Спам (spam) комментарии, публикации с множеством ссылок

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Сталкивался в своей практике с многими ресурсами которые представляют из себя большую мусорную корзины и множеством ссылок.

Да одна цель это накрутка для сайта помощью внешних ссылок.
Я серфю инет постоянно и не попадаю на такие мусорные ресурсы. Значит значимость таких мусорных ресурсов в поиске сильно мала. Тогда в чем выхлоп это незнание людей об этом и плюс сдадное поведение руководствуясь глупостью первого.

Спамер же тратят свои ресурсы время и деньги для спама. Получается что от незнания люди покупают спам и полностью не понимают последствия того что просто заплатили деньги за развод.
Сами себя обманули.


На этом форуме стоит гугл капча кто то сидит и руками тыкается получается. Или есть уже технологии, сервисы обхода гугл капч?

Задаюсь вопрос какие методы применить к глупому спаму?
 

Axom

Администратор
Администратор
8 Фев 2005
2.710
210
63
Хрумер вроде всё умеет обходить.

Надо сделать проверку вопрос-ответ.

А так есть ресурсы где людям платят копейки за ввод капчи. Не знаю актуально ли это сейчас.
 
Последнее редактирование:

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Да знаю есть такие рабы кто за коппей тыкает. Опять же тут понять выхлоп весь ..мотив в чем? В деньгах! Тогда затраты на капчу, тыканье даже коппеки за год выйдет в тысячи. А итоге принесло это прибыль заказчику?
Конечно тут очевидно что есть исполнитель который сыт в уши нанимателя(клиента) у кого есть деньги. И как понимаю неграмотных людей оООойй как много. Это означает что спам будет жить ой как долго :dirol:
 

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Наблюдая эту сферу изучая возможно программ для спама. Есть несколько минусов которыми я решился воспользоваться в своих интересах для защиты. Смысл спама в его автоматизации для его использования. Принцип запускам бота который автоматически заходит анализирует форму. Дальше просто заполняет и post-запросом отправляет спам. Есть даже анализаторы капчи и это тоже проходит. Не говоря что есть сервисы которые тыкают капчи это для меня дикость)))
Я подумал что если робот ищет в форме слова для заполнения их можно постоянно менять каждый раз при вызове формы. Пример сайта http://bizmaster.su ниже рассмотрю код. Каждый день приходил спам. После применения динамического изменения имен запроса для POST заголовка, спам пропал на 100%

Идет смена параметров атрибута name="wffm0ea93186968b4fc890da48c20083faed.Sections[743].Fields[0].Value" и id="wffm0ea93186968b4fc890da48c20083faed_Sections_743__Fields_0__Value" И так у каждого тэга в форме) Что получается будет сложно прицепить бота к форме для автоматической отправки.

демонстрация часть кода...
HTML:
<input
name="wffm0ea93186968b4fc890da48c20083faed.Sections[743].Fields[0].Value"
class=" form-control text-box single-line"
id="wffm0ea93186968b4fc890da48c20083faed_Sections_743__Fields_0__Value"
type="text"
placeholder="* Имя / Организация"
data-val-required-tracking="{7E86B2F5-ACEC-4C60-8922-4EB5AE5D9874}"
data-val-required="Это поле обязательно для заполнения."
data-val-length-max="256"
data-val-length="Строка должна быть от 3 до 256 символов."
data-val="true">
POST data много непонятной информации ))))
1623527575796.png


Это один пример где меняем часть кода в HTML разметке. И получаем радномную форму для понимания робота.

В эксперименте пошел тестировать другие варианты. На сайте https://vshost.ru есть только одно поле в форме для заполнения. Что делает изменение параметров рандомно name="e-mail_1949" id="e-mail_2149" HTML уже может оказаться не сильно вариантом. К этому добавляется еще рандом параметров у каждого атрибута у одного поля в форме. Поскольку форма ajax и можно отправлять данных как атрибутом name или id добавляет боли боту. А так решил попробовать сделать проверку на живого человека. Добавить еще проверку помимо динамического изменения параметров атрибута. А именно проверку по клику поля в форме.

