延々とアカウントを登録しようとする虐待者をブロックするにはどうすればよいですか？

オープン登録の無料サイトがあります。誰でも登録できますが、変更することはできません。ただし、プロファイルを完了した後、アカウントは管理者によって承認される必要があるため、重複ユーザー（生年月日、「自己紹介」コメント、電子メールアドレス、写真、プロファイル内の報告場所、ジオロケーションIPを特定するためのさまざまな情報にアクセスできます、IPアドレスなど）

最近、このサイトは非常に虐待的で、複数のアカウントを登録する時間が無制限のように見える一人のユーザーの攻撃にさらされています。これらのアカウントは比較的簡単にブロックできますが、管理者（私）にとっては大変な作業であり、正当なアカウント（このユーザーは1日に約6個のアカウントを登録する）の1つを見逃すのではないかと思います。

私はすでに持っています：

• ユーザーの既知のIPアドレスを禁止しました
• 「使い捨て」メールアドレスに使用される既知のドメインからの登録をブロック
• ユーザーからの既知のアクセスパターンに基づいてアカウントを識別するのに役立つ特別なビューを追加しました

このユーザーが登録するのをさらに難しくするために、クッキーなどでできることはありますか？

これはDrupal 7サイトです。

編集：私の場合、これはボットではなく人間のユーザーです。しかし、ボットの回答は、スパマーの標的にされている人にとっては便利です。

ユーザーが登録するのを防ぐのではなく、トロールやハッカー向けのゲームであるため、サイトをユーザーにとって煩わしいものにします。彼にトローリングゲームで勝ちたくなるのとは対照的に、彼を去らせたいと思わせてください。

Drupalに固有ではなく、私が過去に行ったことは、ユーザーを登録させることです。次に、彼の特定のアカウントを妨害しました。

1. 私は毎日if ($someuser) { sleep(rand($base, $base*2)) }コード$baseを増やしていきます。私は彼が多くのタイムアウトを持っていることを確認しました。
2. 私は彼の投稿のN％をドロップします。Nは50％を超えて開始し、そこから増加するだけです。投稿に特定のキーワードがある場合、すぐに削除されます。
3. ページが正しく表示されないように、CSSルールをランダムに削除します。繰り返しますが、重大度は時間とともに増加します。

これには私の側でより多くの努力が必要でしたが、Sun Tzuのアドバイスに従って、私はユーザーに私のサイトを憎むように条件付けしていました。私は彼に私たちを悩ませているのではなく、遅延と明らかなバグに悩まされるべきだと感じてほしいと思った。彼が私たちをあきらめるのに一週間もかからなかった。

編集：コメントで、ユーザーroobyは同じ概念に基づいたMiseryモジュールについて言及しています：

1. 遅延：ランダムな長さの遅延を作成し、接続が遅いように見せます。（デフォルトでは、これは40％の時間で発生します）
2. 白い画面：ユーザーに白い画面を提示します。（デフォルトでは、これは時間の10％で発生します）
3. 間違ったページ：事前定義されたリスト内のランダムなURLにリダイレクトします。（デフォルトでは、これは時間の0％で発生します）
4. ランダムノード：ユーザーがアクセスできるランダムノードにリダイレクトします。（デフォルトでは、これは時間の10％で発生します）
5. 403 Access Denied：ユーザーに「アクセス拒否」エラーを提示します。（デフォルトでは、これは時間の10％で発生します）
6. 404が見つかりません：「見つかりません」エラーをユーザに提示します。（デフォルトでは、これは時間の10％で発生します）
7. フォームが送信しない：検証中にフォームにリダイレクトして送信を防止します。（デフォルトでは、これは60％の時間で発生します）注：場合によっては、どのボタンが押されたかに基づいて特定のフォームが検証されますが、このような場合は機能しません。
8. IE6のクラッシュ：ユーザーがInternet Explorer 6を使用している場合、ブラウザーがクラッシュします。（デフォルトでは、これは時間の0％で発生します）
9. スパム：ノードのコンテンツを設定された単語に置き換えます。（デフォルトでは、これは時間の10％で発生します）
10. ログアウト：ユーザーをログアウトします。（デフォルトでは、これは時間の10％で発生します）

虐待者のISPにメールを送信-彼らはそれに終止符を打つでしょう！

彼のアカウント作成時間のログと、登録に使用したIPアドレスがありますよね？彼の嫌がらせのコメントもすべてログに記録されていますか？これらのログをISPに送信します。

