Sinnlose User

[uname]

Die Frage ist eigentlich ob die Benutzer per Bot eingefügt werden oder doch von echten Menschen. Bei echten Menschen wird man die Vorschläge z.B. mit der Gruppe "Neuling" weiter verfolgen müssen, da Änderungen in der Anmeldung nicht wirklich helfen.
Sollten es doch nur Bots sein hilft es an der PHP-Software rumzuschrauben, da die Bots wahrscheinlich Standardwerte nehmen. Ich könnte mir vorstellen ein Auswahlfeld hinzuzufügen, welches standardmäßig angekreuzt ist. Der Benutzer hat das Kreuz zu entfernen (Teil der Registrierung). Das Folge-PHP-Script fragt dann noch ab ob der (neue) Wert gesetzt ist. Ist er gesetzt war es ein dummer Bot. Habe selbst mal vor Jahren an einer Forum-Software nur ein wenig geändert und schon war der Spuk vorbei.

[maltris]

Was ist denn, wenn mal einer ins Ausland fährt und von dort surfen möchte im df. Dann muss er ein VPN/Proxy nutzen? Ist eher unschön. Man würde sich auf diese Weise auf das typische Netzzensur-Niveau herablassen.

Dann doch lieber noch ein ehrenamtlichen Moderator ernennen, der sich gezielt um Fakenutzer kümmert (oftmals erkennt man die ja an IP, Name oder anderen Daten oder spätestens an Spamposts).

[feltel]

@uname: So was ähnliches ist jetzt auch schon aktiv. Der User bekommt eine Zahlenreihe angezeigt und muss die letzte Ziffer in ein Formularfeld eintragen. Das Formularfeld ist mit einem anderen Wert schon vorbelegt.

https://gallery.debianforum.de/verschie ... er-captcha

Ich vermute fast das dort echte Menschen am Werk sind, zu welchem Zweck auch immer.

[hikaru]

Im Allgemeinen find ich selbst die Sorte am schlimmsten, die eben keine Bots sind und sich erstmal eine Hand voll sinnloser Beiträge verschafft, um dann zwei Wochen später Spam in die Beiträge oder die Signatur einfügen...das könnte man entschärfen, indem man einen zusätzlichen Rang erschafft (nennen wir ihn mal "Neuling"), der in den ersten 10-20 Beiträgen UND der ersten Woche nicht das Recht hat, [url] zu verwenden.

Das halte ich nicht für praktikabel.
Das typische Szenario neuer Nutzer ist doch dass sie irgendein Problem mit Debian haben, hierher kommen und einen Thread aufmachen. Wir sind doch dann alle froh wenn sein Beitrag solche Informationen enthält:

Ich habe Tutorial [Tutorial] durchgearbeitet, komme aber an Punkt [Tutorial#Punkt4] nicht weiter denn ich bekomme folgende Fehlermeldung: [nopasteXYZ] (nicht unser eigenes).
In Forum [FremdesForumThread] hat man mir daher geraten hier zu fragen.
Mein System ist Folgendes: [Sysprofile]

User die unerwünschte Links setzen lassen sich recht einfach identifizieren, eben durch diese Links. Irgendeiner in der Community stolpert immer darüber. Nun muss er nur noch eine Meldung auslösen (Aurufezeichen-Dreieck neben dem "Zitieren"-Knopf) und der nächste Mod der vorbei kommt putzt dann mal durch. Bei eindeutigen Beiträgen (was die große Mehrheit ist) ist das für den Mod eine Sache von 10 Sekunden.

[uname]

So was ähnliches ist jetzt auch schon aktiv. Der User bekommt eine Zahlenreihe angezeigt und muss die letzte Ziffer in ein Formularfeld eintragen. Das Formularfeld ist mit einem anderen Wert schon vorbelegt.

Falls es eine Standard-Einstellung ist hat irgendjemand die Umgehung für beliebig viele phpBB-Foren geschrieben. Besser man erfindet selbst eine kleine Hürde.

[TRex]

Das typische Szenario neuer Nutzer ist doch dass sie irgendein Problem mit Debian haben, hierher kommen und einen Thread aufmachen. Wir sind doch dann alle froh wenn sein Beitrag solche Informationen enthält:

Ich habe Tutorial [Tutorial] durchgearbeitet, komme aber an Punkt [Tutorial#Punkt4] nicht weiter denn ich bekomme folgende Fehlermeldung: [nopasteXYZ] (nicht unser eigenes).
In Forum [FremdesForumThread] hat man mir daher geraten hier zu fragen.
Mein System ist Folgendes: [Sysprofile]

User die unerwünschte Links setzen lassen sich recht einfach identifizieren, eben durch diese Links. Irgendeiner in der Community stolpert immer darüber. Nun muss er nur noch eine Meldung auslösen (Aurufezeichen-Dreieck neben dem "Zitieren"-Knopf) und der nächste Mod der vorbei kommt putzt dann mal durch. Bei eindeutigen Beiträgen (was die große Mehrheit ist) ist das für den Mod eine Sache von 10 Sekunden.

