Làm cách nào tôi có thể chặn một người lạm dụng cố gắng đăng ký thêm tài khoản?

Tôi có một trang web miễn phí với đăng ký mở; bất cứ ai cũng có thể đăng ký và tôi không thể thay đổi điều đó. Tuy nhiên, tài khoản phải được quản trị viên phê duyệt sau khi hoàn tất hồ sơ, vì vậy tôi có quyền truy cập vào nhiều thông tin khác nhau để xác định người dùng trùng lặp (ngày sinh, nhận xét "tự giới thiệu", địa chỉ email, ảnh, vị trí được báo cáo trong hồ sơ, IP được định vị địa lý , Địa chỉ IP, v.v.)

Gần đây, trang web đã trở thành đối tượng của các cuộc tấn công của một người dùng cực kỳ lạm dụng và dường như không giới hạn thời gian để đăng ký nhiều tài khoản. Các tài khoản này có thể bị chặn tương đối dễ dàng, nhưng rất nhiều công việc cho quản trị viên (tôi) và tôi sợ tôi sẽ bỏ lỡ một trong số các tài khoản hợp pháp (người dùng này đăng ký khoảng 6 tài khoản mỗi ngày).

Tôi đã:

• cấm các địa chỉ IP đã biết của người dùng
• đăng ký bị chặn từ các tên miền đã biết được sử dụng cho các địa chỉ email "dùng một lần"
• đã thêm một chế độ xem đặc biệt để giúp tôi xác định các tài khoản dựa trên các mẫu truy cập đã biết từ người dùng

Có bất cứ điều gì tôi có thể làm với cookie, vv để làm cho người dùng này khó đăng ký hơn không?

Đây là một trang web Drupal 7.

EDIT: Trong trường hợp của tôi, đây là người dùng chứ không phải bot. Nhưng các câu trả lời bot rất hữu ích cho những người đang bị kẻ gửi thư rác nhắm mục tiêu cụ thể.

Thay vì cố gắng ngăn người dùng đăng ký, đây là một trò chơi dành cho troll và tin tặc, hãy làm cho trang web gây khó chịu cho anh ta. Làm cho anh ta muốn rời đi , trái ngược với việc làm cho anh ta muốn giành chiến thắng trong trò chơi trolling .

Những gì tôi đã làm trong quá khứ, không cụ thể đối với Drupal, là để người dùng đăng ký. Sau đó tôi phá hoại tài khoản cụ thể của anh ta:

1. Tôi rắc if ($someuser) { sleep(rand($base, $base*2)) }mã, nơi $basesẽ tăng hàng ngày. Tôi chắc chắn rằng anh ta có rất nhiều thời gian chờ.
2. Tôi sẽ giảm N% bài viết của anh ấy, trong đó N bắt đầu trên 50% và chỉ tăng từ đó. Nếu bài đăng có một số từ khóa nhất định, nó sẽ bị loại bỏ ngay lập tức.
3. Tôi sẽ bỏ ngẫu nhiên các quy tắc CSS để trang hiển thị kém. Một lần nữa, mức độ nghiêm trọng sẽ tăng lên trong thời gian.

Điều này đòi hỏi nhiều nỗ lực hơn từ phía tôi, nhưng theo lời khuyên của Sun Tzu, tôi đã khiến người dùng ghét trang web của mình . Tôi muốn anh ta cảm thấy không phải là anh ta làm phiền chúng tôi, mà là anh ta nên khó chịu vì sự chậm trễ và lỗi rõ ràng. Mất chưa đầy một tuần để anh ấy từ bỏ chúng tôi.