ISPを見つけるには、https： //whois.arin.net/uiのARINで直接IPルックアップを実行するか、whoisに単純に使用する別のサービスを使用します。ほとんどのユーザーは、IPの所有者のために実際のISPを用意しますが、一部（通常は大企業）がIPを所有します。いずれにせよ、IPを所有しているのは誰であるかがわかります。そこから、それらを調べて、悪用メールアドレスを取得できます（WHOIS情報に実際の悪用メールアドレスを入れている場合があります）。へのメール。ISPに親切で礼儀正しくしてください。叙事詩小説を書かないでください-それを単純にしてください。「このIPは自分自身と私のWebサイトのユーザーに嫌がらせをしています。ログを参照してください」のようなもので十分です。彼らは1日に何千ものこれらを見ます、彼らはすすり泣きの物語を読みたくありません。

ISPのネットワークエンジニアでした。この種の行動に対する無数の嫌がらせ報告を受けました。加入者が電話を受けた瞬間、彼らは時間の約90％を止めます。継続する場合は、法的措置を講じることができるため、ほとんどのISPは非常に深刻な措置を講じます。

あなたの侵略者はおそらく両親と一緒に家に住んでいる子供です。つまり、彼の両親のインターネットアカウントが終了すると脅かされると、彼らは彼の行動に非常に腹を立てます。

私は個人的にこのルートを取りましたが、攻撃者があなたの国にいなくても機能します。ISPは、ネットワークで悪用されているユーザーを親切に受け入れません。

サイドノート

彼がプロキシを使用している可能性があります。ただし、（登録した瞬間から）あなたのウェブサイトをトロールすることを完全に意図していない限り、彼が最初の登録時にプロキシを使用することはほとんどありません。実際に不正なメールを送信できる正当なISPを実際に指しているIPがない場合は、使用しているプロキシサービスに送信してみてください。

人々は、だれかがプロキシを使用しているという理由だけで、彼らが検出できないというこのおかしな考えを持っています。それは間違っています。プロキシサービスは通常、他のすべてのユーザーと同じルールに従います（もちろん例外もあります）。虐待レポートを受け取ると、ISPと同じように処理します。

このユーザーがうまく動作しないプロキシの背後にいるという信じられないほど小さなチャンスについては、他の回答者のアドバイスに従います。しかし真剣に、それは非常にまれであるため、ほとんどのウェブサイトの所有者は、「検出不可能」と思われる人からの攻撃を目にすることはありません。

あなたの質問では、キャプチャを持っていることは言及していません。おそらく、このいらいらするユーザーはボットですか？私の推測では、あなたはすでにキャプチャを持っていると、そのユーザーは実際に人間です。

しかし...そうでない場合、私はお勧めします：

reCAPTCHA

Google reCAPTCHA Webサービスを使用して、CAPTCHAシステムを改善し、メールアドレスを保護します。

ヘルバン/シャドーバン

ブロックされたアカウントを置き換えるために新しいアカウントを作成することをブロックすることはほとんど不可能であるため、この問題のやや人気のある解決策はいわゆるhellban（http://www.urbandictionary.com/define.php?term=hellban）またはshadowbanです、特定のアカウントを禁止されていることを明らかにせずに特定のアカウントを他の全員から隔離する機能を実装します。

たとえば、ユーザーは自分の経験が本物だと感じ、同じアカウントを使用し続けることができることを確認しますが、投稿またはアクティビティはhellbannedアカウントおよびアカウント（またはログに記録されていないアカウント）状況で）IPやCookieをhellbannedアカウントと共有する。ユーザーがトロールを続けても応答が得られない場合、最終的にユーザーは退出します。

No Sssweatの提案では、コメントではなく回答としてこれを掲載しているので、より多くの人がそれを見ることができます。

Drupal.org/project/miseryは、約8種類の方法でユーザーのがらくたをいらいらさせる非常に良い仕事をしています。ランダムタイムアウト、ログアウト、ランダムリダイレクトなど、頻度は変更可能です。

dotancohenの問題に対する簡単な記事の簡単なバージョン。

2番目の要素を使用してはどうですか？登録時に、SMSを携帯電話またはメールに送信し、リンクをクリックして情報を返送して登録を確認するように伝えます。IPアドレスよりもなりすましの難しい識別子を取得し、その方法で彼を除外する方が簡単かもしれません。明らかに少量のスクリプトが必要になります...

実際には不可能です。

ユーザーが何度も登録するのを止めることはできません。あなたができる唯一のことは、登録プロセスを強化し、IDをダブル/トリプルチェックし（メールアドレスと Googleアカウントと Facebookアカウントと LinkedInアカウントと電話番号などを通じて）、各人を特定のIDに関連付けて集約することですこれらすべての詳細。

特定の人は、Webプロキシを介して別のネットワークを選択したり、多くの@emailを作成したり、複数のfacebook / google / LinkedInアカウントを開いたりすることができますが、この人を停止して再登録することはできません（DNAを確認しない限り）。

唯一の選択肢は、登録プロセスを強化することです。

No Sssweatで提案されているように、reCAPTCHAを使用できます。しかし、正当なユーザーに迷惑をかけたくない場合は、Honeypotモジュールを試すことができます。それは、埋められてはならない追加のフィールドを持っているオプションを与えます（AFAIKボットはすべてのフィールドを埋めるかもしれません）または時間制限があります。

