Wie kann ich eine missbräuchliche Person blockieren, die endlos versucht, mehr Konten zu registrieren?

Ich habe eine freie Seite mit offener Registrierung; Jeder kann sich registrieren und ich kann das nicht ändern. Konten müssen jedoch nach dem Ausfüllen eines Profils von einem Administrator genehmigt werden, sodass ich auf eine Reihe von Informationen zugreifen kann, um doppelte Benutzer zu identifizieren (Geburtsdatum, Kommentar zur Selbsteinführung, E-Mail-Adresse, Fotos, gemeldeter Standort im Profil, geografische IP-Adresse) , IP-Adresse usw.)

In letzter Zeit ist die Website den Angriffen eines einzelnen Benutzers ausgesetzt, der extrem missbräuchlich ist und anscheinend unbegrenzt Zeit hat, mehrere Konten zu registrieren. Diese Konten können relativ einfach gesperrt werden, aber der Administrator (ich) hat viel Arbeit und ich fürchte, ich werde eines der legitimen Konten verpassen (dieser Benutzer registriert ungefähr 6 Konten pro Tag).

Ich habe schon:

• verbannte die bekannten IP-Adressen des Benutzers
• Blockierte Registrierung von bekannten Domains, die für "Einweg" -E-Mail-Adressen verwendet werden
• Es wurde eine spezielle Ansicht hinzugefügt, mit der ich Konten anhand bekannter Zugriffsmuster des Benutzers identifizieren kann

Kann ich mit Cookies usw. etwas tun, um die Registrierung für diesen Benutzer noch schwieriger zu machen?

Dies ist eine Drupal 7-Site.

EDIT: In meinem Fall ist dies ein menschlicher Benutzer, kein Bot. Die Bot-Antworten sind jedoch nützlich für diejenigen, die von Spammern gezielt angesprochen werden.

Anstatt zu versuchen, den Benutzer an der Registrierung zu hindern, was ein Spiel für Trolle und Hacker ist, sollte die Site für ihn ärgerlich sein. Lassen Sie ihn gehen , anstatt das Trolling-Spiel zu gewinnen .

Was ich in der Vergangenheit getan habe, ist, den Benutzer registrieren zu lassen. Ich habe dann sein spezielles Konto sabotiert:

1. Ich streute if ($someuser) { sleep(rand($base, $base*2)) }den Code ein, wo er $basetäglich zunehmen würde. Ich habe dafür gesorgt, dass er viele Auszeiten hatte.
2. Ich würde N% seiner Beiträge streichen, wobei N über 50% begann und nur von dort stieg. Wenn der Beitrag bestimmte Keywords enthält, wird er sofort gelöscht.
3. Ich würde zufällig CSS-Regeln löschen, damit die Seite schlecht angezeigt wird. Auch hier würde der Schweregrad mit der Zeit zunehmen.

Dies erforderte mehr Mühe von meiner Seite, aber gemäß Sun Tzu's Rat gab ich dem Benutzer die Bedingung, meine Site zu hassen . Ich wollte, dass er nicht das Gefühl hat, dass er uns nervt, sondern dass er sich über die Verzögerungen und offensichtlichen Fehler ärgert. Es dauerte weniger als eine Woche, bis er uns aufgab.

EDIT : In den Kommentaren erwähnt User Rooby das Misery-Modul, das auf demselben Konzept basiert:

1. Verzögerung : Erstellen Sie eine Verzögerung mit zufälliger Länge, die den Anschein einer langsamen Verbindung erweckt. (Standardmäßig passiert dies in 40% der Fälle)
2. Weißer Bildschirm : Präsentieren Sie dem Benutzer einen weißen Bildschirm. (Standardmäßig passiert dies 10% der Zeit)
3. Falsche Seite: Leiten Sie zu einer zufälligen URL in einer vordefinierten Liste weiter. (Standardmäßig passiert dies in 0% der Fälle)
4. Zufälliger Knoten : Leitet zu einem zufälligen Knoten um, auf den der Benutzer zugreifen kann. (Standardmäßig passiert dies 10% der Zeit)
5. 403 Zugriff verweigert : Zeigen Sie dem Benutzer den Fehler "Zugriff verweigert" an. (Standardmäßig passiert dies 10% der Zeit)
6. 404 Not Found : Zeigt dem Benutzer den Fehler "Not Found" an. (Standardmäßig passiert dies 10% der Zeit)
7. Formulare werden nicht gesendet : Leiten Sie während der Überprüfung zurück zum Formular, um das Senden zu verhindern. (Standardmäßig geschieht dies in 60% der Fälle.) Hinweis: In einigen Fällen wird die Gültigkeit bestimmter Formulare anhand der gedrückten Taste überprüft. In diesen Fällen funktioniert dies nicht.
8. Absturz des IE6 : Wenn der Benutzer Internet Explorer 6 verwendet, stürzt der Browser ab. (Standardmäßig passiert dies in 0% der Fälle)
9. Spam : Ersetzen Sie den Knoteninhalt durch ein festgelegtes Wort. (Standardmäßig passiert dies 10% der Zeit)
10. Abmelden : Melden Sie den Benutzer. (Standardmäßig passiert dies 10% der Zeit)

E-Mail an den ISP des Täters senden - sie werden dem ein Ende setzen!