демонстрация часть кода...
JavaScript:
$('#contact_form input').click(function(){
            dycm = $(this).attr('id');//.replace(/[^A-Za-z]/,'');
            $('body #'+dycm).next().val('тут может быть символ для конечной проверки');
        });
И еще добавил дополнительное скрытое поле. Виде поля которое нужно заполнить )) Но только при клике мышкой по полю. Это может сделать только живой человек с использованием скриптов то есть браузера... нуу или кликеры по координатам, что очень ресурсно для спама))
HTML:
<input type="text" name="e-mail_1949" id="e-mail_2149" class="form-control" placeholder="Email" hidden="hidden" value="">
И проверяем при отправке ajax на обработку post запросом. Спам прекратился полностью. Теперь форма можно отправить только через личное тыканье заполнение.


До этого говорил об вариантах без капчи любой капчи прекратить ботовский спам. Что если есть капча ? Как например на форуме ))

1623529412642.png

Поскольку боты набирают символы капчи налету заполняя ее. Тоже можно внедрить проверку по клику поля формы заполнения и еще нажатия цифр клавиш на клавиатуре цифр)) Что делает хорошую проверку но не для мобильник или набора виртуальной клавиатуры цифр. Я решил попробовать упростить задачу и рассмотреть для теста саму капчу. Что если её изменить? Вот так просто изменить символы внутри страницы, сам код для бота. При HTML для человека цифры будут такими как есть, а вот для робота уже будут выглядеть иначе.
HTML:
<span id="txtCaptchaSpan">48 7 7 3</span>
Видим что код другой чем на скриншоте. Что делает не возможным использовать тот алгоритм бота который повторяет символы из капчи в поле набора. Я думал еще само поле капчи зарандомить чтобы бот не понимал где сама капча и какой форме относится капча))) Но решил по этапно проверить алгоритм бота который спамит эту форму нон стопом.

Оказалось что спам можно легко остановить в форме :wink: Пишите если нужно боле детально подробности Вот в этой теме https://xn--80apjgdy9f.xn--p1ai/threads/Форма-обратной-связи-антиспам.28023/#post-608473
 
Последнее редактирование:

Axom

Администратор
Администратор
8 Фев 2005
2.710
210
63
Если это сделать на посещаемом ресурсе, где у кого-то есть интерес заработать на нём или наспамить, все эти защиты обойдут) А залётные спам-боты конечно отсеятся.
В противном случае будет создаваться гемор для обычных посетителей.
 

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Интересно послушать тебя как программиста более подробно с аргументами Почему бы ты не стал использовать подобное решение и в чем "гемор" конкретно?

Конечно обойти можно все Нанять армию людей В этом и будет заключаться функционал формы на сайте чтобы ее использовали люди, а не алгоритм ботов.
Роботы же встанут там и это основная цель плагина против спамботов. Сам алгоритм можно усложнять где гарантированно любые боты встрянут. Тут надо понимать что боты это ресурсы и деньги чтобы их использовать. Не говоря про наемных людей) Против бесплатного решения защиты формы.
А мотив плагина заключается в том чтобы не усложнять капчами и лишними не по теме действиями для пользователя. Который просто зашел заполнить форму.

Зачем создавать капчу заставлять проходить дополнительные препятствия для пользователя когда есть решение легче. Чтобы администраторам сайта больше не получать спам и пользователь чтобы не страдал и не тратил свое время на капчи или вопросы не по теме и т.д. Конечно если мотив капчи не в основной остановки от спама и не для удобства пользователей. А для еще каких то скрытых целей капчи, тогда это другая тема Не про спам

зы В плагине установлена ссылка на донат юниласа надеюсь плагин пройдет модерирование вордпресса и тем самым больше шанса будет что кто то задонатит для форума.
@Axom присоединяйся давай писать вместе )
 

Axom

Администратор
Администратор
8 Фев 2005
2.710
210
63
Любые защиты без интеллектуальных уникальных действий можно обойти всегда.
Потому что все действия выполняет в конечно итоге компьютер. Все эти действия можно запрограммировать, проанализировав защиту.
Бота с выполнением JS вообще без труда можно сделать.

