.htaccess

dougie

...hier gibt's doch ein paar Experten zu dem Thema....

Wie muss eine .htaccess aussehen, damit dieser Störenfried mir nicht weiter mein Guestbook mit irgendwelchem Spam zumüllt.

Problem: ich kenne die IP von dem Kerl nicht und weiss auch nicht wie ich sie raus bekommen kann...

Was ich schon probiert habe:

- Guestbook umbenannt
- Message Datenbank verschoben
- .htaccess IP Adressen des Zielservers geblockt

hannes86

Aber dann kommt doch auch kein anderer mehr auf das GB...

Wäre da ein Captcha nicht sinnvoller ?

Ise

Ich könnt dir mit anderen tipps aushelfen was SPAM bekämpfung angeht, dazu findet man aber auch einiges an Literatur.
Capatcha oder bissel php Code damit lässt sich ein Spam aufkommen schon drastisch reduzieren. Wenn da ein paar Überprüfungen gemacht werden, die halt typisch sind für Spam.

was hast du denn mit deiner .htaccess vor? Wenn du schon die IP Addresse gesperrt hast. Isses ne statische IP oder dynamische?

Sebastian

..:Dude:..

Verschieben, umbenennen bringt alles nix, denn doch wieder irgendwo ein Link zum GB existiert, was ja wohl auch der Fall sein wird, sonst findet es ja keiner

Aber schau Dir mal folgendes an:

http://www.bot-trap.de/home/

Ein anderes Thema, aber trotzdem für Webmaster nützlich.
http://www.spider-trap.de/

UND vor allem sollte auf jedenfall ein "gutes" Captcha rein, das alleine bringt normal schon 99% Erfolg.

dougie

...also die Captcha Funktion hab ich natürlich schon ausprobiert (hat nicht geholfen) und die IP desjenigen der spamt ist immer unterschiedlich (hab mal vorhin mein Logfile gebrowst)

Also dann eben php.... kann ich (noch) nicht...

Am liebsten wär mir ein paar Zeilen code die die message nach wörtern absucht, die ich in einer anderen Datei eingetragen habe.

Wie und wo trage ich so was ein?

Ich hatte im Netz das hier gefunden:

Code:
/* Begin Banlist check */
$bw="bw.txt";
$blacklist = file($bw);
function blacklist_check($text, $blacklist){
foreach ($blacklist as $line_num => $line) {
$line = trim($line);
/* echo('Geprüfter Text: '.$text.' auf '.$line.' mit stristr(), Ergebnis: '.stristr($text, $line).' ... '); */
if(stristr($text, $line)) {
echo 'Sie haben folgendes unerwünschte Schlüsselwort eingegeben: ';
echo ''.$line.' ';
die ('SPAM ist hier UNERWÜNSCHT!!!');
}
}
return;
}
blacklist_check($comment, $blacklist);
blacklist_check($name, $blacklist);

/* End Banlist check */

..:Dude:..

Dann ist das aber kein Roboter, sondern eher eine einzellne Person? Was wird denn so gespamt, Werbung?

Es gibt gute und schlechte captchas. Und dann kommt es noch auf die Technik vom GB an. Welches benutzt du denn?

dougie

Schau selbst:

Capcha hab ich aber wieder ausgeschaltet, weil es nichts gebracht hat.

http://www.mini-cooper-clubman.de/html/leave_a_message.php

Ich hab hier einen Code Schnipsel aus meinem original php file, wo anscheinend die Message überprüft wird ob sie leer ist.
Kann mir mal bitte jemand helfen wie ich den obige Banlist Check adaptieren kann?

VG
Ralf

// validate comment
if ( document.<?="form".$nof_componentId?>.comment.value == "" ) {
alert( "<?=html_entity_decode($GLOBALS['nof_resources']->get('gb.AddForm.CommentField.RequiredMessage'))?>" );
document.<?="form".$nof_componentId?>.comment.focus();
return false;
}

Bandit

Wie fit bist du in PHP, html und CSS, dougie?

