web-dev-qa-db-ja.com

より多くのアカウントを登録しようとする虐待的な人をどのようにブロックできますか?

オープン登録の無料サイトがあります。誰でも登録でき、変更することはできません。ただし、アカウントはプロファイルの完了後に管理者の承認が必要であるため、重複ユーザーを特定するためのさまざまな情報にアクセスできます(生年月日、「自己紹介」コメント、メールアドレス、写真、プロファイル内の報告された場所、ジオロケーションされたIP 、IPアドレスなど)

最近このサイトは、非常に虐待的で、複数のアカウントを登録する時間が無制限に見える単一のユーザーの攻撃を受けやすくなっています。これらのアカウントは比較的簡単にブロックできますが、管理者(私)にとっては多くの作業であり、正規のアカウント(このユーザーは1日に約6つのアカウントを登録します)の1つを見逃してしまうのではないでしょうか。

私はすでに持っています:

  • ユーザーの既知のIPアドレスを禁止
  • 「使い捨て」メールアドレスに使用される既知のドメインからのブロックされた登録
  • ユーザーからの既知のアクセスパターンに基づいてアカウントを特定するのに役立つ特別なビューを追加しました

このユーザーの登録をさらに困難にするために、クッキーなどでできることはありますか?

これはDrupal 7サイトです。

編集:私の場合、これはボットではなく人間のユーザーです。しかし、ボットの回答は、スパマーによって明確に標的にされている人にとって有用です。

users
41
Patrick Kenny

ユーザーが登録するのを防ごうとするのではなく、これはトロールやハッカーのためのゲームであり、サイトを彼に迷惑にさせます。去る、彼にしたいのではなくトローリングゲームで勝つ

私が過去にやったことは、Drupalに固有のものではなく、ユーザーが登録できるようにすることです。それから私は彼の特定のアカウントを妨害しました:

  1. 私はコードにif ($someuser) { sleep(Rand($base, $base*2)) }を振りかけましたが、$baseは毎日増加します。私は彼がたくさんのタイムアウトを持っていることを確認しました。
  2. 私は彼の投稿のN%を削除します。Nは50%以上から始まり、そこから増加しただけです。投稿に特定のキーワードが含まれている場合は、すぐに削除されます。
  3. CSSルールをランダムに削除して、ページの表示が不十分になるようにしました。ここでも、深刻度は時間とともに増加します。

これは私の側でより多くの努力を必要としましたが、Sun Tzuのアドバイスに従って、私はユーザーを私のサイトを憎むように条件付けました。私は彼に、彼が私たちを困らせているのではなく、遅延や明らかなバグに悩まされるべきだと感じてほしかった。彼が私たちをあきらめるのに一週間もかからなかった。

[〜#〜] edit [〜#〜]:コメントで、ユーザー roobyMiseryについて言及しているmodule 同じコンセプトに基づいています:

  1. Delay:ランダムな長さの遅延を作成し、遅い接続のように見せます。 (デフォルトでは、これは時間の40%で発生します)
  2. 白い画面:ユーザーに白い画面を提示します。 (デフォルトでは、これは時間の10%で発生します)
  3. 間違ったページ:事前定義されたリスト内のランダムなURLにリダイレクトします。 (デフォルトでは、これは時間の0%で発生します)
  4. ランダムノード:ユーザーがアクセスできるランダムノードにリダイレクトします。 (デフォルトでは、これは時間の10%で発生します)
  5. 403 Access Denied:「Access Denied」エラーをユーザーに提示します。 (デフォルトでは、これは時間の10%で発生します)
  6. 404 Not Found:「Not Found」エラーをユーザーに提示します。 (デフォルトでは、これは時間の10%で発生します)
  7. フォームが送信されない:検証中にフォームにリダイレクトして送信されないようにします。 (デフォルトでは、これは60%の頻度で発生します)注:特定のフォームは、どのボタンが押されたかに基づいて検証される場合があります。
  8. IE6のクラッシュ:ユーザーがInternet Explorer 6を使用している場合、ブラウザーがクラッシュします。 (デフォルトでは、これは時間の0%で発生します)
  9. Spam:ノードのコンテンツをセットのWordに置き換えます。 (デフォルトでは、これは時間の10%で発生します)
  10. Logout:ユーザーをログアウトします。 (デフォルトでは、これは時間の10%で発生します)
51
dotancohen

悪用者のISPにメールを送る-彼らはするそれに終止符を打つ!