Самый топорный способ угарный видел как обходят гугловскую капчу - множество сматфонов где по экрану тыкает палец на приводе и ставится галочка))) Китайцы вроде так учудили. И капча проходила))))

Просто на работе приходилось много думать про защиту от ботов. В итоге сводилось к тому, что эти защиты временные и их могут обойти. Без дополнительных действий от пользователя сложно что-то надёжное сделать от ботов.
В итоге мы приходим к тому, что мучаем обычных пользователей.

Хотя форму для заполнения на сайте защитил от спама путём добавления скрытого через css поля. И если оно заполнено, то выдавалось сообщение об удачной отправке, но менеджеры данные не получали. И это прекрасно работало от залётных ботов)))
 

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Спасибо за ответ

Вот этот скрипт и удобен тем что не требуется от менеджера сайта не от пользователя дополнительных действий. Менеджер сайта забывает про спам и к нему приходит только сообщения от реальных пользователей. А пользователем для оформления формы на сайте. Им не нужно отвлекаться на дополнительную логику всяких капч, а значит тратить дополнительно время для отправки своего сообщения.

Да можно целей достигать по разному. Но если говорим про компьютеры, глобальную сеть интернет. То у всего есть ограничения виде технологий. Технологии и есть прозрачные и строгие границы возможностей. В рамках которых будет что-то функционировать верно по той логике что хотим и ожидаем получить в итоге.

Уникальность скрипта состоит что остановит всех ботов которые отправляют сообщения путем подготовленного метода POST запроса.
Обойти эту защиту можно только изменив существующие технологии на что-то ещё...
Плюс как усложнить логику для ботов в плагине есть. На данный момент в плагине релизованно только начальная защита. Нужно собрать больше данных от пользователей используя плагин. Что увеличит эффективность защиты.
За все время так увлекся в анализе ботов для динамического заполнения информации. Что пользуюсь ограничениями технологий, чтобы определить бота и возможности на данный день программирования ботов в целом.
За многое время внедрение простой логики проверки на сайты. Было получено снижение спама во множестве раз до полного его прекращения.

Хотя форму для заполнения на сайте защитил от спама путём добавления скрытого через css поля. И если оно заполнено, то выдавалось сообщение об удачной отправке, но менеджеры данные не получали. И это прекрасно работало от залётных ботов)))
Видишь даже сам описываешь простое решение не задевая людей отсек ботов.
Ты думаешь боты проверяют после себя успешность отправления формы?
Благодарю за информацию...

Проследил логику множества сетей поисковых ботов (crawler bots) Есть сети которые сканируют сайты с последующим выхлопов спама когда обнаруживают формы. И большая часть ботов работает динамически, чем удачно справляется плагин. Который просто использует рамки технологии через которые ничто не перепрыгнет. Как и ответил пока технологии не изменили то плагин будет их выполнять со 100% результатам.
Только благодаря этим ограничениями в технологиях и достигается высокие результаты работы скрипта.
Как раз wordpress самый распространенный php скрипт и самыми не защищёнными от спама формами. И расширения функционала в вордпрессе достигается за счёт плагинов. Как раз установка этого плагин принесет пользу для администратора сайта и для пользователяей. Где злоумышленники потерпят неудачу из за строгих ограничений технологий. По принципу строго подчинения правилам.
Абстрактно пример, где камень подброшенный на земле, стоящим на земле человеком упадет на землю гарантированно.
Это и есть логика работающих технологий. В рамках этих знаний человек достигает своих целей. Чем рамки шире тем больше вариантов достижения цели чем уже тем меньше. В цифровых информационных технологий рамки возможного строго определены. Чем можно пользоваться защищая ресурсы в сети.


Любые защиты без интеллектуальных уникальных действий можно обойти всегда.
Потому что все действия выполняет в конечно итоге компьютер. Все эти действия можно запрограммировать, проанализировав защиту.
Бота с выполнением JS вообще без труда можно сделать.
В строгих рамках технологий защищаться легче чем нападать. Если было бы обратное то все бы сидели сейчас с взломанными ресурсами ))
Даже если проанализировать логику все равно все упирается в строгие правила технологий. Плагин как раз работает используя эти правила и к сожалению для злоумышленнику не остаётся шанса обойти плагин. Так как придется тогда обойти правила технологий.