ドキュメントは、

ハニーポットはハニーポットとタイムスタンプの両方の方法を使用して、スパムボットがDrupalサイトのフォームに記入するのを阻止します（詳細はこちら）。これらの方法は、多くのスパムボットに対して効果的であり、CAPTCHAやユーザーを罰する他の方法[YouTube]ほど侵入的ではありません。

もう1つのオプションはSpambotモジュールです。これは、Stop Forum Spamに対する登録試行を検証することによりスパムを防止します。

Spambotは、Stop Forum Spam（www.stopforumspam.com）オンラインデータベースに対する登録試行を検証することにより、スパマーやスパムボットからユーザー登録フォームを保護します。また、スパムアカウントの処理に役立つ便利な機能もいくつか追加されています。

質問に対する答えがあります-コミュニティはこれを不快に感じるかもしれませんが。コストを節約するために、パスがこれ以上頻繁に使用されない理由はわかりません。

あなたのサイトで不法侵入している個人、および米国コードのタイトルXVIII、コンピューターの改ざん、不正行為、虐待に違反している個人に、停止と破棄の手紙を送ります。

彼らがやめなければ、現金をポニーアップして訴えましょう。1990年代半ばに、カンザスシティ地域の唯一のISPが10代の若者によってハッキングされたWDMOで最初のケースがありました。私は家族に連絡し（彼らはサーバーの1つをルート化していて、隠されたサブディレクトリに実際の名前とアドレスで "Warez"グループに参加するためにアプリケーションを保存するのに十分愚かだった）。彼らは拒否しました。

54ページの苦情で、私は説明しなければなりませんでした：ISP、インターネット、アクセスの超過など、新しく任命された裁判官へ。

私は支持者以上の存在で、私のアカウントにアクセスしていました（クライアントアカウントではなく、神に感謝-The Rust List）。私は両親に起訴し（被告人が民事訴訟で未成年者であった場合のみ）、両親は適切な監督なしに危険な道具を未成年者の手に渡したこと、未成年者は盗まれたソフトウェアの転送に従事したこと、および子供向けポルノ（そう、16歳のGFの写真を撮る16歳の男の子は「子供向けポルノ」です）。私は住宅所有者の方針を打ち、当時の裁判所は考慮すらしていなかった救済策を持っていました。つまり、ティーンエイジャーのためのコンピューターの使用の終身禁止です。

発見の転送から1週間以内に解決しました。

あなたは他のすべてを試しました：この小さなたわごとを壁切除術で打ちます。これが何であるかを知っている弁護士を選ぶように注意してください。

ジャークがサイトにアクセスすることを妨げる裁判所命令がどのように機能するかを検討してください。命令の違反と裁判所は、被告人が裁判所を軽inしてはならない理由を示す理由を示す命令で応答します。

他のサイト/ IPアドレスからの攻撃が入り始めます-あなたの弁護士に伝えてください-そして応答には、被告のコンピューターのミラーリング、被告のインターネットへのすべてのアクセスからの差し止め命令、および被告がプロキシによる命令に違反したことが判明した場合が含まれます、裁判所は制裁を課します。

最終的に、ジャークはインターネットから永久にブロックされることに自分自身を閉じ込めた可能性があります。このすべての後に本当に腹を立て、被告人がインターネットから離れていることを確認したい場合は、PIを雇って、1週間または10日間（安くはない）被告人をフォローし、インターネットにアクセスしている場合スターバックスから-またはあなたがそれらを持っているMcDの：裁判官に戻ります。

究極の秩序は信じがたいものであり、被告が裁判所の命令に日常的に違反したという圧倒的な証拠によってのみ発生します：スマートフォン、VOIP、ケーブルまたは衛星テレビはありません（インターネットは利用可能であり、彼/彼女は完全に無視しています法律なので、ハッキングしてアクセスすることは許可されていません）、インターネットはありません（終身禁止であればいいと思います-おそらくない）、物事のインターネット、そして最終的にはコンピューティングデバイスはありません。

被告が技術分野で生計を立てている場合、掘る溝と裏返すハンバーガーがあります。

それが、核オプションでこれを終わらせる方法です。

私は悲惨なモデルが好きですが、本当にうるさい迷惑なメッセージのあるページに彼をランダムに送り、また時には悪いポルノサイトに送ります。彼が公の場にいる場合、彼を困らせたり困惑させたりする可能性のあるもの。

この種の状況に特化したモジュールを作成しました。これはSpaces Enforcedと呼ばれ、ここにあります。名前に少なくとも1つのスペースが含まれていない登録者をブロックすることで機能します。さらに設定することができ、何文字を表示する必要があるかを選択できます。また、100％に近い継承率もあります。