Moin,

Kurz und bündig...
betreue für einen Kunden eine Umwelt-Website,
gehostet bei 1+1 mit einem CGI-Gästebuch von 1+1!

nun seit 3 Tagen läuft das Gästebuch durch Spameinträge über,
es kommen bis zu 20-30 neue Texteinträge, ellenlang, mit ein paar lesbaren Texten in englisch/holländisch...
dazu massenhaft cryptischen Zeichen und Zahlen, offenbar auch mit tausenden getürkten Mail-URLs...

Problem 1....
das Gästebuch wird unbrauchbar...und ich (Admin) musst ständig editieren udn löschen,

Problem 2...
für jeden Texteintrag bekomme ich per Weiterleitung 2 Mails(eine Mail zurückweisung) ...und die beiden Betreiber....
bekommen diesen mist natürlich auch:D und verstopfen unsere Postfächer

Problem 3...
1+1 hat KEINE vernünftige Hilfe in solchen Fällen, habe stundenlang gesucht,
dann angerufen, wieder warten endlos...dann Knöppe drücken:evil:

als dann endlich ein Supporter dran war...
mahgere Tipps....soll den Webspace löschen und neu aufsetzen...
auch die Gästebuchseite deaktiviert...Mail-Links deaktiviert...

trotzdem....der Mist ist wieder da...:evil:

irgendjemand ne Idee:roll:
Mfg gpo

Vielleicht ist ein backfire Programm eine Option ?!

Hallo Gerd,
keine Ahnung welche Software da läuft, aber eventuell ein Gästebuch mit ordentlichem Spamfilter nehmen? Oder Captcha?

Spam auf Webseiten ist ne Tatsache und nicht anders zu bekämpfen.
In meinem Photoblog kommt Defensio zum Einsatz, und das macht seine Arbeit ziemlich gut.

http://defensio.com/

Hallo Gerd,

das Problem hatte ich vor etliche Jahren auch. Also habe ich mir was einfallen lassen...

Zuerst ist mein Gästebuch voll editierbar, jeden Eintrag muss ich frei geben. Aber am besten weg damit... Bei mir hängt das Ding noch aus Gewohnheit. Das ist aber das kleinere Übel.

Die Websites werden systematisch durch Suchprogramme nach Mailadressen durch gekämmt. Also habe ich meine Mailadressen einfach als JPGs drauf geknallt, somit sind sie für die Suchprogramme unlesbar. Vorher habe ich aber diese Adressen geändert. Seit Jahren habe ich recht wenig Spam im Vergleich zu vorher.

Schaue Dir das hier:
www.akita-welt.de

und dann Impressum.

Schöne Grüße

Nun man sollte sich niemals auf vorgefertigte Lösungen der Massenhoster verlassen.

Abhilfe findest Du hier: Gästebuch mit Anti-Spam Schutz (http://www.phpbuddy.eu/script-downloads/kostenloses-gaestebuch-mit-antispam-schutz.html)

Außerdem interessant: Schutz vor Spam-Bots mit CAPTCHA (http://www.phpbuddy.eu/tutorials-und-workshops/9-schutz-vor-spam-bots-mit-captcha.html)

Im übrigen auch Kontaktformulare sollte man absichern um Ärger aus dem Weg zu gehen ;)

Moin,

ja danke erstmal...ein paar Tipps werde ich mir anschauen...