EDIT : Trong các bình luận, người dùng rooby đề cập đến mô-đun Misery dựa trên cùng một khái niệm:

1. Độ trễ : Tạo độ trễ độ dài ngẫu nhiên, tạo ra sự xuất hiện của kết nối chậm. (theo mặc định, điều này xảy ra 40% thời gian)
2. Màn hình trắng : Trình bày người dùng với màn hình trắng. (theo mặc định, điều này xảy ra 10% thời gian)
3. Trang sai: Chuyển hướng đến một URL ngẫu nhiên trong danh sách được xác định trước. (theo mặc định, điều này xảy ra 0% thời gian)
4. Nút ngẫu nhiên : Chuyển hướng đến một nút ngẫu nhiên mà người dùng có thể truy cập. (theo mặc định, điều này xảy ra 10% thời gian)
5. 403 Truy cập bị từ chối : Trình bày người dùng có lỗi "Truy cập bị từ chối". (theo mặc định, điều này xảy ra 10% thời gian)
6. 404 Không tìm thấy : Trình bày người dùng có lỗi "Không tìm thấy". (theo mặc định, điều này xảy ra 10% thời gian)
7. Biểu mẫu không gửi : Chuyển hướng quay lại biểu mẫu trong khi xác thực để ngăn chặn việc gửi. (theo mặc định, điều này xảy ra 60% thời gian) Lưu ý: Đôi khi một số hình thức xác thực dựa trên nút nào được nhấn, điều này sẽ không hoạt động trong những trường hợp đó.
8. Sự cố IE6 : Nếu người dùng đang sử dụng Internet Explorer 6, điều này sẽ làm sập trình duyệt của họ. (theo mặc định, điều này xảy ra 0% thời gian)
9. Spam : Thay thế nội dung nút bằng một từ được đặt. (theo mặc định, điều này xảy ra 10% thời gian)
10. Thoát ra : Đăng xuất người dùng. (theo mặc định, điều này xảy ra 10% thời gian)

Gửi email cho ISP của Abuser - Họ sẽ chấm dứt!

Bạn có nhật ký về thời gian tạo tài khoản của anh ấy và địa chỉ IP được sử dụng để đăng ký, phải không? Bạn cũng có một bản ghi của tất cả các bình luận quấy rối của mình là tốt? Gửi các bản ghi này đến ISP của họ .

Bạn có thể tìm thấy ISP bằng cách thực hiện tra cứu IP trực tiếp với ARIN tại https://whois.arin.net/ui hoặc một dịch vụ khác chỉ đơn giản sử dụng chúng cho một whois. Hầu hết người dùng sẽ có một ISP thực sự đến với chủ sở hữu của IP, nhưng một số (thường là các tập đoàn lớn) sẽ sở hữu IP. Dù bằng cách nào, bạn sẽ tìm ra ai là chủ sở hữu IP và từ đó bạn có thể tra cứu họ và nhận địa chỉ email lạm dụng (đôi khi họ đặt địa chỉ email lạm dụng thực tế trong thông tin WHOIS, rất tuyệt) để gửi email của bạn đến. Hãy tử tế và lịch sự với ISP. Đừng viết một cuốn tiểu thuyết sử thi - giữ cho nó đơn giản. Một cái gì đó như, "IP này đã quấy rối bản thân tôi và người dùng trang web của tôi, xin vui lòng xem nhật ký" sẽ đủ. Họ thấy hàng ngàn trong số này mỗi ngày, họ không muốn đọc một câu chuyện thổn thức.

Tôi từng là một Kỹ sư Mạng tại một ISP. Chúng tôi đã nhận được vô số báo cáo quấy rối cho loại hành vi này. Khoảnh khắc một thuê bao nhận được cuộc gọi điện thoại, họ dừng lại khoảng 90% thời gian. Nếu nó tiếp tục, hành động pháp lý có thể xảy ra, điều đó có nghĩa là hầu hết các ISP thực hiện hành động rất nghiêm trọng.

Kẻ gây hấn của bạn có lẽ là một đứa trẻ sống ở nhà với bố mẹ , điều đó có nghĩa là khi tài khoản internet của bố mẹ anh ta bị đe dọa chấm dứt, họ sẽ vô cùng khó chịu với hành vi của anh ta.

Cá nhân tôi đã đi theo con đường này và nó vẫn hoạt động, ngay cả khi kẻ xâm lược không ở nước bạn. ISP KHÔNG coi trọng người dùng bị lạm dụng trên mạng của họ.