Stimmt, das habe ich nicht bedacht. Das macht die Idee wirklich inpraktikabel...

[Octopus]

Im englischen Knoppix Forum ist das so gelöst, daß die erste Handvoll Beiträge neuer Mitglieder von Moderatoren freigegeben werden müssen. Spamer fliegen damit sofort wieder raus, ebenfalls "Schläfer", welche erst Wochen später das erste Mal posten.

bei mir kommt es schon mal vor, das ich monate nichts von mir gebe und dann meld ich mich an und bin gelöscht? selbst beim erstpost kann man das nicht pauschal über den teppich kehren, meiner bescheidenen meinung nach, wobei ich mir schon vorstellen kann, das die wahrscheinlichkeit eines spamschläfers höher ist, was auch immer ein spamschläfer sein soll.

[uname]

Keine Ahnung ob der Vorschlag schon kam. Aber könnte man nicht bei der Registrierung irgendwie zwischendurch auf eine mit htaccess-gesperrte Seite verweisen. Man könnte ja in dem Textfeld für die Anmeldung für Benutzer und Passwort die temporären Zugangsdaten schreiben, gerne Benutzer und Passwort gleich. Und per Script könnte man z.B. täglich die Zugangsdaten (.htpasswd) ändern. Ich denke da hätte ein Bot kein Spaß dran. Aber wenn die Benutzer von Hand angelegt werden hilft es wohl auch nicht.

[ruwen]

Sind die Accounts alle von verschiedenen IPs angelegt worden? Falls ja, könnte man ja vielleicht soetwas versuchen:
Von der IP 1.2.3.4 wurden mehr als 2 User registiert die bereits 10 Tage alt sind, last login == Registrierungsdatum) und 0 Posts => User löschen.

Alternativ könnte man auch vielleicht ein Captcha beim Posten der ersten 10 Beiträge einbauen. Man kann ja dazu schreiben, dass das Captcha nach spätestens 10 Beiträgen verschwindet.

[wanne]

Also ich finde folgende Idee am besten: Man erzeugt bei der Anmeldung irgend welche shell-Befehle, und fragt nach der Ausgabe. Ich glaube nicht das irgend welche spam bots den tatsächlich ausführen und wenn doch kann man gucken ob man so einen böses netz identifizieren kann und mal Befehle hinschicken die nicht so freundlich sind. So ne fork-Bombe oder nen pub-key in die .ssh/authorized_keys Wenn man sich nicht sicher ist, kann man ja auch mal was nutzen, das einfach nicht hält. Das dürfte so einen Bot auch freuen. Man kann da auch absichtlich rechenaufwendige Befehle nehmen, wenn man das dazuschreibt, kann so ein echter nutzer auch gerne mal ne Minute warten. Ein Bot findet das eher unschön. Und das schöne ist, sowas lässt sich im allgemeinen nicht umgehehn.[1]


[1] https://de.wikipedia.org/wiki/Satz_von_Rice

[uname]

Ich habe mir gerade mal ein ziemlich sinnloses und wohl auch falsches Beispiel überlegt. Vielleicht hat jemand Lust überhaupt mal zu prüfen ob die Ergebnisse auch immer identisch sind.

Code: Alles auswählen

echo 100000 |awk '{for (i=1;i<=$0;i++) {s=s+xor(i,$0)}print s}'                                  
8054905872
echo 1000000 |awk '{for (i=1;i<=$0;i++) {s=s+xor(i,$0)}print s}' 
548009882784
echo 10000000 |awk '{for (i=1;i<=$0;i++) {s=s+xor(i,$0)}print s}' 
107616323337792

Leider weiß ich nicht wie groß Variablen werden dürfen und somit die Zahlen wirklich stimmen. Auch ist die Laufzeit noch nicht wirklich lang. Und natürlich müsste man den Wert hinter "echo" ein wenig flexibel gestalten also mehrere Vorgaben und auch Lösungen berechnen. Lösungen müssen natürlich auf jeder Plattform gleich sein, so dass xor vielleicht weniger geeignet ist. Soll insgesamt nur ein unnötiges Beispiel sein. Wichtig ist natürlich, dass es keine ganz einfache Formel zur Berechnung geben darf. So wäre eine Summe zu einfach, da man diese mit s=$0($0+1)/2 berechnen könnte.


... sicher ist auch, dass wir damit Linux-Einsteiger schon mal abschrecken
... erspart vielleicht Fragen zur Installation von Debian und zur Sinnhaftigkeit einer Shell

[hikaru]

Also ich finde folgende Idee am besten: Man erzeugt bei der Anmeldung irgend welche shell-Befehle, und fragt nach der Ausgabe.