Problem bei nur 4900 Besuchern standen im Gästebuch gerade mal 15 Beiträge...
die Betreiber sind natürlich an Meinungen interessiert,
kapieren aber(wegen dem Alter) das iNet nicht, haben keine Peilung.

der Hoster 1+1 verhält sich auch merkwürdig...
einerseits wollen sie ihrem Kram anbieten, bauen aber zuwenig(gar keine) mechanismen ein:roll:

ich denke...heute werde ich das Teil kicken, weil schon wieder 50 Mailbomben drin sind
...obwohl schon alle Gegenmaßnahmen getroffen wurden.
Mfg gpo

als schnelle Lösung hilft am besten, den Dateinamen des Gästebuchs-Skripts zu ändern.
Das sind ja keine "echten" Besucher, die die Seite aufsuchen und dann den Link zum Gästebuch anklicken, sondern Robots, die den action-Link des Gästebuchformulars gleich mit den eingetragenen Daten als Get- oder Post-Variablen aufrufen.
Eine einfaches Umbenennen des Dateinamens der Seite, die die Einträge abspeichert (also das was in action="..." im <form> tag steht reicht schon aus, dass die Bots das fürs erste nicht mehr finden (z.B. von gbook.cgi in gboook.cgi). Natürlich die Datei mit dem Originalnamen entfernen, die Adresse im <form> tag entsprechend ändern und eventuelle weitere Verweise dahin auch.

Eine ganz banale Methode für die Zukunft ist, in das Formular selbst ein hidden field mit einem Wert einzugeben (<input type="hidden" komme_von="formular"> oder so) und den Wert der Variable "komme_von" im Skript erst mal auszulesen, bevor irgendwas geschrieben wird.
Sobald die Spam-Attacken wieder beginnen, muss man nur noch den Wert von "komme_von" ändern und es ist wieder eine zeitlang Ruhe.

Etwas aufwändiger kann man genau das mit einem Session-Token machen: Beim Aufruf der Formularseite wird eine Zufallszahl aus dem aktuellen Timestamp generiert und als Wert in dieses hidden field und in einen Sessioneintrag abgelegt.
Beim Aufruf der Formular-Action wird der Wert im hidden field mit dem Wert in der Session verglichen.

Von Captchas (also kleinen Grafiken, die abgetippt werden müssen) halte ich nicht viel, es ist einfach nur lästig. Dazu kommt, dass diese Spambots immer besser werden, auch Grafiken zu "lesen" (ist im Prinzip nur eine OCR-Software). Je schwieriger es für den Spambot wird, umso schwieriger wird es auch für den Menschen. Barrierefreiheit sollte da vor gehen...

Man kann natürlich auch eine der Spamschutz-Datenbanken verwenden (Akismet oder Defensio). Dabei wird jeder Eintrag vor dem Speichern an die Datenbank gesendet, dort überprüft und ein "ok" oder "nicht ok" zurückgesendet. Aufwändig und für ein Gästebuch mit 15 Einträgen vielleicht zu viel des Guten, aber funktionieren tun die Teile gut (weil Lernfähig).

Ein paar kleine Tricks, die ohne viel Programmieraufwand Spams verhindern können:
1) Anzahl der URLs im Text begrenzen (Spams enthalten meist mehr als 2 URLs im Text, "echte" Einträge kaum)
2) Die Zeit zwischen zwei Skriptaufrufen erfassen und ein erneutes Absenden innerhalb einer bestimmten Zeit verbieten
3) Die Zeit zwischen Aufruf der Formularseite und des Skripts begrenzen (geht mit dem Session-Token)

Daaaaaaaaaaanke ganz lieb von dir diese Mühe!

ich werde aber die "Holzhammermethode" nehmen udn den Mist über Bord werfen:cool:

sehe das mal so...
das ganze ist ein "umsonst-Job" und ich sitze trotzdem dauernd davor...:roll:
es müssen die Betreiber auch einsehen...

das es Grenzen gibt, wenn man billige Pakete nimmt,
dann hast du eben keine Wahl der Editierbarkeit!

