延々とアカウントを登録しようとする虐待者をブロックするにはどうすればよいですか?


41

オープン登録の無料サイトがあります。誰でも登録できますが、変更することはできません。ただし、プロファイルを完了した後、アカウントは管理者によって承認される必要があるため、重複ユーザー(生年月日、「自己紹介」コメント、電子メールアドレス、写真、プロファイル内の報告場所、ジオロケーションIPを特定するためのさまざまな情報にアクセスできます、IPアドレスなど)

最近、このサイトは非常に虐待的で、複数のアカウントを登録する時間が無制限のように見える一人のユーザーの攻撃にさらされています。これらのアカウントは比較的簡単にブロックできますが、管理者(私)にとっては大変な作業であり、正当なアカウント(このユーザーは1日に約6個のアカウントを登録する)の1つを見逃すのではないかと思います。

私はすでに持っています:

  • ユーザーの既知のIPアドレスを禁止しました
  • 「使い捨て」メールアドレスに使用される既知のドメインからの登録をブロック
  • ユーザーからの既知のアクセスパターンに基づいてアカウントを識別するのに役立つ特別なビューを追加しました

このユーザーが登録するのをさらに難しくするために、クッキーなどでできることはありますか?

これはDrupal 7サイトです。

編集:私の場合、これはボットではなく人間のユーザーです。しかし、ボットの回答は、スパマーの標的にされている人にとっては便利です。


私が考えることができる唯一のものは、あなたがそれらが2つのものであると思う文字/数字のいくつかとして、本当に読みにくいそれらの迷惑なキャプチャです。ネガティブな面では、他のみんなを困らせます(笑)。
ノーSssweat

13
drupal.org/project/misery(他のすべてが失敗した場合)。
ニールマーフィー

7
実際に使用した最初の2つのソリューションは、非常に悪いアイデアです。IPアドレスは、ネットワーク全体を一意に識別するのに非常に不十分であり、特定のコンピューターを気にせず、特定のユーザーを気にしないでください!ユーザーがデバイスを他の多くのユーザーと共有することは珍しくありません。そのデバイスは、サービスプロバイダーによって定期的に別の顧客に再割り当てされる単一のIPアドレスを共有する他の多くのデバイスとネットワーク上にあります。メールドメイン名のセット全体を禁止することはさらに悪いことです。正当なユーザーをブロックするという本当のリスクがあります。
-JBentley

3
回答のアドバイスを試すとき、悪いユーザーを罰するために、良いユーザーの生活を決して不快にしないことをお勧めします。これを行うと、悪いユーザーが勝ち、良いユーザーを失う危険があります。
ルービー

回答:


51

ユーザーが登録するのを防ぐのではなく、トロールやハッカー向けのゲームであるため、サイトをユーザーにとって煩わしいものにします。彼にトローリングゲームで勝ちたくなるのとは対照的に、彼を去らせたい思わせください。

Drupalに固有ではなく、私が過去に行ったことは、ユーザーを登録させることです。次に、彼の特定のアカウントを妨害しました。

  1. 私は毎日if ($someuser) { sleep(rand($base, $base*2)) }コード$baseを増やしていきます。私は彼が多くのタイムアウトを持っていることを確認しました。
  2. 私は彼の投稿のN%をドロップします。Nは50%を超えて開始し、そこから増加するだけです。投稿に特定のキーワードがある場合、すぐに削除されます。
  3. ページが正しく表示されないように、CSSルールをランダムに削除します。繰り返しますが、重大度は時間とともに増加します。

これには私の側でより多くの努力が必要でしたが、Sun Tzuのアドバイスに従って、私はユーザーに私のサイトを憎むよう条件付けしていました。私は彼に私たちを悩ませているのではなく、遅延と明らかなバグに悩まされるべきだと感じてほしいと思った。彼が私たちをあきらめるのに一週間もかからなかった。

編集:コメントで、ユーザーroobyは同じ概念に基づいたMiseryモジュールについて言及しています:

