Wiatm, w zwiazku z zalewaniem mego ćwiczebnego portalu spamem postanowilem kontratakować (najlepsza obrona jest atak).
Logi pokazyja ze Bot/y wciąż co minute łączy się i opanowalem sytuacje na tyle, że wyświetlam mu stronę 404.php wiec klopotu niby nie ma ale chcialbym go odciąć/zniechecić
Postanowilemzmienić tresc 404 na:

[PHP] pobierz, plaintext 
//prezent dla floodbotow
if(isset($enemyspotted))
{
 
echo '<a href="#" onclick="';
for($x=1;$x<20000;$x++)
{echo 'window.open(\'http://google.pl\');window.open(\'http://redtube.pl\');';}
echo 'return false;" style="width:100%!important;height:100%!important;display:block!important;position:fixed!important;top:0px!important;le
ft:0px;!important">';
 
echo '<form action="" method="post"><input type="text" name="" /><textarea name=""></textarea>
<input type="submit" name="submit" style="width:100%!important;height:100%!important;display:block!important;" />
</form></a>';
}
[PHP] pobierz, plaintext 

i teraz mam pytanie, czy bot to lyknie?
domyslam sie ze CSS nie ma zadnego znaczenia:(
glownie chodzi mi o to jak sa skonstruowane takie boty bo nie mam z tym ŻADNEGO doświadczenia, rozumiem ze stoi jakis serwerek z puszczonym skryptem ale czy:
-jest to rownoznaczne z otwarta przegladarka na takim serwerze?
-czy jest szansa że taki bot uruchomi multi-link w którym zagniezdzony jest formularz, czy jest mozliwosc ze uruchomi tylko submit a link nie zareaguje9nie zostanie klikniety)

a może to wogole bez sensu, moze lepiej byloby przekierowywac np z tej strony na HTTP_REFERER albo moze macie jakis ciekawy i skuteczny pomysl/sposob jak "odbić piłeczkę"

Tylko bot dostaje takie 404 czy inni użytkownicy również? Większość bot-ów nie parsuje JS, tak więc nic Ci to nie da. W żaden sposób bota nie zniechęcisz, co najwyżej możesz go zablokować.

- jest moc!

Boty jeżeli są odpalane to raczej z CLI (php)

b4rt3kk
Oczywiście, że tylko bot ma blokade (zablokowany po hoście bo łaczy sie z różnych IP) w innym wypadku nie nazwałbym tego rozwiązaniem ale dzieki za troske
Chcialem wlaśnie zamulic/zawiesic im 'serwer' to może osoba sterujaca botem by sie odczepiła.(albo wszczełaby 2 fale ataku )

Wychodzi na to, że skoro tylko PHP to zmienie na przekierowanie HTTP_REFERER, jezeli sie okaże, że modyfikuja nagłówki ze szkoda dla mnie (zuzycie transferu) zostawie im po prostu czysta blokade z widocznym 404 chyba ze jeszcze ktos cos podpowie.

Dzieki za odzew.

Widzę, że na Twojej stronie wszelkiej maści boty robią co im się tylko rzewnie podoba. XSS, itp. Jeśli BOT wysyła nagłówki, możesz je sprawdzić i zablokować takiego delikwenta, poprzez wyświetlenie pustej strony. Także dodawanie komentarzy (wystarczy sam przycisk submit) mógłbyś zrobić w JS, bo widzę, że zalewa Cię masa spamu.

[HTML] pobierz, plaintext 
$('form').append('input type="submit" />');
[HTML] pobierz, plaintext 

I już Ci żaden BOT nie straszny. Co prawda ludzie z wyłączonym JS i starymi przeglądarkami (jakieś 10-20% osó też nie dodadzą komentarza, ale lepsze to niż masa spamu.

b4rt3kk
Trochę tak, ale to dla mnie tylko lekcje. Wręcz wyczekiwałem momentu kiedy będę musiał pozabezpieczać co nieco bo cos/ktos zacznie mi tam szperać a takto nie było po co to za bardzo mi się nie chciało
Przed XSS ma mnie chronic htmlspecialchars i to chyba wystarczy.. URL maker wlasnej roboty ale chyba dorzuce tam "nofollow"
jak sprawdzic wysylanie 'zmienionych' nagłówków?

Nie chcialem uzywać JS tam gdzie to nie jest konieczne, ale coraz bardziej sie przekonuje, choc tu mogoby byc rozwiazaniem dodawanie komentarzy dopiero po zalogowaniu.

BTW. cały ten spam powstał 25-26 VI

[PHP] pobierz, plaintext 
$_SERVER['HTTP_USER_AGENT'];
[PHP] pobierz, plaintext 

Oczywiście nie zawsze taki nagłówek musi być dołączony.

Jak bardzo nie chcesz JS to zrób jakąś sensowną, obrazkową captche.

Ukrycie przycisku submit, i wyświetlanie go javascriptem nic nie da.

Bot działa mniej więcej tak, że wchodzi na stronę, wyszukuje formularz pobiera atrybut action formularza i na podstawie wszystkich pól z tego formularza tworzy zapytanie które wysyła pod adres zawarty w action.

Nie klika on w żaden sposób w submit stąd też jego ukrycie nic nie da. Myślę że nie ma sensu próbować przeciążyć serwera na którym działa bot żadnymi sztuczkami. Lepiej po prostu zdecydować się na jakąś captche, lub zamknąć komentarze tylko dla zalogowanych.

Po czasie moge sie podzielic informacja.
Z blacklisty
static.contabo.net
zserver31.zserver.com.br
96.47.225.82
96.47.225.74
static.quadranet.com
96.47.225.162
5.39.219.26
198.27.83.73
173.44.37.250
213.238.175.7
unknown.steephost.net
173.44.37.250
adsl.dynamic.seed.net.tw
173.44.37.250
173.44.37.242
96.47.225.186
ns3303807.ovh.net
5.39.219.26
61.182.216.30
173.44.37.234
37.59.67.198
173.44.37.226
96.47.225.170
188.143.232.31
46.161.41.32

Teraz łączą się już tylko 2

Pytanie czy zwątpiły bo nie generowały już linków czy jednak obsługiwały JS i łykały kod.
Pozdrawiam.