あなたは彼のアカウント作成時間と登録に使用したIPアドレスのログを持っていますよね?彼の嫌がらせのコメントもすべてログに記録されていますか? これらのログをISPに送信します

https://whois.arin.net/ui でARINを使用して直接IPルックアップを行うか、whoisに単にそれらを使用する別のサービスを使用して、ISPを見つけることができます。ほとんどのユーザーは実際のISPにIPの所有者を求めますが、一部のユーザー(大企業は通常)がIPを所有しています。どちらの方法でも、IPを所有しているのが誰であるかがわかり、そこからIPを調べて、悪用電子メールアドレスを取得できます(WHOIS情報に実際の悪用電子メールアドレスが含まれている場合があります)。あなたの電子メール。 ISPには親切で丁寧に対応してください。叙事詩的な小説を書かないでください-シンプルにしてください。 「このIPは自分自身と自分のWebサイトのユーザーに嫌がらせをしています。ログを参照してください」のようなもので十分です。彼らはこれらの何千もの日を見て、すすり泣き物語を読みたくありません。

以前はISPのネットワークエンジニアでした。この種の行為について、無数の嫌がらせの報告を受けました。加入者が電話を受ける瞬間、彼らは時間の約90%を停止します。それが続く場合、法的措置が続く可能性があり、これはほとんどのISPが非常に深刻な措置を講じることを意味します。

あなたの攻撃者はおそらく彼の両親と一緒に家に住んでいる子供です、つまり彼の両親のインターネットアカウントが終了すると脅迫されたとき、彼らは信じられないほどになるでしょう彼の振る舞いに彼を怒らせた。

攻撃者があなたの国にいなくても、私は個人的にこのルートをたどり、うまくいきました。 ISPは、ユーザーがネットワークを乱用することを好意的に受け入れません。

サイドノート

彼がプロキシを使用している可能性があります。ただし、彼が(登録した瞬間から)Webサイトをトロールすることを完全に意図していない限り、彼が初期登録時にプロキシを使用することはほとんどありません。実際に不正なメールを送信できる正当なISPを指すIPがない場合は、使用しているプロキシサービスに送信してみてください。

人々は、誰かがプロキシを使用しているからといって検出されないというこのクレイジーなアイデアを持っています。それは誤りです。プロキシサービスは通常、他の誰もが行うのと同じルールに従います(もちろん例外があります)。不正行為の報告を受けると、ISPと同じように対応します。

このユーザーが、Niceを再生しないプロキシの背後にいるという信じられないほど小さな可能性で、私は他の回答者のアドバイスに従います。真剣にしかし、それはほとんどのウェブサイトの所有者が一見「検出不可能」であるように見える誰かからの攻撃を見ることは決してないほどまれです。

30
Nate I

あなたの質問では、Captchaを持っていることに言及していません。おそらく、この迷惑なユーザーはボットですか?私の推測では、すでにキャプチャがあり、そのユーザーは実際には人間だと思います。

しかし...そうでない場合、私はお勧めします:

reCAPTCHA

Google reCAPTCHA Webサービスを使用して、CAPTCHAシステムを改善し、電子メールアドレスを保護します。

enter image description here

17
No Sssweat

ヘルバン/シャドウバン

ブロックされたアカウントを置き換えるために人が新しいアカウントを作成するのをブロックすることはほぼ不可能であるため、この問題に対するやや人気のある解決策は、いわゆるhellban( http://www.urbandictionary.com/define.php?term= hellban )またはshadowban。禁止されていることを明確にせずに、特定のアカウントを他のユーザーから分離する機能を実装します。

たとえば、彼らは彼らの経験が本物であると感じ、彼らが同じアカウントを使い続けることができることを確認しますが、彼らの投稿や活動のいずれかは、ヘルバンされたアカウントとすべてのアカウントにのみ表示される(またはログに記録されない-場合によっては)hellbannedアカウントとIPやcookieを共有します。ユーザーがトロールを続けても応答がない場合は、最終的に離れます。

9
Peteris

No Sssweatの提案では、これをコメントの代わりに回答として掲載し、より多くの人に見てもらいます。

Drupal.org/project/miseryは、約8種類の方法でユーザーのがらくたを困らせるのに非常に優れています。ランダムタイムアウト、ログアウト、ランダムリダイレクトなど、頻度は変更可能です。

DotancohenのNiceの簡単なバージョンは、問題について書きます。

7
Niall Murphy

2番目の要素を使用するのはどうですか?登録時に、SMSを電話または電子メールで送信し、リンクをクリックして情報を送り返すことで登録を確認するように依頼します。あなたはなりすましをより難しくするIPアドレスよりも識別子を使用し、そのようにフィルタリングする方が簡単な場合があります。明らかに、少量のスクリプトが必要になります...

6
Blackbeagle

それは実際には不可能です。

人が何度も登録するのを止めることはできません。あなたができる唯一のことは、登録プロセスを強化し、それらのIDをダブル/トリプルチェックすることです(メールアドレスand googleアカウントand facebookアカウントandを介して) = LinkedInアカウントおよび電話番号など)そして、これらすべての詳細を集約した特定のIDに各人を関連付けます。

特定の人は、Webプロキシを介して別のネットワークを選択するか、@ emailを多数作成するか、facebook/google/LinkedInアカウントをいくつか開くなどのいずれかを行うことができますが、この人を停止して再度登録することはできません(そのDNAを確認しない限り)。

あなたの唯一の選択は、登録プロセスを強化することです。

5
Auzias

No Sssweatで提案されているように、reCAPTCHAを使用できます。ただし、正当なユーザーに迷惑をかけたくない場合は、 Honeypot モジュールを試してください。これは、入力してはならない追加フィールド(AFAIKボットはすべてのフィールドを入力する場合があります)または時間制限があるオプションを提供します。