Lưu ý bên

Có khả năng anh ta đang sử dụng Proxy. Tuy nhiên, rất có thể anh ta đã sử dụng proxy khi đăng ký ban đầu trừ khi anh ta hoàn toàn có ý định (kể từ thời điểm anh ta đăng ký) để troll trên trang web của bạn. Nếu không có IP nào thực sự trỏ đến một ISP hợp pháp nơi bạn thực sự có thể gửi email lạm dụng, hãy thử gửi nó đến bất kỳ dịch vụ Proxy nào mà anh ấy đang sử dụng.

Mọi người có ý tưởng điên rồ này đơn giản là vì ai đó đang sử dụng Proxy, họ không thể phát hiện được. Điều đó là sai. Các dịch vụ proxy thường tuân theo các quy tắc giống như mọi người khác làm (tất nhiên cũng có ngoại lệ). Khi họ nhận được một báo cáo lạm dụng, họ sẽ xử lý nó giống như một ISP.

Trong một cơ hội cực kỳ nhỏ mà người dùng này đứng sau một Proxy không chơi tốt, tôi sẽ làm theo lời khuyên của những người trả lời khác. Nghiêm túc mà nói, điều đó hiếm đến nỗi hầu hết chủ sở hữu trang web sẽ không bao giờ thấy một cuộc tấn công từ một người dường như "không thể phát hiện".

Về câu hỏi của bạn, bạn không đề cập đến việc có Captcha. Có lẽ, người dùng anoying này là một bot? Tôi đoán là bạn đã có một hình ảnh xác thực và người dùng đó thực sự là con người.

Nhưng ... nếu không phải vậy, tôi khuyên bạn nên:

reCAPTCHA

Sử dụng dịch vụ web Google reCAPTCHA để cải thiện hệ thống CAPTCHA và bảo vệ địa chỉ email.

Hellban / bóng tối

Vì việc chặn một người tạo tài khoản mới để thay thế tài khoản bị chặn là gần như không thể, một giải pháp khá phổ biến cho vấn đề này là cái gọi là hellban ( http://www.urbandipedia.com/define.php?term=hellban ) hoặc Shadowban , nơi bạn triển khai một tính năng cách ly một số tài khoản nhất định với mọi người khác mà không làm rõ rằng họ đã bị cấm.

Ví dụ: bạn sẽ đảm bảo rằng họ cảm thấy như trải nghiệm của họ là có thật và họ có thể tiếp tục sử dụng cùng một tài khoản, nhưng đưa ra một điều kiện là bất kỳ bài đăng hoặc hoạt động nào của họ chỉ hiển thị đối với tài khoản hellbned và bất kỳ tài khoản nào (hoặc chưa đăng nhập- trong các tình huống) chia sẻ IP và / hoặc cookie với tài khoản hellbned. Nếu người dùng tiếp tục troll nhưng không nhận được phản hồi thì cuối cùng họ sẽ rời đi.

Theo đề nghị của No Sssweat, tôi đặt câu hỏi này như một câu trả lời thay vì bình luận để nhiều người nhìn thấy nó hơn.

Drupal.org/project/misery thực hiện khá tốt việc gây phiền nhiễu cho người dùng bằng khoảng tám phương pháp khác nhau. Thời gian chờ ngẫu nhiên, đăng xuất, chuyển hướng ngẫu nhiên, vv và tần số có thể thay đổi.

Một phiên bản dễ dàng của dotancohen viết hay cho vấn đề.

Làm thế nào về việc sử dụng một yếu tố thứ hai? Trong đăng ký của bạn, giả sử bạn sẽ gửi SMS đến điện thoại của họ hoặc email và yêu cầu họ xác nhận đăng ký bằng cách nhấp vào liên kết và gửi lại thông tin. Bạn sẽ có được một định danh giả mạo khó hơn so với địa chỉ IP và có thể dễ dàng lọc anh ta theo cách đó. Rõ ràng sẽ yêu cầu một số lượng nhỏ kịch bản ...

Nó thực sự là không thể.