  1. 遅延:ランダムな長さの遅延を作成し、接続が遅いように見せます。(デフォルトでは、これは40%の時間で発生します)
  2. 白い画面:ユーザーに白い画面を提示します。(デフォルトでは、これは時間の10%で発生します)
  3. 間違ったページ:事前定義されたリスト内のランダムなURLにリダイレクトします。(デフォルトでは、これは時間の0%で発生します)
  4. ランダムノード:ユーザーがアクセスできるランダムノードにリダイレクトします。(デフォルトでは、これは時間の10%で発生します)
  5. 403 Access Denied:ユーザーに「アクセス拒否」エラーを提示します。(デフォルトでは、これは時間の10%で発生します)
  6. 404が見つかりません:「見つかりません」エラーをユーザに提示します。(デフォルトでは、これは時間の10%で発生します)
  7. フォームが送信しない:検証中にフォームにリダイレクトして送信を防止します。(デフォルトでは、これは60%の時間で発生します)注:場合によっては、どのボタンが押されたかに基づいて特定のフォームが検証されますが、このような場合は機能しません。
  8. IE6のクラッシュ:ユーザーがInternet Explorer 6を使用している場合、ブラウザーがクラッシュします。(デフォルトでは、これは時間の0%で発生します)
  9. スパム:ノードのコンテンツを設定された単語に置き換えます。(デフォルトでは、これは時間の10%で発生します)
  10. ログアウト:ユーザーをログアウトします。(デフォルトでは、これは時間の10%で発生します)

8
これは理論的には素晴らしいと思い$someuserますが、新しいアカウントを作成するたびにハードコーディングすることを考えると、私はうんざりします。それでも、素晴らしいアイデア。troll列のように、アカウントテーブルにフィールドを追加するだけの場合もあります。1の場合、変更が有効になります。次に、誰かを荒らしとしてマークするためのシンプルなインターフェースを追加します。少なくともその方法では、ユーザー名/ユーザーID /メール/などをハードコーディングするよりも少し簡単です。新しいアカウントで登録するたびに。確かにこれを支持します。
ネイトI

5
@NateIでも再利用可能にすることができます。if (hellbannedUsers.contains($someuser))より良いステップです。そもそもこれがどれだけ自作のロジックであるかが気に入らないのですが、少なくとも再利用可能にすることができます。
-djechlin

3
@djechlinもちろん、再利用可能にすることができます。したがって、DBのテーブルを使用してさらに一歩進んだことについての私自身のコメントです。
ネイトI

3
コーディングを節約するために、悲惨なモジュールに興味があるかもしれません。
ルービー

7
素晴らしい答え。これの変形は、トロールに投稿を許可し、そのユーザーに投稿を表示しますが、他のすべてのユーザーに対してはそれらを非表示にします。
ゼラニクス

30

虐待者のISPにメールを送信-彼らはそれに終止符を打つでしょう!

彼のアカウント作成時間のログと、登録に使用したIPアドレスがありますよね?彼の嫌がらせのコメントもすべてログに記録されていますか?これらのログをISPに送信します。

ISPを見つけるには、https: //whois.arin.net/uiのARINで直接IPルックアップを実行するか、whoisに単純に使用する別のサービスを使用します。ほとんどのユーザーは、IPの所有者のために実際のISPを用意しますが、一部(通常は大企業)がIPを所有します。いずれにせよ、IPを所有しているのは誰であるかがわかります。そこから、それらを調べて、悪用メールアドレスを取得できます(WHOIS情報に実際の悪用メールアドレスを入れている場合があります)。へのメール。ISPに親切で礼儀正しくしてください。叙事詩小説を書かないでください-それを単純にしてください。「このIPは自分自身と私のWebサイトのユーザーに嫌がらせをしています。ログを参照してください」のようなもので十分です。彼らは1日に何千ものこれらを見ます、彼らはすすり泣きの物語を読みたくありません。

ISPのネットワークエンジニアでした。この種の行動に対する無数の嫌がらせ報告を受けました。加入者が電話を受けた瞬間、彼らは時間の約90%を止めます。継続する場合は、法的措置を講じることができるため、ほとんどのISPは非常に深刻な措置を講じます。

