我的个人论坛以前也遇到过垃圾注册问题,但现在已经大幅减少了。现在每天只有一两个,最多像今天这样五六个。勤快地删除垃圾账号并将其加入黑名单似乎很有效。我启用了“工作人员必须批准所有新用户账号才能访问网站”的选项,这样新用户就会进入方便的新用户审核队列,只需片刻就能快速处理。添加自定义问题也有助于识别明显的垃圾账号。
在我的工作论坛上,我使用了 wp-discourse WordPress 插件和单点登录(SSO),并且注册表单非常长。通过这种方式,我们很少收到垃圾注册。
新的注册/登录插件是防止垃圾信息的解决方案吗?
请问如何提取类似的数据?
出于好奇,这些如何通过验证码?注册过程如何在不解决验证码的情况下完成?
您还应该记住,在这种情况下,如果分发了过多的表单垃圾邮件,您自己的邮件服务器可能会被列入黑名单。
如果机器人使用真实地址进行注册,这种情况会发生得非常快。
我通过使用外部 nginx 作为 discourse docker 实例的代理,并使用 fail2ban 监控日志文件来解决此问题,即:
/etc/fail2ban/filter.d/nginx-discourse.conf
[Definition]
failregex = ^<HOST>.*"GET /u/account-created HTTP/2.0" 200.*$
/etc/fail2ban/jail.d/defaults-debian.conf
[nginx-discourse]
enabled = true
port = http,https
filter = nginx-discourse
logpath = /var/log/nginx/your.discourse.access.log
bantime = 43200
findtime = 3600
maxretry = 3
banaction = ufw
此示例表示,如果有人在一小时内从同一 IP 尝试注册 3 次,则该 IP 将被阻止 12 小时。
请根据您的目的和系统环境调整这些值!
我也是。
如果他们不发帖,他们就是无害的。新创建的不活跃用户账户不会对访客或普通用户显示,用户的个人资料也不会被索引;所以这些垃圾账户基本上对除管理员/版主之外的所有人都是不可见的,经过一段时间后会自动被删除,这要归功于定期清理的助手任务。
即使他们无法发帖,他们也会做一些随机的事情,比如搜索查询,
或者似乎在试图破解认证系统:
Job exception: Net::SMTPAuthenticationError
(google_oauth2) Authentication failure! invalid_credentials: OAuth2::Error, invalid_grant: Bad Request { "error": "invalid_grant", "error_description": "Bad Request" }
(google_oauth2) Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError, csrf_detected | CSRF detected