Sie haben ein Protokoll seiner Kontoerstellungszeiten und der zur Registrierung verwendeten IP-Adressen, oder? Sie haben auch ein Protokoll aller seiner belästigenden Kommentare? Senden Sie diese Protokolle an ihren ISP .

Sie finden den ISP, indem Sie eine IP-Suche entweder direkt mit ARIN unter https://whois.arin.net/ui oder einem anderen Dienst durchführen, der sie einfach für einen whois verwendet. Die meisten Benutzer haben einen tatsächlichen ISP für den Inhaber der IP, aber einige (in der Regel große Unternehmen) besitzen die IP selbst. In beiden Fällen finden Sie heraus, wem die IP gehört, und von dort aus können Sie sie nachschlagen und eine Missbrauchs-E-Mail-Adresse abrufen (manchmal fügen sie eine tatsächliche Missbrauchs-E-Mail-Adresse in die WHOIS-Informationen ein, was großartig ist), um sie zu senden Ihre E-Mail an. Seien Sie freundlich und höflich mit dem ISP. Schreibe keinen epischen Roman - halte es einfach. Etwas wie "Diese IP hat mich und die Benutzer meiner Website belästigt, bitte sehen Sie sich die Protokolle an" wird ausreichen. Sie sehen täglich Tausende davon, sie wollen keine Schluchzgeschichte lesen.

Ich war ein Netzwerkingenieur bei einem ISP. Wir haben unzählige Belästigungsberichte für diese Art von Verhalten erhalten. Sobald ein Teilnehmer den Anruf erhält, hört er in etwa 90% der Fälle auf. Andernfalls können rechtliche Schritte eingeleitet werden, was bedeutet, dass die meisten ISPs sehr ernsthafte Maßnahmen ergreifen.

Ihr Angreifer ist wahrscheinlich ein Kind, das zu Hause bei seinen Eltern wohnt. Wenn also die Kündigung des Internetkontos seiner Eltern droht, sind sie unglaublich sauer auf ihn.

Ich persönlich habe diesen Weg eingeschlagen und es funktioniert, auch wenn der Angreifer nicht in Ihrem Land ist. ISPs nehmen es NICHT gut auf, wenn Benutzer ihr Netzwerk missbrauchen.

Randnotiz

Es besteht die Möglichkeit, dass er einen Proxy verwendet. Es ist jedoch sehr unwahrscheinlich, dass er bei der erstmaligen Registrierung einen Proxy verwendet hat, es sei denn, er beabsichtigte (ab dem Zeitpunkt seiner Registrierung) vollständig, auf Ihrer Website zu trollen. Wenn keine der IPs tatsächlich auf einen legitimen ISP verweist, an den Sie eine Missbrauchs-E-Mail senden können, versuchen Sie, sie an den von ihm verwendeten Proxy-Dienst zu senden.

Die Leute haben die verrückte Idee, dass jemand, der einen Proxy verwendet, nicht nachweisbar ist. Das ist falsch Proxy-Dienste folgen normalerweise den gleichen Regeln wie alle anderen (natürlich gibt es Ausnahmen). Wenn sie eine Missbrauchsmeldung erhalten, kümmern sie sich genau wie ein ISP darum.

Bei der unglaublich geringen Wahrscheinlichkeit, dass dieser Benutzer hinter einem Proxy steht, der nicht gut funktioniert, würde ich den Ratschlägen der anderen Antwortenden folgen. Im Ernst, das ist so selten, dass die meisten Website-Besitzer niemals einen Angriff von jemandem sehen werden, der scheinbar "nicht nachweisbar" ist.

Bei Ihrer Frage erwähnen Sie nicht, dass Sie ein Captcha haben. Vielleicht ist dieser nervige Benutzer ein Bot? Ich vermute, dass Sie bereits ein Captcha haben und der Benutzer tatsächlich ein Mensch ist.

Aber ... wenn das nicht der Fall ist, würde ich empfehlen:

reCaptcha

Verwendet den Google reCAPTCHA-Webdienst, um das CAPTCHA-System zu verbessern und E-Mail-Adressen zu schützen.

