Bagaimana mereka menemukan halaman 'pendaftaran pengguna baru'? (Saya terutama terkejut karena beberapa forum tidak memiliki URL khusus untuk ini misalnya, www.forum.com/register.html, tetapi sebaliknya menggunakan string kueri atau bahkan metode lain yang tidak terlihat oleh bilah URL)
Mereka menemukan situs baru dengan:
- Merangkak dan mencari tanda tangan dari perangkat lunak yang dikenal. Biasanya ini adalah potongan teks seperti hak cipta atau tag meta tetapi bisa berupa pengidentifikasi yang konsisten. Ini biasanya berlaku untuk perangkat lunak blog dan forum.
- Inklusi manual. Manusia, yang pekerjaannya murah di banyak bagian dunia, mencari perangkat lunak atau bentuk yang dikenal yang mudah dieksploitasi dan menambahkannya ke database. Ini biasanya berlaku untuk pendaftaran kustom dan formulir kontak.
- Mereka membeli daftar. Sama seperti alamat email yang dijual oleh spammer, daftar situs target yang dikenal rentan atau disukai juga dijual.
Bagaimana mereka tahu apa yang harus dimasukkan ke dalam setiap bidang 'pendaftaran pengguna baru'?
Mereka tahu apa yang harus dimasukkan ke dalam setiap bidang dengan menggunakan nama bidang sebagai panduan. 99,99% dari waktu bidang alamat email bernama "email" atau sesuatu yang mengandung kata "email". Anda tidak harus menjadi ilmuwan roket untuk mengetahui bahwa bidang tersebut mungkin untuk alamat email. Untuk hal-hal seperti nama, ID masuk, alamat dll. Berfungsi dengan prinsip yang sama.
Bagaimana mereka menentukan halaman apa yang bisa mereka spam / masukkan data dan apa yang bukan?
Mereka tidak peduli. Alat otomatis dapat mencoba berbagai bentuk dalam waktu yang singkat tanpa biaya, jadi mencoba setiap bentuk yang mungkin adalah hal yang sulit dilakukan. Ketika tenaga kerja manusia terlibat, mereka dapat menjadi "skrip kiddies" dan mencoba hal-hal yang jelas untuk melihat apakah mereka mendapatkan respons apa pun yang menunjukkan bahwa formulir tersebut berpotensi rentan. Pada dasarnya, segala bentuk adalah target potensial bagi mereka seperti halnya setiap halaman yang menerima input pengguna.
Bagaimana cara kerja spambot forum?
Apakah mereka bahkan 'melihat' halaman ini sama sekali? ..Jika tidak, maka saya akan berasumsi mereka berkomunikasi dengan server secara langsung - bagaimana - ini mungkin? Bagaimana mereka melakukannya?
Dari mana spambot berasal? Apakah seseorang duduk di belakang komputer sambil melihat bot mereka menghancurkan situs demi situs? Atau apakah mereka terkekeh karena mereka hanya 'melepaskan' ke internet entah bagaimana? Apakah spambot 'dijalankan' oleh komputer yang terinfeksi di suatu tempat? Apakah mereka meniru diri mereka sendiri?
Semuanya otomatis. Alat-alat seperti xrumer dibangun, dan dijual, dan berisi kemampuan untuk mengeksploitasi perangkat lunak dengan kerentanan yang diketahui. Siapa pun dapat membelinya dan setelah memasangnya lebih atau kurang api dan lupa. Ia pergi ke setiap forum dalam daftar dan mencoba untuk spam ke kemampuan terbaiknya. Hanya karena kekuatan kasar itu berhasil dan layak untuk spammer. Itu sebabnya mereka tidak pernah berhenti. Mereka nyaris tidak perlu mengangkat jari untuk bisa bekerja.
Bisakah spambot forum memecahkan CAPTCHA? Bisakah mereka memecahkan pertanyaan logika (bagaimana?)? Pertanyaan matematika?
Ya, tapi tidak selalu. Tergantung pada seberapa baik itu diterapkan. Tetapi banyak captcha, termasuk yang ditawarkan oleh perusahaan besar, telah dipukuli dan secara efektif tidak berguna. Karena itulah diperlukan berbagai bentuk perlindungan untuk menghentikannya. Meski begitu, manusia biasanya dapat mengalahkan sistem apa pun.
Teknik apa yang masih berlaku untuk mencegahnya?