Самый топорный способ угарный видел как обходят гугловскую капчу - множество сматфонов где по экрану тыкает палец на приводе и ставится галочка))) Китайцы вроде так учудили. И капча проходила))))
Поделись подробнее было здорово :wink: Мне интересно Но мне кажется это больше для хайпа Эффективности в этом вижу мало. Точнее она полностью не эффективна))
По моим данным многолетним есть несколько видов роботов. Условно отмороженные боты долбят с многократными попытками форму. Терзают множество часов, суток и неделями. Это не эффективно в плане ресурсов они не бесконечны.
А есть боты которые делают определенное количество раз попыток в независимости удачно или нет. Не проверяют свою работу в итоге. Таких больше конечно.

Просто на работе приходилось много думать про защиту от ботов. В итоге сводилось к тому, что эти защиты временные и их могут обойти. Без дополнительных действий от пользователя сложно что-то надёжное сделать от ботов.
В итоге мы приходим к тому, что мучаем обычных пользователей.
А зря )) Этого можно легко избежать руководствуясь технологиям. Легко можно не теребонькать пользователя вообще. Капчу изобрели не логичный вариант по моему мнению. На скорую руку и начали бороться с развитием самих ботов не используя правила технологий. Гугл вообще капчу юзает только для статистики своей в своих интересах. Он вообще легко могут брать в итоге информацию со всех форм ЭТО ЖЕ ОПАСНО!!!
Смысл борьбы с ботами с внешними средствами JavaScript с внутренними взаимодействиями ботов на сайте ниже уровнем? Когда бот сразу формирует готовый метод POST основываясь на статических сформированных данных разметки сайта.
Вот тут как раз используя динамического JavaScript создаётся условия изменения статических данных сайта. Которые последующие изменения ждём в итоге. Передача данных от клиента на сервер во внутреннюю обработку данных.
Всегда считал что пользователь не должен участвовать в в защите сайта в динамический изменений на сайте. Как делают все капчи или какие то проверки. Динамические изменения можно сделать не трогая пользователя изначально. Кстати гугл спустя множества лет выполнил такую капчу в итоге. Которой нет на сайте. Но она все равно собирает данные с форм ЧТО ОЧЕНЬ ОПАСНО!
Конфиденциальные данные должны оставаться там где они создаются!
Люди этого не понимают а зря )) При передаче данных кому то ещё то и смысла в SSL то не очень большой )) И даже глупый )) Именно он и нужен для защиты POST Смысл тогда в SSL если данные передаём с помощью капчи кому то ещё ?))))

Ой это ещё не разбирал авторизацию и бессмысленную сложность паролей. Я не использую пароли вообще !)) Авторизация только через почту по ссылке Это другая тема актуальна тоже можно про нее поговорить :wink:

 

Axom

Администратор
Администратор
8 Фев 2005
2.710
210
63
Столько написал и не лень)))
Ты молодец конечно!

Я просто сам по себе такой замороченный. Если что-то делаю и есть даже минимальные сомнения, то делать не буду, пока не придумаю как сделать абсолютно надёжно.
Не люблю просто переделывать)))
 

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru
Столько написал и не лень)))
Ты молодец конечно!
Не ты что ) я с большим удовольствием В первую очередь же для себя делаю свои желания выполняю Это святое свои хотелки любимые выпалить в жизнь. Плюс я же готовлю доказательную часть самопроверка того что делаю в моменте Еще мне нужно тестирование моих умозаключений И еще тестирование самого плагина Буду рад если примешь участие
И спс за добрые слова

Я просто сам по себе такой замороченный. Если что-то делаю и есть даже минимальные сомнения, то делать не буду, пока не придумаю как сделать абсолютно надёжно.
Не люблю просто переделывать)))
О я это ценю в себе такое проявления Делаю все для себя так что меня устраивает мое отношение качество к себе) Заниматься тем что хочешь это очень ценно
Переделывание признания ошибки нового опыта и с новым опытом переделать создав что то более лучше чем было раньше :wink:
 
  • Like
Реакции: Axom

FussesDemon

Администратор
Администратор
9 Фев 2005
6.418
693
113
www.unifree.ru