Hellban / Shadowban

Da es nahezu unmöglich ist, eine Person daran zu hindern, neue Konten zu erstellen, um gesperrte Konten zu ersetzen, ist die sogenannte Hellban ( http://www.urbandictionary.com/define.php?term=hellban ) oder Shadowban eine beliebte Lösung für dieses Problem Wenn Sie eine Funktion implementieren, mit der bestimmte Konten von allen anderen getrennt werden, ohne dass deutlich wird, dass sie gesperrt wurden.

Sie würden beispielsweise sicherstellen, dass sie das Gefühl haben, dass ihre Erfahrung echt ist und sie dieselben Konten weiterhin verwenden können, aber eine Bedingung festlegen, dass alle ihre Posts oder Aktivitäten nur für hellbanned-Konten und alle Konten (oder nicht protokollierte Konten) sichtbar sind. in Situationen), die IP und / oder Cookies mit dem hellbanned Account teilen. Wenn der Benutzer weiterhin trollt, aber keine Antwort erhält, wird er schließlich verlassen.

Auf Vorschlag von No Sssweat setze ich dies als Antwort anstelle eines Kommentars, damit mehr Leute es sehen.

Drupal.org/project/misery macht es ganz gut, den Mist eines Benutzers mit ungefähr acht verschiedenen Methoden zu ärgern. Zufällige Auszeiten, Abmeldungen, zufällige Weiterleitungen usw. und die Häufigkeit ist änderbar.

Eine einfache Version von dotancohen's nice geht auf das Problem ein.

Wie wäre es mit einem zweiten Faktor? Sagen Sie in Ihrer Registrierung, dass Sie eine SMS an ihr Telefon oder eine E-Mail senden und sie bitten, ihre Registrierung zu bestätigen, indem Sie auf einen Link klicken und die Informationen zurückschicken. Sie erhalten eine schwerer zu fälschende Kennung als die IP-Adresse, und es ist möglicherweise einfacher, sie auf diese Weise herauszufiltern. Offensichtlich wird eine kleine Menge von Skripten erfordern ...

Das ist eigentlich unmöglich.

Sie können eine Person nicht daran hindern, sich immer wieder zu registrieren. Das Einzige, was Sie tun können, ist, den Registrierungsprozess zu verschärfen und ihre ID zweimal oder dreimal zu überprüfen (über E-Mail-Adresse und Google-Konto und Facebook-Konto und LinkedIn-Konto und Telefonnummer usw.) und jede Person mit einer bestimmten ID zu korrelieren, die sich aggregiert all diese Details.

Die bestimmte Person kann entweder über einen Web-Proxy ein anderes Netzwerk auswählen, viele E-Mails erstellen, mehrere Facebook- / Google- / LinkedIn-Konten eröffnen usw. Sie können diese Person jedoch niemals daran hindern, sich erneut zu registrieren (es sei denn, Sie überprüfen ihre DNS).

Sie haben nur die Möglichkeit, den Registrierungsprozess zu beschleunigen.

Wie von No Sssweat vorgeschlagen, können Sie reCAPTCHA verwenden. Aber wenn Sie legitime Benutzer nicht ärgern möchten, können Sie das Honeypot- Modul ausprobieren . Es gibt die Möglichkeit, ein zusätzliches Feld zu haben, das nicht ausgefüllt werden sollte (AFAIK-Bots können alle Felder ausfüllen) oder zeitlich begrenzt zu sein.

Die Dokumentation lautet wie folgt:

Honeypot verwendet sowohl die Honeypot- als auch die Timestamp-Methode, um zu verhindern, dass Spam-Bots Formulare auf Ihrer Drupal-Site ausfüllen (mehr dazu hier). Diese Methoden sind gegen viele Spam-Bots wirksam und nicht so aufdringlich wie CAPTCHAs oder andere Methoden, die den Benutzer bestrafen [YouTube].

Eine weitere Option ist das Spambot- Modul. Es verhindert Spam, indem es die Registrierungsversuche anhand des Stop Forum Spam überprüft.

Spambot schützt das Benutzerregistrierungsformular vor Spammern und Spambots, indem Registrierungsversuche in der Online-Datenbank Stop Forum Spam (www.stopforumspam.com) überprüft werden. Außerdem werden einige nützliche Funktionen für den Umgang mit Spam-Konten hinzugefügt.

Es gibt eine Antwort auf die Frage - auch wenn die Community diese Beleidigung finden könnte. Ich weiß nicht warum, um Kosten zu sparen, dass der Weg nicht öfter beschritten wurde.

Senden Sie eine Unterlassungserklärung an die Person, die Ihre Website betritt und gegen Titel XVIII des US-Kodex verstößt.

Wenn sie nicht aufhören, pony das Geld auf und klagen. Mitte der neunziger Jahre hatte ich den ersten Fall in der WDMO, in dem der einzige ISP für das Gebiet von Kansas City von drei Teenagern gehackt wurde. Ich habe die Familien kontaktiert (sie hatten einen der Server verwurzelt und waren dumm genug, ihre Bewerbung für den Beitritt zu "Warez" -Gruppen mit ihren echten Namen und Adressen in einem versteckten Unterverzeichnis zu speichern) und sie gebeten, die jugendlichen Jungen daran zu hindern. Sie weigerten sich.