あなたの侵略者はおそらく両親と一緒に家に住んでいる子供です。つまり、彼の両親のインターネットアカウントが終了すると脅かされると、彼らは彼の行動に非常に腹を立てます。

私は個人的にこのルートを取りましたが、攻撃者があなたの国にいなくても機能します。ISPは、ネットワークで悪用されているユーザーを親切に受け入れません。

サイドノート

彼がプロキシを使用している可能性があります。ただし、(登録した瞬間から)あなたのウェブサイトをトロールすることを完全に意図していない限り、彼が最初の登録時にプロキシを使用することはほとんどありません。実際に不正なメールを送信できる正当なISPを実際に指しているIPがない場合は、使用しているプロキシサービスに送信してみてください。

人々は、だれかがプロキシを使用しているという理由だけで、彼らが検出できないというこのおかしな考えを持っています。それは間違っています。プロキシサービスは通常、他のすべてのユーザーと同じルールに従います(もちろん例外もあります)。虐待レポートを受け取ると、ISPと同じように処理します。

このユーザーがうまく動作しないプロキシの背後にいるという信じられないほど小さなチャンスについては、他の回答者のアドバイスに従います。しかし真剣に、それは非常にまれであるため、ほとんどのウェブサイトの所有者は、「検出不可能」と思われる人からの攻撃を目にすることはありません。


2
これが唯一の実際の解決策です。提案されている他のすべては、解決策ではなく回避策のようです。
CVn

この点でもTorは問題になる可能性がありますが、実際にこれに問題がある場合は、Tor 出口ノードのみからのトラフィックをブロックするオプションが常にあります。(最後に、付随的な被害を最小限に抑えます。)
CVn

このプロセスにかかる時間を教えてください。私は10日前に情報を送信しましたが、私はまだ、どんな種類の応答も、自分の報告の承認までも受け取っていません。
パトリックケニー

私は実際の応答を受け取ったことがない。この一連の行動で私が目撃した唯一のことは、その人がしていることをやめることです。その人はまだあなたとあなたのウェブサイトのユーザーに嫌がらせをしていますか?
ネイトI

17

あなたの質問では、キャプチャを持っていることは言及していません。おそらく、このいらいらするユーザーはボットですか?私の推測では、あなたはすでにキャプチャを持っていると、そのユーザーは実際に人間です。

しかし...そうでない場合、私はお勧めします:

reCAPTCHA

Google reCAPTCHA Webサービスを使用して、CAPTCHAシステムを改善し、メールアドレスを保護します。

ここに画像の説明を入力してください


9

ヘルバン/シャドーバン

ブロックされたアカウントを置き換えるために新しいアカウントを作成することをブロックすることはほとんど不可能であるため、この問題のやや人気のある解決策はいわゆるhellban(http://www.urbandictionary.com/define.php?term=hellban)またはshadowbanです、特定のアカウントを禁止されていることを明らかにせずに特定のアカウントを他の全員から隔離する機能を実装します。

たとえば、ユーザーは自分の経験が本物だと感じ、同じアカウントを使用し続けることができることを確認しますが、投稿またはアクティビティはhellbannedアカウントおよびアカウント(またはログに記録されていないアカウント)状況で)IPやCookieをhellbannedアカウントと共有する。ユーザーがトロールを続けても応答が得られない場合、最終的にユーザーは退出します。


Drupal 7でこれを実装する方法は?
reinierpost

1
@reinierpost- 洞窟はこれを実装する1つのオプションです
-BryanH

7

No Sssweatの提案では、コメントではなく回答としてこれを掲載しているので、より多くの人がそれを見ることができます。

Drupal.org/project/miseryは、約8種類の方法でユーザーのがらくたをいらいらさせる非常に良い仕事をしています。ランダムタイムアウト、ログアウト、ランダムリダイレクトなど、頻度は変更可能です。

dotancohenの問題に対する簡単な記事の簡単なバージョン。


6

2番目の要素を使用してはどうですか?登録時に、SMSを携帯電話またはメールに送信し、リンクをクリックして情報を返送して登録を確認するように伝えます。IPアドレスよりもなりすましの難しい識別子を取得し、その方法で彼を除外する方が簡単かもしれません。明らかに少量のスクリプトが必要になります...


