Nós cortamos o problema rapidamente, mas os números estavam aumentando tão rapidamente que tivemos que desativar as novas inscrições de usuários até que possamos descobrir por que isso está acontecendo e prevenir. Estamos executando a versão 3.5.0.beta8-dev e há cerca de 2 semanas ativamos o OAuth do Discord, mas isso é limitado apenas à nossa guilda. Portanto, não acho que seja isso, pois teríamos visto as mesmas contas de bot no servidor Discord.
Estamos trabalhando na atualização de alguns de nossos filtros de postagem para os primeiros publicadores no momento. Vamos usar essas mensagens e seu conteúdo para construir algumas "palavras e frases" para usar como sinalização automática. Alguma ideia ou dica para filtrar esse tipo de coisa de acontecer?
Obrigado, sim, já empregamos a maioria dessas táticas. Menos o plugin de captcha.
O problema era que as contas de bot estavam vindo de diferentes endereços IP.
Você verificou se eles vêm da mesma região? Se sim, você pode conseguir bloquear pelo menos alguns deles (assumindo que você não tenha usuários regulares nessa parte do mundo), usando o plugin de geo-bloqueio ou diretamente com algo como geoip-shell.
Diz que o hcaptcha está incluído no discourse core. Não o vejo em nenhum lugar na nossa lista de plugins e não vejo nenhum repositório git para adicionar ao arquivo app.yml. Somos auto-hospedados.
Existe uma maneira de verificar os IPs de registro de contas excluídas? Os bots voltaram novamente, mesmo com o quebra-cabeça HCATPCHA. Eu os excluí e bloqueei seus IPs mais rápido do que pude pensar para obter uma lista de suas localizações. (realmente não tive tempo de sentar e coletar 50 IPs). Desabilitei novamente o registro de novos usuários e reluto em reabri-los.
O Stop Forum Spam Plugin não é oficial, mas tem sido muito, muito eficiente no meu fórum, incluindo ataques grandes como o que você está enfrentando.
Além disso, se os bots postarem mensagens muito semelhantes, talvez tente ver algumas expressões ou links que eles postam que você possa adicionar a watched-words para silenciar automaticamente os usuários? Eu nunca usei esse recurso, no entanto.