In einer 54-seitigen Beschwerde musste ich erklären: ISPs, Internet, zu viel Zugang, etc. zu einem neu ernannten Richter.

Ich war mehr als ein Anwalt, ein Konto von mir wurde abgerufen (Gott sei Dank, kein Kundenkonto - The Rust List) und ich wurde abgehakt. Ich habe die Eltern angeklagt (nur dann, wenn die Angeklagten in einer Zivilklage minderjährig waren) und festgestellt, dass die Eltern Minderjährigen ohne angemessene Aufsicht gefährliche Mittel in die Hand gegeben haben und dass die Minderjährigen gestohlene Software weitergegeben haben, und Kinderporno (Ja, 16-jährige Jungen, die Fotos von ihrer 16-jährigen Freundin machen, sind "Kinderporno"). Ich habe mich an die Hausbesitzer-Richtlinien gehalten und hatte ein Mittel, das die Gerichte in jenen Tagen nicht einmal in Betracht zogen: ein lebenslanges Verbot der Nutzung von Computern für die Teenager.

Es wurde innerhalb einer Woche nach der Übertragung der Entdeckung beigelegt.

Sie haben alles andere ausprobiert: Hämmern Sie diese kleine Scheiße mit einer Walletektomie. Achten Sie darauf, einen Anwalt zu finden, der weiß, was das ist, und keinen Anwalt, der mit einer "großen Firma" in Verbindung gebracht wird, bei der Sie zu Tode gezahlt werden.

Überlegen Sie, wie ein Gerichtsbeschluss, der den Trottel daran hindert, auf Ihre Website zuzugreifen, funktionieren könnte: S / He ist gesperrt - Sie finden eine IP-Adresse, die gegen den Gerichtsbeschluss verstößt Verstöße gegen die Verordnung und das Gericht werden mit einer Show Cause Order antworten, warum der Angeklagte nicht in Missachtung des Gerichts gehalten werden sollte.

Ein Angriff von anderen Websites / IP-Adressen beginnt - sagen Sie es Ihrem Anwalt - und die Reaktion kann das Spiegeln der Computer der Angeklagten, eine einstweilige Verfügung, die den Angeklagten vom Zugriff auf das Internet abhält, und das Feststellen, dass der Angeklagte die Anweisung durch einen Bevollmächtigten verletzt hat, umfassen wird der Gerichtshof Sanktionen verhängen.

Letztendlich hat sich der Idiot möglicherweise darauf beschränkt, für immer vom Internet blockiert zu werden. Wenn Sie danach wirklich sauer sind und sicher sein möchten, dass der Angeklagte nicht im Internet ist, beauftragen Sie einen PI, der dem Angeklagten eine Woche oder zehn Tage lang (nicht billig) folgt, und wenn er auf das Internet zugreift von einem Starbucks - oder McD's haben Sie sie: zurück zum Richter.

Die endgültige Anordnung ist unglaublich und wird nur mit überwältigenden Beweisen geschehen, dass der Angeklagte routinemäßig gegen die Anordnungen des Gerichts verstoßen hat: keine Smartphones, kein VOIP, kein Kabel - oder Satellitenfernsehen (Internet ist verfügbar und er / sie hat eine völlige Missachtung der Bestimmungen gezeigt) Gesetz, also nichts, was sie hacken können, um Zugang zu erhalten, ist erlaubt), kein Internet (es wäre schön, wenn es ein lebenslanges Verbot gäbe - wahrscheinlich nicht), kein Internet der Dinge und letztendlich keine Computergeräte.

Wenn der Angeklagte seinen Lebensunterhalt im Technologiebereich verdient hat - er muss Gräben graben und Burger umdrehen.

So kann man das mit der nuklearen Option beenden.

Ich mag das Elend-Modell, aber ich möchte hinzufügen, dass er zufällig auf eine Seite mit wirklich lauten, nervigen Nachrichten geschickt wird und ihn zu anderen Zeiten zu wirklich schlechten Pornoseiten schickt. Alles, was ihn in Schwierigkeiten bringen oder in Verlegenheit bringen könnte, wenn er in der Öffentlichkeit ist.

Ich habe ein Modul speziell für diese Art von Situationen geschrieben. Es wird Spaces Enforced genannt und findet sich hier , und arbeitet mit einer Registrierung Person , deren Name Sperrung nicht enthält mindestens 1 Raum. Es kann weiter konfiguriert werden und Sie können auswählen, welcher Charakter wie oft erscheinen soll. Es hat auch eine Nachfolgequote von fast 100%