Bạn không thể ngăn một người đăng ký nhiều lần. Điều duy nhất bạn có thể làm là tăng cường quá trình đăng ký và kiểm tra hai lần / ba lần ID của họ (thông qua địa chỉ email , tài khoản google và tài khoản facebook và tài khoản LinkedIn và số điện thoại, v.v.) và tương quan mỗi người với một ID cụ thể tổng hợp tất cả những chi tiết này

Người cụ thể có thể chọn một mạng khác thông qua proxy web, tạo nhiều @email, mở một số tài khoản facebook / google / LinkedIn, nhưng bạn sẽ không bao giờ có thể ngăn người này đăng ký lại (trừ khi bạn kiểm tra DNA của nó).

Lựa chọn duy nhất của bạn là làm cứng quá trình đăng ký.

Theo đề xuất của No Sssweat, bạn có thể sử dụng reCAPTCHA. Nhưng nếu bạn không muốn làm phiền người dùng hợp pháp, thì bạn có thể thử mô-đun Honeypot . Nó cung cấp tùy chọn có thêm một trường không cần điền (bot AFAIK có thể điền vào tất cả các trường) hoặc có giới hạn thời gian.

Tài liệu đọc là,

Honeypot sử dụng cả phương pháp honeypot và dấu thời gian để ngăn chặn các bot spam hoàn thành các biểu mẫu trên trang web Drupal của bạn (đọc thêm tại đây). Các phương pháp này có hiệu quả đối với nhiều bot spam và không xâm phạm như CAPTCHA hoặc các phương pháp khác trừng phạt người dùng [YouTube].

Một tùy chọn khác là mô-đun Spambot , nó ngăn chặn thư rác bằng cách xác minh các nỗ lực đăng ký chống lại Spam Diễn đàn Dừng.

Spambot bảo vệ biểu mẫu đăng ký người dùng khỏi những kẻ gửi thư rác và spam bots bằng cách xác minh các nỗ lực đăng ký đối với cơ sở dữ liệu trực tuyến Stop Forum Spam (www.stopforumspam.com). Nó cũng thêm một số tính năng hữu ích để giúp đối phó với các tài khoản spam.

Có một câu trả lời cho câu hỏi - mặc dù cộng đồng có thể thấy điều này gây khó chịu. Tôi không biết tại sao, tiết kiệm chi phí, rằng con đường không được thực hiện thường xuyên hơn.

Gửi một lá thư chấm dứt và thôi miên cho cá nhân đang xâm phạm trang web của bạn và người vi phạm Tiêu đề XVIII của Bộ luật Hoa Kỳ, Giả mạo máy tính, Lừa đảo và Lạm dụng.

Nếu họ không ngừng, hãy vung tiền và kiện. Vào giữa những năm 1990, tôi đã gặp trường hợp đầu tiên ở WDMO nơi ISP duy nhất cho khu vực Thành phố Kansas đã bị tấn công bởi 3 thanh thiếu niên. Tôi đã liên lạc với các gia đình (họ đã root một trong các máy chủ và thật ngu ngốc khi lưu trữ ứng dụng của họ để tham gia các nhóm "Warez" với tên thật và địa chỉ của họ trong một thư mục con ẩn) và yêu cầu họ ngăn chặn các cậu bé vị thành niên làm điều này. Họ từ chối.

Trong một khiếu nại 54 trang tôi đã phải giải thích: ISP, Internet, vượt quá quyền truy cập, vv cho một thẩm phán mới được bổ nhiệm.

Tôi không chỉ là một người ủng hộ, một tài khoản của tôi đã được truy cập (cảm ơn chúa, không phải tài khoản khách hàng - Danh sách Rust) và tôi đã bị đánh dấu. Tôi đã buộc tội cha mẹ (cách duy nhất để đi đến nơi bị cáo là trẻ vị thành niên trong vụ kiện dân sự) và tuyên bố rằng cha mẹ đã đặt một công cụ nguy hiểm vào tay trẻ vị thành niên mà không có sự giám sát đầy đủ và trẻ vị thành niên đã tham gia vào việc chuyển giao phần mềm bị đánh cắp, và khiêu dâm trẻ em (Yep, những cậu bé 16 tuổi chụp ảnh của GF 16 tuổi của chúng là "khiêu dâm trẻ em"). Tôi đã đánh vào các chính sách của chủ nhà và tôi đã có một biện pháp khắc phục rằng các tòa án trong những ngày đó thậm chí sẽ không xem xét: lệnh cấm cả đời đối với việc sử dụng máy tính cho thanh thiếu niên.