Ich habe das Problem (z.B. bei Rüdiger auf der Seite) ganz einfach gelöst:

Der Spam wird ja von keinem Menschen sondern von einem Bot eingetragen. Also habe ich ein zusätzliches Formularfeld eingefügt mit einem zufälligen namen, z.b. "hdfkriz". Dieses Feld dient als Eingabefeld für den Namen im Gästebuchformular und wird vom PHP Script weiter verarbeitet. Das Formularfeld mit dem Namen "Name" hab ich durch seine CSS-Eigenschaften unsichtbar gemacht. Der Bot sucht nach dem Feld Name, der Mensch füllt das aus, was er auf dem Bildschirm sieht, egal wie das Feld im Quelltext heißt.
Bei der Übergabe der Daten an die Datenbank, prüft das Script ob das Feld Name ausgefüllt wurde, wenn ja wandert der Gästebucheintrag direkt nach dev/null.

dougie

Leider überhaupt nicht fit in php und CSS .... html geht gerade so.

Problem: ich verwende NetObjectsFusion.... da kann man nicht viel selber machen. Das höchste der Gefühle was ich mir aktuell zutraue wäre den obigen Banlist-Code nach Adaption in das existierende php Skript zu integrieren. Wenn das Skript funktioniert (Würde es denn?) kann ich ganz easy die Banlist pflegen und das war's. Das bekäm sogar so'n php-Depp wie ich hin.

Wenn ich es richtig gesehen habe, muss ich doch nur die Variablen anpassen, oder?

Ändern der Feldnamen scheidet leider aus, da dann NOF nicht mehr mitkommt.

dougie

...wär das so richtig?

// validate comment
if ( document.<?="form".$nof_componentId?>.comment.value == "" ) {
alert( "<?=html_entity_decode($GLOBALS['nof_resources']->get('gb.AddForm.CommentField.RequiredMessage'))?>" );
document.<?="form".$nof_componentId?>.comment.focus();
return false;
}

// Begin Banlist check
$bw="bw.txt";
$blacklist = file($bw);

$text = document.<?="form".$nof_componentId?>.comment.value;

// End Banlist check

dougie

...nope.... :-/

ich denke mal diese Zeile passt so nicht...

$text = document.<?="form".$nof_componentId?>.comment.value;

Bandit

änder die function validate mal so und lass den anderen banlist kram weg:

Code

function validate() {
        // validate name
        if ( document.form1186599021398.name.value == "" ) {
            alert( "Bitte geben Sie einen Namen ein!" );
            document.form1186599021398.name.focus();
            return false;
        }


        // validate comment
        if ( document.form1186599021398.comment.value == "" ) {
            alert( "Bitte geben Sie einen Kommentar ein!" );
            document.form1186599021398.comment.focus();
            return false;
        }




		// Banlist check
		$bw="bw.txt"; 
		$blacklist = file($bw);
		$text = document.form1186599021398.comment.value;
		foreach ($blacklist as $line_num => $line) { 
		$line = trim($line); 
		if(stristr($text, $line)) { 
			alert ('SPAM ist hier UNERWÜNSCHT!!!'); 
                document.form1186599021398.comment.focus();
			return false;
			}
 		}
 
}

Alles anzeigen

wobei die Datei bw.txt im gleichen Verzeichnis wie das Script liegen muss (oder den Pfad anpassen) und pro Zeile ein Wort stehen darf. ich würde auf jeden Fall: 'href=' mit aufnehmen

Bandit

ich hab eine schlecht Nachricht :

die ganze validierung über Javascript ist sinnlos, da ein Spambot kein Browser ist und daher javascripting nicht greifen wird. Die Validierung muss im PHP script, welches die Einträge in der Datenbank abspeichert (in deinem Fall die Datei gb_add_post.php) passieren.

dougie

Ooooookay.... wie auch immer du das jetzt gezaubert hast.

