这是一个创建于 4721 天前的主题,其中的信息可能已经有所发展或是发生改变。
网站遇到大量的注册spam,验证码遭破解,nginx日志显示spammer有大量的ip,现在只能提高验证码难度,求解。
 | 1 chairo 2012-12-27 16:20:26 +08:00 24小时不能发文,需email激活确认,显示验证码函数js混淆。多大仇才会去破解你验证码啊…… |
 | 2 qiongqi OP @chairo 不是自己的网站,是公司的。。现在的情况就是spammer用某一种邮箱拼命注册,然后服务器往这类邮箱发激活邮件,因为很多邮箱都是不存在的,所以邮箱服务商把我们的ip列为spam了。。 |
 | 3 ritksm 2012-12-27 17:05:10 +08:00 限制来源IP注册呗。。。一天3次。。。 |
 | 4 66450146 2012-12-27 17:07:15 +08:00 能改用 reCaptcha 吗 |
1 | 7 ritksm ...这... |
 | 8 frederick036 2012-12-27 18:43:04 +08:00 LS表情真到位 |
 | 9 luckyduck 2012-12-27 19:21:26 +08:00 发之前可以用SMTP命令验证一下邮箱是否存在,避免被邮箱服务商列为spam,当然有的服务商可能把验证禁用了。另外可以针对这一种邮箱注册的用户提高验证码难度,甚至是中文,还有像微博注册的那种问答型验证码。 |
 | 10 plprapper 2012-12-27 20:41:55 +08:00 首先看一下是不是程序直接拼你的表单提交,如果是拿到token就拼参数的,可以考虑把页面的内容作一些异步、或者特别的编码的处理,提高他拼的难度。 如果不是,提高验证码难度可以选,还可以考虑加个手机短信验证 或者 页面布局搞搞没准也能拦住他的。 不知道你的网站是干什么的,批量注册你的网站肯定有目的。具体问题具体分析吧。 |
 | 12 GreenHand 2013-01-09 11:45:43 +08:00 lss的做法对spammer来说就是小儿科吧 如果手机短信验证,除非一个手机号只能验证一个,否则对spammer来说也就是连代码都不用改。 验证码难度,除非你提到google验证码那个级别,不过你们的pm估计接受不了 如果ip都不一样,那真无解了 如果ip一样还有点办法: 可以对所有的注册接口调用打个log,然后按照ip分组,再按照时间排序,计算出每相邻两次注册的时间间隔,比如,小于两分钟的就可怀疑为spammer。 当然这有误伤,你可以假设spammer每次过来的邮箱都使用同一个(比如163.com),所以可以提出掉其他的邮箱(比如sina.com)。 总之,spammer的专业水平真相当高,想象新浪微博吧,他们肯定投入了大量力气,但杀掉了么?没 |
 | 13 Xrong 2013-01-09 12:18:57 +08:00 70%的独立IP,难道攻击者用肉机注册的? |
 | 14 for4 2013-01-09 12:27:20 +08:00 |
 | 15 kurtrossel 2013-01-09 20:01:43 +08:00 这种没PY的事儿很可能是第三方邮件服务商干的,他们会在收到激活邮件后举报为垃圾邮件。之前遇到过,域名邮箱直接被搞到几大反SPAM联盟黑名单里无法解封。 短期之内楼主应该会收到第三方邮件服务商提供优质邮件群发服务的邮件或电话。 |
 | 16 taoeaten 2013-02-06 14:00:29 +08:00 学习一下。。。 |
Select Language