Nó đã được giải quyết trong vòng một tuần kể từ khi chuyển giao khám phá.

Bạn đã thử tất cả mọi thứ khác: đập cái thứ rác rưởi nhỏ bé này bằng cách cắt bỏ ví. Hãy cẩn thận để chọn một luật sư biết đây là gì và không phải là một công ty liên kết với một "công ty lớn" nơi bạn sẽ được lập hóa đơn cho đến chết.

Hãy xem xét lệnh của tòa án ngăn chặn kẻ lừa đảo truy cập trang web của bạn có thể hoạt động như thế nào: S / Anh ta bị cấm - bạn tìm thấy địa chỉ IP của anh ta / cô ta vi phạm Lệnh của Tòa án - gửi cho luật sư của bạn và anh ta nộp đơn yêu cầu Tòa án cho thấy vi phạm Lệnh và Tòa án sẽ trả lời bằng Lệnh Hiển thị Nguyên nhân tại sao bị cáo không nên bị giữ trong sự khinh miệt của tòa án.

Một cuộc tấn công từ các trang web / địa chỉ IP khác bắt đầu xảy ra - hãy nói với luật sư của bạn - và phản hồi có thể bao gồm phản chiếu các máy tính của các bị cáo, một lệnh cấm ngăn chặn bị cáo truy cập Internet và khi thấy bị cáo vi phạm lệnh này. , Tòa án sẽ áp dụng các biện pháp trừng phạt.

Cuối cùng, kẻ ngốc có thể đã tự giam mình để mãi mãi bị chặn khỏi Internet. Nếu bạn thực sự bực mình sau tất cả những điều này và bạn muốn chắc chắn rằng bị cáo đã tắt Internet, hãy thuê một PI để theo dõi bị cáo trong một tuần hoặc mười ngày (không rẻ) và nếu anh ta truy cập Internet từ một Starbucks - hoặc McD's bạn có chúng: trở lại với thẩm phán.

Lệnh tối thượng nằm ngoài niềm tin và sẽ chỉ xảy ra với bằng chứng áp đảo rằng bị cáo đã vi phạm thường xuyên các lệnh của tòa án: không điện thoại thông minh, không VOIP, không có truyền hình cáp hoặc sat (Internet có sẵn và anh ta đã thể hiện sự coi thường đối với luật pháp, vì vậy không có gì họ có thể hack để có quyền truy cập được cho phép), không có Internet (sẽ rất tuyệt nếu đó là lệnh cấm suốt đời - có thể không), không có Internet, và cuối cùng, không có thiết bị điện toán.

Nếu bị cáo kiếm sống trong lĩnh vực công nghệ - họ có mương đào và bánh mì kẹp thịt để lật.

Đó là cách kết thúc điều này với tùy chọn hạt nhân.

Tôi thích mô hình khốn khổ, nhưng tôi sẽ thêm ngẫu nhiên gửi anh ta đến một trang với những tin nhắn thực sự gây phiền nhiễu và lần khác gửi anh ta đến các trang web khiêu dâm thực sự xấu. Bất cứ điều gì có thể khiến anh ấy gặp rắc rối hoặc xấu hổ nếu anh ấy ở nơi công cộng.

Tôi đã viết một mô-đun đặc biệt cho loại tình huống này. Nó được gọi là Spaces Enforced và có thể được tìm thấy ở đây , và hoạt động bằng cách chặn bất kỳ người đăng ký nào có tên không chứa ít nhất 1 khoảng trắng . Nó có thể được cấu hình thêm và bạn có thể chọn nhân vật nào cần xuất hiện bao nhiêu lần. Nó cũng có tỷ lệ liên tiếp gần 100%