Vorschlag von 1+1...ich solle jeden beitrag immer erst als ADMIN freigeben...:roll:
dann bekomme ich jede 5 Minuten den Mist,

das wird nun gaz professionell....abgewürgt:cool:
Mfg gpo

1+1 will einfach nur Geld verdienen und das mir möglichst wenig Aufwand.
Mit denen hab ich auch schon meinem lieben Ärger gehabt. Das wurde deutlich besser nach einem Providerwechsel :D

Ich hab ja auch noch so ein paar Websites laufen. Die beste Gegenwehr gegen solchen Spam ist meiner Meinung nach nur eine Captcha-Abfrage, der Rest hat bei mir nicht wirklich geholfen. DAS ist aber wohl bei den 1+1-eigenen Gästebüchern nicht so einfach möglich.

Wenn dein Account php oder sogar MySQL unterstützt, würd ich da auf eine gesonderte Lösung umsatteln.

1+1 will einfach nur Geld verdienen

Wenn dein Account php oder sogar MySQL unterstützt, würd ich da auf eine gesonderte Lösung umsatteln.

Moin

ich muss mit Spatzen auf Dinos schießen...deshalb geht da gar nix!
die meisten Webkunden von mir haben nicht die Dauerkohle um sich große Accounts zulegen zu können und...

bevor ich mit PHP&Co beschäftige....
möchte ich auch ordentlich bezahlt werden!!!:cool:
und da haben sie auch alle Stacheldraht in den Taschen:roll: kein Etat fürs Web,
weil...

es kommt ja auch nix rein...es kann nicht jeder krauter es mitAmazon aufnehmen !

1+1 hat geantwortet...
Vorschlag ..ich soll die Einträge über Admin freigeben:evil::roll::twisted::lol:

ist doch eine Lachpille...dann kann ich jede stunde 50 massenspamm editieren oder wie meinen die das:oops::?::flop:

aber ich glaube echt die meinten das ernst!
angeblich arbeiten sie an einem neuen ...Gästebuch:shock:

ich habe nun kurzen Prozess gemacht.....l-ö-s-c-h-e-n....und zwar kompletto:cool:


Danke für die Tipps...können hier dichtmachen:D
Mfg gpo

als schnelle Lösung hilft am besten, den Dateinamen des Gästebuchs-Skripts zu ändern.<snip>
(z.B. von gbook.cgi in gboook.cgi).

Ich habe auch schon die Erfahrung gemacht, dass es sehr viel bringt, wenn der Dateiname nicht englisch ist, sondern deutsch (also z.B. "gaestebuch.cgi" statt "guestbook.cgi").

Gruss,
Urs

Wenn man willens ist, ein wenig Arbeit in PHP zu investieren, dann kann man das den Spammern quasi beliebig schwer machen. Wichtig ist, dass man keine Methode nach Schema-F benutzt. Eine Idee dazu die ich mir vom Login des Homebankings meiner Sparkasse abgeschaut habe; Die Datenfelder des Anmeldeformulars werden bei jedem Laden der Seite anders benannt und durch einen Hash-Schlüssel (den natürlich nur der Coder der Seite kennt) wieder zu verwendbaren Variablennamen für das eigentliche Skript zurückgerechnet. Stimmt die Kombi nicht, funktioniert das Anmelden (bzw beim Gästebuch das Posten) nicht. Wenn man dazu das Skript eben nicht "forum", "guestbook" oder dergleichen nennt, dann finden die Spambots das nicht so einfach. Finden sie es doch, dann hilft ihnen das nichts, solange sie die Logik hinter dem Formular und dem Posting-Skript nicht kapiert haben. Eventuell kann man das ganze noch mit einem temporären Cookie kombinieren, der bei der vorherigen Seite gesetzt wird. Macht man die Sache richtig, dann bemerkt der reguläre Webseitenbesucher davon gar nichts und die Bedienung bleibt genauso transparent und kundenfreundlich wie eine Lösung von der Stange.
Nachteil des ganzen: Sowas codet man nicht "mal eben".

Meine Webseiten mit Gästebuch laufen über das Joomla CMS und das Gästebuch ist ein Plugin, das auch schon Capcha bietet.

Der Tarif kostet 4,95€ für eine Domain oder 7,95 für 3 Domains ;)