, ,

Der falsche Hase: Wenn sich Spammer registrieren

In den letzten Tagen und Wochen haben sich bei mir am Blog immer mehr UserInnen registriert – allerdings handelt es sich dabei keineswegs um interessierte LeserInnen, sondern um Spambots: leicht zu identifizieren an den aus jeweils zwei Bauteilen zusammengesetzten Usernamen.

„Normaler“ Kommentarspam hat dank der Kombination aus Akismet und Math Comment Anti Spam kaum mehr eine Durchdringungschance, und Simple Trackback Validation hält mir die Spam-Trackbacks vom Leib, aber es bleibt ein Kopf-an-Kopf Rennen: die neueste Taktik der Spammer scheint darin zu bestehen, sich zu registrieren.

Mit Ausnahme der angelegten User sind mir bisher keinerlei Aktivitäten aufgefallen, aber ich vermute mal, dass die Spammer präventiv massig Accounts anlegen und dann bei Bedarf „zuschlagen“ – Kommentare von registrierten Usern haben grosso modo definitiv größere Überlegungschancen: ist der betreffende Bot erstmal eingeloggt, entfällt zumindest die Rechenaufgabe; ob Akismet eingeloggte User anders behandelt, entzieht sich allerdings meiner Kenntnis. Wie sieht’s bei der bloggenden Kollegenschaft aus? Habt ihr plötzlich auch jede Menge russischer User, die hans_schmid, herr_schmid, schmiz_schmid und so weiter heißen?

Registrierung abdrehen?

Könnte man machen, mag ich nicht. LeserInnen, die regelmäßig kommentieren wollen, sollen sich ja registrieren können, um nicht jedesmal die Rechenaufgabe lösen zu müssen… außerdem kann man nur durch Registrierung einen Usernamen „reservieren“, und wenn ich mal den ersten Ferrari verlos, dann müssen sich die GewinnspielteilnehmerInnen ebenfalls registrieren 🙂

Und da es ja kein „Simple Spam User Removal“ Plugin gibt, bleibt wohl nur die händische Kontrolle der User-Accounts. Schnuttensalat hat ebenfalls verstärkte Spam-Anhäufungen bemerkt, und ich wette, ich bin nicht der einzige mit russischen Gästen.

8 comments
Gregor
Gregor

Hehe :D Na dann gib mir Bescheid wenn es soweit ist.

Gregor
Gregor

Hallo Ritchie Wann willst du denn einen Ferrari verlosen? ^^

ritchie
ritchie

Klingt nach einer guten Idee... sofern bots nicht demnächst JS-on emulieren :-) Sollte man Michael Wöhrer (von ihm ist math comment anti spam) mal vorschlagen!

Aufschnürer
Aufschnürer

Bei mir ist die Registrierung auch deaktiviert. Für Blogs wie meinen mit nur wenig Traffic lohnt sich die Userreg. sowieso nicht. Wieso wird das Math Plugin nicht einfach wie einige andere auch auf Basis von JavaScript eingeblendet? Das läuft so ab: Es wird versucht ein kleines JS auszuführen. Gelingt das (User mit aktiviertem JS) wird kein Anti-Spam-Feld eingeblendet. Gelingt das nicht (Bots und User mit deaktiviertem JS), wird das Feld eingeblendet. Menschen geben den Code ein bzw. rechnen. Bots bleiben weiter außen vor. Positiver Nebeneffekt also, dass die meisten User nicht mehr mit der Rechenaufgabe belästigt werden - auch ohne Registrierung. Gruß, Aufschnürer

ritchie
ritchie

Ich denk auch, dass es sich um Präventivregistrierungen handelt - hab auch schon überlegt, die Reg abzudrehen, aber andererseits hat die Registrierung für "echte" User eben durchaus Vorteile wie das Wegfallen der Dateneingabe beim Kommentieren, daher möchte ich das Feature lieber doch nicht ganz sperren.

flori
flori

ich denke mal, dass diese bot-accounts nicht nur dem spammen dienen, sondern auch präventiv angelegt werden, da es immer mal wieder sicherheitslücken gibt, die registrierte benutzer ausnutzen können... aus diesem grund habe ich bei mir die registierung auch außer kraft gesetzt...

Wini
Wini

ja klar! Hab ich eh auch. Schon seit mindestens einem halben Jahr. Aber bis dato hat da noch nie jemand einen Kommentar hinterlassen.

ritchie
ritchie

Muss erst noch mit Enzos Erben verhandeln :mrgreen: