Spammer-Befall auf Bronies.de

[Magic Twilight]

Tag.

(31.08.2020)Railway Dash schrieb:  

(30.08.2020)Magic Twilight schrieb:  Bitte was?!?! Schreiben wir Geschichte und nehmen zum ersten Mal Beiträge aus dem S&S und machen daraus legitime Beiträge??!?

Ich wollte schon schreiben, dass ich die ganze Zeit diese Bots melde. Muss ich ein schlechtes Gewissen haben - wegen unterlassener Hilfeleistung?

Hatten wir das noch nicht, daß aus S&S-Beiträgen legitime Beiträge wurden? Na gut, irgendwann ist für alles ein erstes Mal

Kann mich nicht erinnern. Bestimmt kommt jetzt jemand und sagt, dass es schon immer ernste Gespräche im S&S gab.

(31.08.2020)Railway Dash schrieb:  Und unterlassene Hilfeleistung: warum? Du hast sie gemeldet - gut. Mehr kannst du schlicht nicht tun

Wenn ich nicht helfen soll, komme ich mir so böse vor.

(31.08.2020)Railway Dash schrieb:  

(30.08.2020)Magic Twilight schrieb:  Spezielle Fragen wie diese?

Fragenkatalog (Öffnen)

Wer war der erste Admin von Bronies.de?

- Fabr0ny

Wer schläft nie in diesem Forum?

- Testpony

Wer schläft gerne in diesem Forum?

- Leon

Welcher Jonathan gibt es als Smilie auf Bronies.de?

- Frakes

Welcher ist der höchste Rang im Forum?

- Faust

Wer ist das Maskottchen der GalaCon?

- Canni Soda

Wer ist der Chef der Volunteers im Forum?

- 404compliant

Wer ist der aktivste User aller Zeiten?

- MaSc

Wann (Jahr) wird das Forum zehn Jahre alt?

- 2021

Gut gemeint, geht aber am Zweck vorbei. [...]

Okay. Auch wenn es traurig ist, dass man Fabr0ny nicht kennen sollte.

Neue Fragen (Öffnen)

Wenn du böse bist (gegen die Regeln verstößt) und irgendwann gebannt wirst, welchen Avatar hast du dann?

A) Parasprite B) Breezie
C) Totenkopf D) Nightmare Moon

Worum geht es vor allem in diesem Forum?

A) um bunte Drogen B) um bunte Ponys
C) um bunte Luftballons D) um bunte Katzenbabys

Wen kannst du bei Problemen rund ums Forum fragen?

A) Die Trolle B) Die Spammer
C) Das Forenteam D) Die Hacker

Bonus:

Wer wohnt bei Twilight Sparkle?

A) Discord B) Spike, der Drache
C) Pinkie Pie D) Niemand

Und das hat doch einen Lerneffekt, oder? So etwas muss man wissen, um die nötigen Kniffe zu kennen?

[Markus]

Mir ist aufgefallen, dass man jetzt scheinbar prinzipiell immer, wenn man Nutzer-Profile anschauen möchte, erst mal von Cloudflare ein Captcha lösen muss (ähnlich aufgebaut wie das reCaptcha von Google, mit Bildern, wo man passende auswählen muss).  

Ich vermute, das ist eine Nebenwirkung von den hochgefahrenen Sicherheitsmaßnahmen, was rainbowdash28 angekündigt hatte. Liegt wohl daran, dass sowohl Profil-Ansicht als auch Registrierung über /member.php läuft. Ist etwas unschön, wenn man als bereits fertig registrierter und eingeloggter Nutzer bei normaler Nutzung von Sicherheitsmaßnahmen betroffen ist, die eigentlich spezifisch nur fürs Registrierungsformular vorgesehen sind.

Prinzipiell ist die Idee, Cloudflare-Sicherheitseinstellungen spezifisch bei der einen php-Seite hochzuschrauben, durchaus gut. Aber vielleicht könnte man das etwas besser trennen und Registrierung auf eine eigenständige reg.php auslagern? Das würde nebenbei auch gut zu dem Vorschlag von mrx1983 passen, der ja auch meinte, dass allein eine Änderung der Reg-Adresse schon hilft, Bots in die Irre zu führen.  

[Crash Override]

Nicht nur da - hab gestern das ganze sogar beim abmelden gehabt. Das ist zumindest dann komisch; das es hin und wieder bei Längeren Posts auftaucht, daran habe ich mich bereits gewöhnt.

[rainbowdash28]

Ein kurzer Hinweis hätte gereicht. Es gab Ausnahmeregel für die Profile, jedoch war leider der Parameter noch falsch konfiguriert. #Logout: Danke für den Hinweis, an die Seite hatte ich wirklich nicht gedacht.

Sollte beides jetzt gefixt sein in der jew. Firewall Regel von cloudflare.
Aktuell als positive Liste statt negative, ist einfacher. Jedoch werde ich da noch ein kleinen Tweak einbauen, damit man den Schutz auch gar nicht umgehen kann.

Weitere Core-Edits werden soweit wie möglich vermieden, davon gibt's schon genug bei bronies.de - speziell nicht für so eine Sache die sowieso keine 100%ige Garantie bietet, außer das Sie die neue URL benötigen.

(01.09.2020)Crash Override schrieb:  Nicht nur da - hab gestern das ganze sogar beim abmelden gehabt. Das ist zumindest dann komisch; das es hin und wieder bei Längeren Posts auftaucht, daran habe ich mich bereits gewöhnt.

Die Regel hingegen wurde erstmals wieder deaktiviert, da Sie sowieso nur bzgl. externe (außerhalb DACH-Raum) Requests anspringen sollte, daher waren wohl dort die Reports etwas geringer. Entweder kann Cloudflare das Land nicht richtig bestimmen oder es wird eine VPN genutzt.

Da die Spam-"Bots" aber legitime IPs (auch von bekannten Server-Providern) innerhalb DACH nutzen, mussten die dieses Captcha nie lösen.

Alle Nutzer aus dem DACH-Raum haben nie eine Meldung bekommen, da die Regel aber jetzt sowieso erstmal weg ist, sollte das nicht mehr vorkommen. Kann aber jederzeit sein, dass die Regel wieder eingeschalten wird, sollte es Angriffe geben.

[Magic Twilight]

Beim Profil schauen
kommt das auch.
Ich finde das sogar manchmal echt schwer. Man muss schon Fantasie haben, um manche "Autos" als Autos zu erkennen. Das macht Spaß und ist eine Herausforderung.

[Markus]

(01.09.2020)rainbowdash28 schrieb:  Ein kurzer Hinweis hätte gereicht. Es gab Ausnahmeregel für die Profile, jedoch war leider der Parameter noch falsch konfiguriert. #Logout: Danke für den Hinweis, an die Seite hatte ich wirklich nicht gedacht.

Sollte beides jetzt gefixt sein in der jew. Firewall Regel von cloudflare.
Aktuell als positive Liste statt negative, ist einfacher. Jedoch werde ich da noch ein kleinen Tweak einbauen, damit man den Schutz auch gar nicht umgehen kann.

Weitere Core-Edits werden soweit wie möglich vermieden, davon gibt's schon genug bei bronies.de - speziell nicht für so eine Sache die sowieso keine 100%ige Garantie bietet, außer das Sie die neue URL benötigen.

Super. Auf den ersten Blick scheint es jetzt so zu funktionieren, wie es sollte. Danke!  

Dass du Core-Edits vermeiden möchtest, kann ich sehr gut verstehen. Bin positiv überrascht, wie gut / zielgenau man das bei Cloudflare scheinbar einstellen kann. Ich hatte vermutet, der Filter von der Firewall würde nur die .php Seite erkennen können und zusätzliche URL-Parameter ignorieren. Wenn das aber tatsächlich so zielgenau eingestellt werden kann, umso besser. Dann ist das natürlich so, ohne Core-Edit, die elegantere Lösung.  

[Railway Dash]

Der Erfolg gibt rainbowdash28 jedenfalls recht: bereits der zweite Tag ohne einen neuen Spammer

[rainbowdash28]

(01.09.2020)Magic Twilight schrieb:  Beim Profil schauen kommt das auch.

Sollte aber jetzt nicht mehr vorkommen?

(01.09.2020)Magic Twilight schrieb:  Ich finde das sogar manchmal echt schwer. Man muss schon Fantasie haben, um manche "Autos" als Autos zu erkennen. Das macht Spaß und ist eine Herausforderung.

So "genau" ist das System nicht, mir scheint der von CloudFlare genutzt Captcha benutzt einen leichten "Algorithmus", wie sagt man so schön: Fehler sind menschlich. Darauf baut der auf, hab schon manchmal vergessen ein Auto zu markieren und bin dennoch durchgekommen, daher macht er wohl auch standardmäßig immer zwei Runden.

reCaptcha v2 hingegen kann es vorkommen, dass man mehr als zwei Runden machen muss oder manchmal auch nur eine. Wundert mich eig. das nicht Googles reCaptcha verwendet wird, da Google zum Teil auch an CF beteiligt ist.

Außerdem hab ich bei hCaptcha noch nie Schilder gehabt, was mich bei reCaptcha schon manchmal in den Wahnsinn trieb, weil ist es schon ein Schild wenn bloß die Stange vom Schild noch sichtbar ist oder nicht.. Gibt ja ganz lustige Videos darüber.

So in etwa

(01.09.2020)Markus schrieb:  Super. Auf den ersten Blick scheint es jetzt so zu funktionieren, wie es sollte. Danke!  

Hoffen wir, dass es erstmal so bleibt, mit etwas Trickserei könnte man den Schutz umgehen, glaube aber nicht, dass die Anweder in solchen Zentralen wirklich so weit gehen würden.

(01.09.2020)Markus schrieb:  Dass du Core-Edits vermeiden möchtest, kann ich sehr gut verstehen. Bin positiv überrascht, wie gut / zielgenau man das bei Cloudflare scheinbar einstellen kann. Ich hatte vermutet, der Filter von der Firewall würde nur die .php Seite erkennen können und zusätzliche URL-Parameter ignorieren. Wenn das aber tatsächlich so zielgenau eingestellt werden kann, umso besser. Dann ist das natürlich so, ohne Core-Edit, die elegantere Lösung.  

Danke, leider ist es eh schon zu spät, da früher froh und lustig undokumentiert der Core geändert wurde. Ich hab dann irgendwann angefangen, die Core-Edits der Kollegen zum Teil in ein "Core Edit" Plugin umzubauen (nach ein Update einfach das Plugin de-/aktivieren und alle Edits sind wieder drinnen), muss aber aktuell noch ein Compare machen mit der installierten Version um wirklich alle Core-Edits rauszuholen, bevor ich weiter updaten kann.

CloudFlare bietet diese Managed Firewall Rules auch nur in der Pro, die von mir aktuell finanziert wird. Aus mehreren Gründen. Kann prinzipiell sagen ob nur der Pfad ansich (absolut oder relativ) und/oder die gesamte URI inkl. Parameter durchsucht werden soll. So lässt sich das zumindest etwas einschränken.

(02.09.2020)Railway Dash schrieb:  Der Erfolg gibt rainbowdash28 jedenfalls recht: bereits der zweite Tag ohne einen neuen Spammer

Warten wir erst einmal ab, wird man dann die nächsten Wochen sehen ob das ganze Erfolg bringt oder nicht.

[mrx1983]

(02.09.2020)rainbowdash28 schrieb:  

Spoiler (Öffnen)

(01.09.2020)Magic Twilight schrieb:  Beim Profil schauen kommt das auch.

Sollte aber jetzt nicht mehr vorkommen?

(01.09.2020)Magic Twilight schrieb:  Ich finde das sogar manchmal echt schwer. Man muss schon Fantasie haben, um manche "Autos" als Autos zu erkennen. Das macht Spaß und ist eine Herausforderung.

So "genau" ist das System nicht, mir scheint der von CloudFlare genutzt Captcha benutzt einen leichten "Algorithmus", wie sagt man so schön: Fehler sind menschlich. Darauf baut der auf, hab schon manchmal vergessen ein Auto zu markieren und bin dennoch durchgekommen, daher macht er wohl auch standardmäßig immer zwei Runden.

reCaptcha v2 hingegen kann es vorkommen, dass man mehr als zwei Runden machen muss oder manchmal auch nur eine. Wundert mich eig. das nicht Googles reCaptcha verwendet wird, da Google zum Teil auch an CF beteiligt ist.

Außerdem hab ich bei hCaptcha noch nie Schilder gehabt, was mich bei reCaptcha schon manchmal in den Wahnsinn trieb, weil ist es schon ein Schild wenn bloß die Stange vom Schild noch sichtbar ist oder nicht.. Gibt ja ganz lustige Videos darüber.

So in etwa

(01.09.2020)Markus schrieb:  Super. Auf den ersten Blick scheint es jetzt so zu funktionieren, wie es sollte. Danke!  

Hoffen wir, dass es erstmal so bleibt, mit etwas Trickserei könnte man den Schutz umgehen, glaube aber nicht, dass die Anweder in solchen Zentralen wirklich so weit gehen würden.

(01.09.2020)Markus schrieb:  Dass du Core-Edits vermeiden möchtest, kann ich sehr gut verstehen. Bin positiv überrascht, wie gut / zielgenau man das bei Cloudflare scheinbar einstellen kann. Ich hatte vermutet, der Filter von der Firewall würde nur die .php Seite erkennen können und zusätzliche URL-Parameter ignorieren. Wenn das aber tatsächlich so zielgenau eingestellt werden kann, umso besser. Dann ist das natürlich so, ohne Core-Edit, die elegantere Lösung.  

Danke, leider ist es eh schon zu spät, da früher froh und lustig undokumentiert der Core geändert wurde. Ich hab dann irgendwann angefangen, die Core-Edits der Kollegen zum Teil in ein "Core Edit" Plugin umzubauen (nach ein Update einfach das Plugin de-/aktivieren und alle Edits sind wieder drinnen), muss aber aktuell noch ein Compare machen mit der installierten Version um wirklich alle Core-Edits rauszuholen, bevor ich weiter updaten kann.

CloudFlare bietet diese Managed Firewall Rules auch nur in der Pro, die von mir aktuell finanziert wird. Aus mehreren Gründen. Kann prinzipiell sagen ob nur der Pfad ansich (absolut oder relativ) und/oder die gesamte URI inkl. Parameter durchsucht werden soll. So lässt sich das zumindest etwas einschränken.

(02.09.2020)Railway Dash schrieb:  Der Erfolg gibt rainbowdash28 jedenfalls recht: bereits der zweite Tag ohne einen neuen Spammer

Warten wir erst einmal ab, wird man dann die nächsten Wochen sehen ob das ganze Erfolg bringt oder nicht.

das mit den core edits kann ich sehr gut verstehen, vor allem bei updates ist das immer sehr ätzend.
dann braucht man schon einen halben tag um das alles irgendwie auf die neueste version zu bringen.
am besten sind da wirklich nur die nötigsten sachen, und dann am besten nur in form von plugins.
die menge an designs ist da wahrscheinlich auch eher kontraproduktiv, auch wenn sie natürlich schön sind, und für jeden was dabei ist. aber das anpassen ist natürlich dann auch eine mamutsaufgabe.
wenn ich mir die mybb timeline so angucke, wollen die ja schon wieder alles in den nächsten versionen umstricken.

naja bei mir musste ich insgesammt 3-4 dateien anpassen um letztendlich alles zu einer neuen url zu leiten.
war auch eines der ersten dinge die ich umgestellt hatte, sogar noch vor dem stopforumspam plugin.
hatte auch schon deutlich geholfen.
ich nehme an das die bots einfach entweder diese default urls gezielt suchen, od. diese default url letztendlich übermitteln an die menschlichen captcha löser, und das durch das umbenennen doch irgendwo dieser ablauf leicht gestört wird. ist halt eine mögliche maßnahme. aber wenn es jetzt ja funktioniert kann man sich das ja sparen.

[Leon]

Bei den Sicherheitsfragen wurden übrigens mittlerweile einige zu generische Fragen entfernt und durch neue ersetzt. Ggf. werden auch noch ein paar der anderen ausgetauscht.

(02.09.2020)rainbowdash28 schrieb:  Außerdem hab ich bei hCaptcha noch nie Schilder gehabt, was mich bei reCaptcha schon manchmal in den Wahnsinn trieb, weil ist es schon ein Schild wenn bloß die Stange vom Schild noch sichtbar ist oder nicht.. Gibt ja ganz lustige Videos darüber.

In dem Video werden aber auch Werbetafeln ausgewählt, was falsch ist. Ich gehe bei der Frage nach Straßenschildern davon aus, dass nur Verkehrszeichen und Straßennamen, also "offizielle" Schilder, keine Werbetafeln o.ä. gemeint sind. Basierend daruf beantwortet er 4 Bildern falsch und 5 richtig und es ist kein Wunder, dass es nicht als gelöst gezählt wird.

[Magic Twilight]

Wie fandet ihr die Fragen, die ich gestellt habe?

(04.09.2020)Leon schrieb:  Bei den Sicherheitsfragen wurden übrigens mittlerweile einige zu generische Fragen entfernt und durch neue ersetzt. Ggf. werden auch noch ein paar der anderen ausgetauscht.