Ich setzt die gb_add.php mal wieder auf Ursprung und nehm mir die gb_add_post.php vor....

Irgend einen Tipp was ich machen soll?

Code

$data = time();
    $name =  $myVars['name'];
    $email = $myVars['email'];
    $homepage = $myVars['homepage'];
    $city = $myVars['city'];
    $state = $myVars['state'];
    $country = $myVars['country'];
    $comment = $myVars['comment'];
    ($requireValidation == "true")?$validated = 0:$validated = 1;
    $array = array("$name", "$email", "$homepage", "$city","$state", "$country", "$data", "$comment", "$validated");
	//the for is used against str_replace's arrays parameters for <php4.0.5 compatibility
	for ( $i=0; $i<count($array); $i++ ) {
    	$array[$i] = str_replace($separator,"",$array[$i]);
    }
    $full = implode("|", $array);
    $tmp = $full;
    $tmp = str_replace('<', "&lt;", $tmp);
    $tmp = str_replace('>', "&gt;", $tmp);
    $tmp = str_replace("\r\n", "<br>", $tmp);
    $tmp = str_replace("\n", "<br>", $tmp);
    $tmp = str_replace('"', '&quot;', $tmp);


    if (!file_exists(dirname($ad_gbfile))) {
        NOF_throwError(540,array("{1}"=>NOF_mapPath(dirname($ad_gbfile)),"{2}"=>getcwd()));
    }


//    if (!is_writable(dirname($ad_gbfile))) {
//        NOF_throwError(541,array("{1}"=>NOF_mapPath(dirname($ad_gbfile)),"{2}"=>getcwd()));
//    }


    $fp = @fopen($ad_gbfile, 'a+') or NOF_throwError(502,array("{1}"=>NOF_mapPath($ad_gbfile),"{2}"=>getcwd()));
    flock($fp, LOCK_EX);
    fwrite($fp, $tmp. "\r\n");
    flock($fp, LOCK_UN);
    fclose($fp);


    if ($notifyWebmaster == "true") {
        $emailTemplate = gbReadEmailTemplate('gb_emailTemplate_'.$language.'.properties','[EMAIL]');
        $message = $emailTemplate['[email]body'];
        $message = str_replace('{0}',$name,$message);
        $message = str_replace('{1}',$comment,$message);
        $message = str_replace("\\n", chr(13), $message);
        $message = str_replace("\\", "", $message);

Alles anzeigen

Bandit

schick mir die gb_add_post.php mal zu, ich schau sie mir mal an.

..:Dude:..

Welches Captcha hattest du denn benutzt ? Ein einfaches, oder welche mit strichen und so, ala

http://www.cb-talk.de/captcha.html

Sehr effizient sind auch ist einfach ein Captcha mit einer Textfrage, als "Welche Farbe hat eine Zitrone" oder so

Auch sehr interessant:
http://www.openwebboard.org/Tutorials/HTML…CAPTCHAs_1.html

Zitat

Nun stellt sich die Frage, wie man seine Formulare sonst vor Angriffen schützen soll. Die Lösung ist eigentlich ganz einfach: schlagen wir die unliebsamen Maschinen doch ganz einfach mit ihren eigenen Waffen. Ein Spambot ist ganz versessen darauf, alle Felder auszufüllen. Besonders, wenn diese auch noch email oder email_address heißen. Deshalb muss eigentlich nur ein Feld erstellt werden, das unter keinen Umständen ausgefüllt sein darf.

dougie

Zitat von Bandit

schick mir die gb_add_post.php mal zu, ich schau sie mir mal an.

mail angekommen?

Bandit

Jo, hatte aber noch keine Zeit das Script anzuschauen...

dougie

...danke für die super Tipps. Damit hab ich's inzwischen selber hinbekommen!

Mal sehen wie lange das funktioniert

Jetzt mitmachen!