ドキュメントは、

ハニーポットは、ハニーポットとタイムスタンプの両方の方法を使用して、スパムボットがDrupalサイトでフォームを完成させないようにします(これらの詳細はこちら)。これらの方法は、多くのスパムボットに対して効果的で、CAPTCHAほど侵入的ではありません。またはユーザーを罰するその他の方法[YouTube]。

別のオプションは Spambot モジュールです。これは、Stop Forum Spamに対して登録試行を検証することにより、スパムを防止します。

スパムボットは、Stop Forum Spam(www.stopforumspam.com)オンラインデータベースに対して登録試行を検証することにより、スパマーやスパムボットからユーザー登録フォームを保護します。また、スパムアカウントへの対処に役立つ便利な機能もいくつか追加されています。

4
Suresh R

質問に対する答えがあります-コミュニティはこれを不快に感じるかもしれませんが。なぜコストが節約できるのか、その道のりがそれほど頻繁に行われていないのはなぜでしょうか。

あなたのサイトに侵入し、米国法典のタイトルXVIII、コンピューターの改ざん、詐欺、および虐待に違反している個人に、停戦と拒否の手紙を送ります。

彼らが止まらない場合は、現金をポニーアップして訴訟を起こしてください。 1990年代の半ばに、私はWDMOで最初のケースを経験し、カンザスシティエリアの唯一のISPが10代の若者によってハッキングされました。私は家族に連絡し(彼らはサーバーの1つをルートし、自分のアプリケーションを「Warez」グループに本名とアドレスで非表示のサブディレクトリに保存するのに十分なほど愚かだった)連絡し、思春期の少年がこれを行うのをやめるように頼んだ。彼らは拒否した。

54ページの苦情で私は説明しなければなりませんでした:ISP、インターネット、アクセスの超過など、新しく任命された裁判官に。

私は擁護者以上でした、私のアカウントにアクセスしました(クライアントアカウントではなく神に感謝しました-Rustリスト))、私はチェックされました。私は両親に請求しました(唯一の方法)被告が民事訴訟で未成年者であった場所に行き)、両親は適切な監督なしに未成年者の手に危険な手段を配置し、未成年者は盗まれたソフトウェアの転送とキッズポルノに従事したと述べた(そう、16歳) 16歳のGFの写真を撮っている男の子は「キッズポルノ」です。私は住宅所有者のポリシーに違反し、当時の裁判所では考慮されていなかった救済策がありました。10代の若者のコンピューターの使用を一生禁止することです。

発見の移転から1週間以内に解決しました。

あなたは他のすべてを試しました:壁切除術でこの小さなたわごとをハンマーで打ってください。これが何であるかを知っている弁護士を選ぶように注意してください。あなたが死刑を請求される「大企業」に関連している弁護士ではありません。

ジャークがサイトにアクセスできないようにする裁判所命令がどのように機能するかを検討します。S/彼は禁止されています-裁判所命令に違反している彼/彼女のIPアドレスを見つけました-弁護士に送信し、s /彼は裁判所に申し立てを提出します命令と裁判所の違反は、被告が裁判所に侮辱されるべきではない理由を示す公示命令で対応します。

他のサイト/ IPアドレスからの攻撃が始まります-弁護士に伝えます-応答には、被告のコンピューターのミラーリング、被告がインターネットへのすべてのアクセスを阻止する差し止め命令、および被告が代理人による命令に違反したことが判明した場合の応答が含まれます。 、裁判所は制裁を課します。

最終的に、ジャークはインターネットから永久にブロックされるように自分自身を制限したかもしれません。このすべての後に本当に腹を立てており、被告がインターネットから離れていることを確認したい場合は、PIを雇って1週間または10日間(安くない)被告を追跡し、インターネットにアクセスしている場合スターバックスから-またはMcDのあなたはそれらを持っています:裁判官に戻ってください。

究極の命令は信じられないほどであり、被告が日常的に裁判所の命令に違反したという圧倒的な証拠によってのみ発生します:スマートフォン、VOIP、ケーブルまたは衛星TVはありません(インターネットが利用可能であり、彼/彼女は完全な無視を示しました法律、アクセスを取得するためにハッキングできるものは何も許可されていません)、インターネット(生涯禁止であるといいでしょう-おそらくそうではありません)、モノのインターネット、そして最終的にはコンピューティングデバイスはありません。

被告がテクノロジー部門で生計を立てていた場合、彼らはディグに溝を掘り、ハンバーガーを裏返しにしている。

それが核のオプションでこれを終わらせる方法です。

3
George R. O'Connor

私は悲惨なモデルが好きですが、本当に大きな迷惑なメッセージのあるページにランダムに送信したり、他の場合には本当に悪いポルノサイトに彼を送信したりします。彼が公の場にいる場合、彼を困らせたり困惑させたりするかもしれないもの。

2
jerry

私はこのような状況のために特別にモジュールを書きました。これは「強制されるスペース」と呼ばれ、 ここ で見つかり、名前に少なくとも1つのスペースが含まれていない登録者をブロックすることで機能します。さらに設定することができ、どのキャラクターが何回登場する必要があるかを選択できます。また、成功率は100%に近い

2
Kartagis