(02.09.2020)rainbowdash28 schrieb:  Außerdem hab ich bei hCaptcha noch nie Schilder gehabt, was mich bei reCaptcha schon manchmal in den Wahnsinn trieb, weil ist es schon ein Schild wenn bloß die Stange vom Schild noch sichtbar ist oder nicht.. Gibt ja ganz lustige Videos darüber.

In dem Video werden aber auch Werbetafeln ausgewählt, was falsch ist. Ich gehe bei der Frage nach Straßenschildern davon aus, dass nur Verkehrszeichen und Straßennamen, also "offizielle" Schilder, keine Werbetafeln o.ä. gemeint sind. Basierend daruf beantwortet er 4 Bildern falsch und 5 richtig und es ist kein Wunder, dass es nicht als gelöst gezählt wird.

Ja. Das macht mich auch wahnsinnig.
Ich habe viel Fantasie jetzt und klicke einfach viel mehr an.

[Crash Override]

bis auf 2 (nummer 2 + 4) sind die anderen zu "forenspezifisch", das kann ein neuer User nciht wissen. nur mal nebenbei. erwähnt... zumal ich denke, das das forenteam da schon weiß was es tut.

[Magic Twilight]

Come on. Die Fragen sind ja nicht so schwer... ^^'

Ich gebe sogar die richtige Antwort mit dabei.

[Crash Override]

das ist das nächste problem, auch wenn du da zusätzlich falsche mit angibst. am besten keine antworten angeben, denn auch solche fragen können an die "steuerleute" weitergegeben werden und dann isses ne kleinigkeit sie zu lösen.

das Problem ist, das man sich dabei selbst in die situation einer Person versetzen muss, die sich zum ersten mal hier anmeldet. Da weiß man z.b. nicht wie die Personen heißen, die für ein angenehmes Leseverhältnis sorgen (ich lasse beabsichtigt die antworten hier weg, damit es eben nicht zu leicht gemacht wird), ebensowenig welchen Avatar man erhält wenn man mist gebaut hat und rausfliegt.

Das ist es eben auf was man achten sollte - zumal leon bereits erwähnt hatte das die fragen angepasst wurden und die Generischen rausgeflogen sind, somit besteht da kein bedarf mehr.

[Magic Twilight]

Es gibt jetzt Fragen zu beantworten? :o

Kein Problem für mich. Ich kann alles.

[Crash Override]

(06.09.2020)Magic Twilight schrieb:  Es gibt jetzt Fragen zu beantworten? :o

Kein Problem für mich. Ich kann alles.

die sind für die, die sich "neu Registrieren". du, als angemeldeter, bekommst nur hin und wieder cloudflare und ein Captcha zu sehen, aber nciht die Fragen.

ich hoffe, das du es jetzt endlich verstanden hast worum es hier die ganze zeit ging.

[Magic Twilight]

(06.09.2020)Crash Override schrieb:  

(06.09.2020)Magic Twilight schrieb:  Es gibt jetzt Fragen zu beantworten? :o

Kein Problem für mich. Ich kann alles.

die sind für die, die sich "neu Registrieren". du, als angemeldeter, bekommst nur hin und wieder cloudflare und ein Captcha zu sehen, aber nciht die Fragen.

ich hoffe, das du es jetzt endlich verstanden hast worum es hier die ganze zeit ging.

Ne. Ich erstelle mir erst mal neue Fake-Accounts, um zu sehen, ob ich reinkomme.

Nein. Aber die Captchas scheinen wirklich zu wirken. Jetzt können wir die ganze Zeit das Forum alleine lassen:

Es funktioniert!!! Wir sind gerettet.

Danke. Problem solved.

[Novarius]

Hmm, dachte mir ich erwähne mal das ich letzte woche zum ersten mal hier 2 posts gesehen habe die von spambots kamen, einer definitiv, der andere sah auf den ersten blick zumindest thematisch richtig aus aber hatte dann auch gleich mal nen link angehängt zu nem youtube video (zumindest laut linknamen) und war in englisch.
beide waren in den folgendiskusions unterforen.

[Railway Dash]

Erster wurde abgewiesen, den zweiten (englisch und mit Videolink) hab ich gesehen, war mir da aber nicht wirklich sicher, deshalb hab ich ihn stehen lassen. Das verlinkte Video war thematisch richtig, also kein Link auf irgendwelche dubiosen Seiten, nur deshalb habe ich den Beitrag gelassen.

[Tamira]

Heute Nacht war hier definitiv ein Spammer am Werk.