missbrauch.

Wenn sie nicht aufhören, pony das Geld auf und verklagen. Mitte der 90er Jahre hatte ich den ersten Fall in der WDMO, in dem der einzige ISP für die Region Kansas City von 3 Teenagern gehackt wurde. Ich kontaktierte die Familien (sie hatten einen der Server gerootet und waren dumm genug, ihre Anwendung zu speichern, um "Warez" -Gruppen mit ihren richtigen Namen und Adressen in einem versteckten Unterverzeichnis beizutreten) und bat sie, die jugendlichen Jungen daran zu hindern. Sie weigerten sich.

In einer 54-seitigen Beschwerde musste ich einem neu ernannten Richter erklären: ISPs, Internet, übermäßiger Zugang usw.

Ich war mehr als ein Anwalt, auf ein Konto von mir wurde zugegriffen (Gott sei Dank, kein Kundenkonto - Die Rust Liste) und ich wurde abgehakt. Ich habe die Eltern belastet (nur so) dorthin gehen, wo Angeklagte Minderjährige in einer Zivilklage waren) und erklärte, dass die Eltern eine gefährliche Instrumentalität ohne angemessene Aufsicht in die Hände von Minderjährigen gelegt hätten und dass die Minderjährigen sich mit der Übertragung von gestohlener Software und Kinderpornografie befasst hätten (Yep, 16 Jahre alt) Jungen, die Fotos von ihren 16-jährigen Freunden machen, sind "Kinderpornos". Ich habe die Richtlinien des Hausbesitzers eingehalten und hatte ein Mittel, das die Gerichte damals nicht einmal in Betracht zogen: ein lebenslanges Verbot der Nutzung von Computern für Jugendliche.

Es wurde innerhalb einer Woche nach der Übertragung der Entdeckung erledigt.

Sie haben alles andere versucht: Hämmern Sie diese kleine Scheiße mit einer Walletektomie. Achten Sie darauf, einen Anwalt auszuwählen, der weiß, was dies ist, und nicht einen, der mit einer "großen Firma" in Verbindung steht, bei der Ihnen der Tod in Rechnung gestellt wird.

Überlegen Sie, wie ein Gerichtsbeschluss funktionieren könnte, der den Zugriff des Idioten auf Ihre Website verhindert: S/Er ist gesperrt - Sie finden eine IP-Adresse, die gegen den Gerichtsbeschluss verstößt - senden Sie sie an Ihren Anwalt und er/sie reicht beim Gericht einen Antrag ein Verstöße gegen die Verordnung und das Gericht werden mit einer Show Cause Order antworten, warum der Angeklagte nicht in Missachtung des Gerichts gehalten werden sollte.

Ein Angriff von anderen Websites/IP-Adressen kommt herein - sagen Sie es Ihrem Anwalt - und die Antwort kann das Spiegeln der Computer des Angeklagten, eine einstweilige Verfügung, die den Angeklagten vom jeglichen Zugriff auf das Internet abhält, und die Feststellung, dass der Angeklagte die Anordnung durch einen Bevollmächtigten verletzt hat, umfassen wird der Gerichtshof Sanktionen verhängen.

Letztendlich hat sich der Idiot möglicherweise darauf beschränkt, für immer vom Internet ausgeschlossen zu sein. Wenn Sie nach all dem wirklich sauer sind und sicher sein möchten, dass der Angeklagte nicht im Internet ist, stellen Sie einen PI ein, der dem Angeklagten eine Woche oder zehn Tage lang folgt (nicht billig), und wenn er auf das Internet zugreift von einem Starbucks - oder McD's haben Sie sie: zurück zum Richter.

Die endgültige Anordnung ist unglaublich und wird nur mit überwältigenden Beweisen geschehen, dass der Angeklagte routinemäßig gegen die Anordnungen des Gerichts verstoßen hat: keine Smartphones, kein VOIP, kein Kabel- oder Sat-TV (Internet ist verfügbar und er/sie hat eine völlige Missachtung der Gesetz, also ist nichts erlaubt, was sie hacken können, um Zugang zu erhalten), kein Internet (es wäre schön, wenn es ein lebenslanges Verbot wäre - wahrscheinlich nicht), kein Internet der Dinge und letztendlich keine Computergeräte.

Wenn der Angeklagte seinen Lebensunterhalt im Technologiebereich verdient hat - sie haben Gräben für Dig und Burger zum Umdrehen.

So kann man dies mit der nuklearen Option beenden.

3

Ich mag das Elend-Modell, aber ich würde hinzufügen, ihn zufällig auf eine Seite mit wirklich lauten nervigen Nachrichten zu schicken und ihn manchmal zu wirklich schlechten Pornoseiten zu schicken. Alles, was ihn in Schwierigkeiten bringen oder in Verlegenheit bringen könnte, wenn er in der Öffentlichkeit ist.

2
jerry

Ich habe ein Modul speziell für diese Art von Situationen geschrieben. Es heißt Spaces Enforced und ist hier zu finden. Es blockiert alle registrierenden Personen, deren Name nicht mindestens 1 Leerzeichen enthält. Es kann weiter konfiguriert werden und Sie können auswählen, welches Zeichen wie oft angezeigt werden soll. Es hat auch eine Nachfolgequote von fast 100%

2
Kartagis