Das setzt voraus das der Neuling überhaupt versteht was da von ihm verlangt wird, wovon man aber nicht ausgehen kann, egal auf welchem Level man ansetzt.
Damit wären wir wieder bei Punkt 5 der DFSG.

[Huck Fin]

Eine Idee...
Stufe doch Nutzer die lange dabei sind und regelmässig posten als Trust-Boardie ein und dann baue sowas ein, wie bei wkw früher war.
Am oberen Bildschirmrand dieser Trust-Boardies erscheint

Neuer Nutzer Karlheinz05 möchte eingeladen werden.
Neuen Nutzer Freischalten J / N

Wenn ich hier durch Zufall surfe und sehe am oberen Bildschirmrand, da ist ein neuer User und seine Daten sind plausibel, kann ich als langjähriges Forumsmitglied den freischalten oder auch nicht.
Und wenn jemand anderes vor mir den freigeschaltet hat, auch gut
So kann man die Aufgabe auf die Allgemeinheit verteilen.

Neue User, die niemand freischalten wollte, werden dem Admin gemeldet...

[Dogge]

Und woher weiß ich, ob ein "Huck Finn" hier über Debian schreiben will oder nur daran interessiert ist Viagra zu verkaufen oder Sexseiten zu bewerben?

[Huck Fin]

Ging es nicht um

Seit einiger Zeit werden bei uns massiv User mit sinnlosen Buchstabenkombinationen angelegt (z.B. sdffab8bx9, fkgfpu0ln1, 5m3i2b0q5b etc.)

Das mit dem Viagra ist ein anderes Problem.
Könnte man aber genauso lösen.
TrustUser könnten Postings (werbung) vorübergehend still legen und melden.

[wanne]

Langwirige Befehle sind z.B. sowas:

Code: Alles auswählen

while [ "$(echo $s | md5sum | tr -d '\n')" !=  "cce2380bc589c8a092e7b4ef360f847a  -" ]; do s="salt$RANDOM"; done; echo $s

Das ganze könnte man etwas verschönern indem man eine for schleife durchlaufen lässt, statt $RANDOM zu nutzen. (Damit wird es kürzer und läuft auch in anderen shells als der bash.)
Und das schöne: Man hat inerhalb von Milisekunden neue Chalanges erzeugt: (Das gesuchte Ergebnis ist $salt$challange). Und wenn die befehle zu kurz sind kann man challange=$(expr $RANDOM$RANDOM % 1000000) setzen. Dann dauert der Befehl einfach 100 mal so lange

Code: Alles auswählen

salt=$RANDOM
challange=$RANDOM
response="$(echo "$salt$challange" | md5sum | tr -d '\n')"
echo -n "while [ \"\$(echo \$s | md5sum | tr -d '\n')\" !=  \"$response\" ]; "
echo -n "do s=\"$salt\$RANDOM\"; done; echo \$s"

[feltel]

Im Moment gibts eigentlich kein Problem mit Fakeusern, die automatisiert generiert werden. Ab und an registrieren sich händisch Accounts mit IPs aus China, Pakistan oder sonstwo her. Die krache ich dann raus und gut is.

[Cae]

Euch ist schon bewusst, dass $neueruser moeglicherweise ein kaputtes Debian hat (weshalb er sich hier registriert) und an keine Shell mit md5sums oder awk drinnen heran kommt? Klar kann man das in einem X-beliebigen #linux nachfragen oder jslinux [1] oder einen sonstigen Emulator anwerfen. Allerdings wuerde ich mir im Zweifel einfach irgendein anderes Forum suchen, welches diesen Aufwand nicht erfordert.

Die gute Nachricht ist wohl, dass man sich bis auf Weiteres nicht mit (abstrusen) Loesungswegen herumschlagen muss, weil's das Problem dazu gerade nicht gibt.

Gruss Cae

[1] http://bellard.org/jslinux/

[wanne]

Man kann das auch in JS implementeren.Wenn sie nicht in der Lage sind den Befehl auszufühern klicken sie hier um auf eine Webseite zu kommen, in der sie die Ausgabe mit der chalange $bla berechnen können.

[BongoFury]

Ich habe wie Emmes bei einem von mir betreuten Forum in Zusammenarbeit mit den vorhandenen Usern eine ganze Reihe Fachfragen in Deutsch formuliert die bei einer Anmeldung beantwortet werden müssen. Die Fragen sind nicht trivial und in längeren Sätzen formuliert, so das es für einen nicht nativ Deutsch sprechenden Anmelder recht schwer ist richtig zu antworten, für einen Robot ist es unmöglich. Seitdem habe ich in dem Forum keinerlei Anmeldungen von Spammern mehr, in unserem Falle kamen die Spamanmeldungen aus oder über Russland, Litauen, Schweden und Finnland.