5

実際には不可能です。

ユーザーが何度も登録するのを止めることはできません。あなたができる唯一のことは、登録プロセスを強化し、IDをダブル/トリプルチェックし(メールアドレス Googleアカウント Facebookアカウント LinkedInアカウント電話番号などを通じて)、各人を特定のIDに関連付けて集約することですこれらすべての詳細。

特定の人は、Webプロキシを介して別のネットワークを選択したり、多くの@emailを作成したり、複数のfacebook / google / LinkedInアカウントを開いたりすることができますが、この人を停止して再登録することはできません(DNAを確認しない限り)。

唯一の選択肢は、登録プロセスを強化することです。


2
先ほど言ったように、将来の新規ユーザーに、アカウントを一意のFacebookアカウントと一意のGoogleアカウント、一意のLinkedInアカウントとSMSの送信先となる一意の電話番号にバインドするよう要求します。あなたは非常にけれどもポジションにいます!本当に高価な手段がなければ、ユーザーが一度だけ登録することを保証することはできません。さらに、使用できる唯一の手段は、将来のユーザーを困らせることです(ggl / SO / fb / LinkedIn / GHアカウントをバインドし、新しいアカウントを作成するためだけにポストメールでIDを送信しますか?)
Auzias

11
これは、本物のユーザーの数を減らすための迅速な方法でもあります。
Tom.Bowen89

3
あなたは、最悪の場合、つまり数十億ドルの高度なintelligence報機関があなたを手に入れようとしている場合、それは不可能だと主張しています。OPがどこかで11歳の気難しい人のように扱っている可能性は非常に高いです。したがって、あなたの答えは少し非現実的であり、IMOは誤解を招きます。
-djechlin

2
あなたの答えは矛盾しています。それは不可能だと言っていますが、登録プロセスを強化することが唯一の方法です。これは実際には必ずしも問題を解決するわけではなく、唯一の解決策でもありません。
ルービー

1
私は知っています;)またはグーグルもLinkedInも持っていません
-Auzias

4

No Sssweatで提案されているように、reCAPTCHAを使用できます。しかし、正当なユーザーに迷惑をかけたくない場合は、Honeypotモジュールを試すことができます。それは、埋められてはならない追加のフィールドを持っているオプションを与えます(AFAIKボットはすべてのフィールドを埋めるかもしれません)または時間制限があります。

ドキュメントは、

ハニーポットはハニーポットとタイムスタンプの両方の方法を使用して、スパムボットがDrupalサイトのフォームに記入するのを阻止します(詳細はこちら)。これらの方法は、多くのスパムボットに対して効果的であり、CAPTCHAやユーザーを罰する他の方法[YouTube]ほど侵入的ではありません。

もう1つのオプションはSpambotモジュールです。これは、Stop Forum Spamに対する登録試行を検証することによりスパムを防止します。

Spambotは、Stop Forum Spam(www.stopforumspam.com)オンラインデータベースに対する登録試行を検証することにより、スパマーやスパムボットからユーザー登録フォームを保護します。また、スパムアカウントの処理に役立つ便利な機能もいくつか追加されています。


3
これは、人間ではなくスパムボットに有効です。
user253751

3

質問に対する答えがあります-コミュニティはこれを不快に感じるかもしれませんが。コストを節約するために、パスがこれ以上頻繁に使用されない理由はわかりません。

あなたのサイトで不法侵入している個人、および米国コードのタイトルXVIII、コンピューターの改ざん、不正行為、虐待に違反している個人に、停止と破棄の手紙を送ります。