Dari jawaban sebelumnya : Anda dapat melakukan beberapa hal (dan harus melakukan lebih dari satu) termasuk:
1) Menempatkan bidang palsu yang hanya akan dilihat oleh bot. Kemudian jika bidang itu dikirimkan dengan sisa formulir, Anda dapat mengabaikannya (dan melarangnya jika diinginkan). Anda juga dapat menjebak bot jahat yang mengikuti tautan tersembunyi .
2) Gunakan CAPATCHA seperti reCAPTCHA
3) Gunakan bidang yang mengharuskan pengguna untuk menjawab pertanyaan seperti apa itu 5 + 3. Setiap manusia bisa menjawabnya tetapi bot tidak akan tahu apa yang harus dilakukan karena itu adalah bidang yang diisi secara otomatis berdasarkan nama bidang. Sehingga bidang itu akan salah atau hilang dalam hal pengajuan akan ditolak
4) Gunakan token dan masukkan ke dalam sesi dan tambahkan juga ke formulir. Jika token tidak dikirimkan dengan formulir atau tidak cocok maka itu otomatis dan dapat diabaikan.
5) Cari pengiriman berulang dari alamat IP yang sama. Jika formulir Anda seharusnya tidak mendapatkan terlalu banyak permintaan tetapi tiba-tiba itu mungkin sedang terkena bot dan Anda harus mempertimbangkan untuk sementara memblokir alamat IP.
6) Gunakan Akismet . Ini sangat bagus dalam mengidentifikasi spam.
Pemrogram yang berbakat (jika jahat) menulisnya - mungkin ada banyak jenis spambot yang berbeda dengan orang yang menulisnya, tetapi, sayangnya, hanya diperlukan beberapa penulis spambot yang berbagi dan menjual karya mereka untuk menghancurkan kehidupan para administrator ...
Salah satu aplikasi spamming forum populer disebut "xrumer".
Sementara saya menyadari bahwa ini tidak menjawab semua pertanyaan Anda, saya pikir itu menyebutkan bahwa apa pun yang tidak dapat dilakukan oleh bot (seperti menyelesaikan pertanyaan logika non-statis yang rumit) dapat dilakukan oleh pekerja bergaji rendah di luar negeri. Spamming adalah bisnis yang sangat mirip dengan yang lainnya dan tidak ada kekurangan tenaga kerja murah yang ditujukan untuk menempatkan pesan spam di luar sana.
sumber
Saya membuat plugin Anti-spam untuk WordPress , itu memblokir spam yang cukup bagus tanpa Captcha atau apa pun.
Bagaimana cara kerjanya: Dua bidang tambahan ditambahkan ke formulir komentar. Pertama adalah pertanyaan tentang tahun berjalan. Kedua harus kosong. Jika pengguna mengunjungi situs, maka bidang pertama dijawab secara otomatis dengan javascript, bidang kedua dibiarkan kosong dan kedua bidang disembunyikan dan tidak terlihat oleh pengguna. Jika spammer mencoba mengirimkan formulir komentar, ia akan membuat kesalahan dengan jawaban di bidang pertama atau mencoba mengirim bidang kosong dan komentar spam akan ditolak. Pengguna tidak harus memasukkan Captcha atau apa pun untuk membuktikan itu bukan bot, semuanya dibuat oleh javascript.
Anda dapat mengunduh plugin dan menggunakan kode untuk menyelesaikan masalah dengan spam di situs Anda.
sumber
Ketika mencoba mengalahkan mereka, satu hal yang perlu saya ingat adalah bahwa tujuan mereka biasanya memposting tautan ke sebanyak mungkin situs web untuk keuntungan SEO topi hitam.
Mereka peduli tentang jumlah situs yang mereka dapatkan aksesnya, dan bukan situs Anda secara khusus. Seseorang yang hanya ingin spam hanya situs Anda saja dapat mendaftar tanpa menggunakan robot.
Dengan demikian, saya cukup yakin bahwa tes dipesan lebih dahulu yang ditulis dengan baik (mis. Pertanyaan yang akan diketahui jawabannya oleh anggota forum Anda) hampir selalu akan lebih efektif terhadap robot daripada tes pra-tertulis yang mana robot cenderung bijaksana. untuk.
Misalnya, jika robot memecahkan Recaptcha maka ia akan memiliki akses ke jutaan bentuk spam. Jika itu memecahkan tes yang dipesan lebih dahulu, maka itu hanya akan memiliki akses ke satu situs web, sehingga tidak ada spam-bot otomatis akan repot melakukan hal itu.
https://www.projecthoneypot.org dapat memberikan beberapa data yang baik untuk digunakan (mis. kata kunci dan ips untuk diblokir)
sumber