彼らがやめなければ、現金をポニーアップして訴えましょう。1990年代半ばに、カンザスシティ地域の唯一のISPが10代の若者によってハッキングされたWDMOで最初のケースがありました。私は家族に連絡し(彼らはサーバーの1つをルート化していて、隠されたサブディレクトリに実際の名前とアドレスで "Warez"グループに参加するためにアプリケーションを保存するのに十分愚かだった)。彼らは拒否しました。

54ページの苦情で、私は説明しなければなりませんでした:ISP、インターネット、アクセスの超過など、新しく任命された裁判官へ。

私は支持者以上の存在で、私のアカウントにアクセスしていました(クライアントアカウントではなく、神に感謝-The Rust List)。私は両親に起訴し(被告人が民事訴訟で未成年者であった場合のみ)、両親は適切な監督なしに危険な道具を未成年者の手に渡したこと、未成年者は盗まれたソフトウェアの転送に従事したこと、および子供向けポルノ(そう、16歳のGFの写真を撮る16歳の男の子は「子供向けポルノ」です)。私は住宅所有者の方針を打ち、当時の裁判所は考慮すらしていなかった救済策を持っていました。つまり、ティーンエイジャーのためのコンピューターの使用の終身禁止です。

発見の転送から1週間以内に解決しました。

あなたは他のすべてを試しました:この小さなたわごとを壁切除術で打ちます。これが何であるかを知っている弁護士を選ぶように注意してください。

ジャークがサイトにアクセスすることを妨げる裁判所命令がどのように機能するかを検討してください。命令の違反と裁判所は、被告人が裁判所を軽inしてはならない理由を示す理由を示す命令で応答します。

他のサイト/ IPアドレスからの攻撃が入り始めます-あなたの弁護士に伝えてください-そして応答には、被告のコンピューターのミラーリング、被告のインターネットへのすべてのアクセスからの差し止め命令、および被告がプロキシによる命令に違反したことが判明した場合が含まれます、裁判所は制裁を課します。

最終的に、ジャークはインターネットから永久にブロックされることに自分自身を閉じ込めた可能性があります。このすべての後に本当に腹を立て、被告人がインターネットから離れていることを確認したい場合は、PIを雇って、1週間または10日間(安くはない)被告人をフォローし、インターネットにアクセスしている場合スターバックスから-またはあなたがそれらを持っているMcDの:裁判官に戻ります。

究極の秩序は信じがたいものであり、被告が裁判所の命令に日常的に違反したという圧倒的な証拠によってのみ発生します:スマートフォン、VOIP、ケーブルまたは衛星テレビはありません(インターネットは利用可能であり、彼/彼女は完全に無視しています法律なので、ハッキングしてアクセスすることは許可されていません)、インターネットはありません(終身禁止であればいいと思います-おそらくない)、物事のインターネット、そして最終的にはコンピューティングデバイスはありません。

被告が技術分野で生計を立てている場合、掘る溝と裏返すハンバーガーがあります。

それが、核オプションでこれを終わらせる方法です。


@ Pierre.Vriensこれはいずれにせよ興味深い情報であり、私が東京にいる間、私の会社は虐待しているユーザーと同様に米国にいます。
パトリックケニー

OK、その時はごめんなさい(以前のコメントは今すぐ削除しました)... EURグラスで見ていますが...
Pierre.Vriens

2

私は悲惨なモデルが好きですが、本当にうるさい迷惑なメッセージのあるページに彼をランダムに送り、また時には悪いポルノサイトに送ります。彼が公の場にいる場合、彼を困らせたり困惑させたりする可能性のあるもの。


1
絶望的な時代は必死の手段を必要としますが、これはとても面倒です。彼をリック・ロールにリダイレクトするかもしれません、笑
いいえSssweat

1
それは彼がブロックされていることを明らかにします
アンヘル

2

この種の状況に特化したモジュールを作成しました。これはSpaces Enforcedと呼ばここにあります。名前に少なくとも1つのスペースが含まれていない登録者をブロックすることで機能します。さらに設定することができ、何文字を表示する必要があるかを選択できます。また、100%に近い継承率もあります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.