Spammer verwenden hochgeladene Bilder in Spam-E-Mails. Gibt es Ratschläge, wie man das lösen kann?

Unterstützung
1

Ich habe eine Discourse-Installation und bin sehr zufrieden damit. Kürzlich haben Spammer Wege gefunden, die integrierte Spam-Schutzfunktion zu umgehen. Das Problem ist, dass sie Bilder in ihren Beiträgen posten und diese Bilder dann sofort in Spam-E-Mails einbetten, die sie an Tausende von Leuten senden. Selbst wenn ich die Beiträge lösche, scheinen diese Bilder noch eine ganze Weile verfügbar zu sein.
Dies hat zu einigen Beschwerden wegen Spam-Missbrauchs von meinem Hoster geführt.

Derzeit habe ich das Hochladen von Bildern für neue Benutzer deaktiviert, aber da es sich um ein Support-Forum handelt, ist dies keine sehr gute Lösung. Leute müssen oft Screenshots usw. in ihre ersten Beiträge einfügen.

Hat jemand eine funktionierende Lösung für dieses Problem gefunden?

Ich habe bereits versucht, den Befehl valid_referers für ^/uploads auszukommentieren, aber er scheint nichts zu bewirken. Die Bilder können immer noch eingebettet werden:

   location ~ ^/uploads/ {

      # HINWEIS: Es ist wirklich ärgerlich, dass wir Header nicht einfach
      # auf der obersten Ebene definieren und erben können.
      #
      # proxy_set_header erbt NICHT, per Design müssen wir es wiederholen,
      # sonst werden die Header nicht korrekt gesetzt
      proxy_set_header Host $http_host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Request-Start "t=${msec}";
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $thescheme;
      proxy_set_header X-Sendfile-Type X-Accel-Redirect;
      proxy_set_header X-Accel-Mapping $public/=/downloads/;
      expires 1y;
      add_header Cache-Control public,immutable;

      ## optionale Upload-Anti-Hotlinking-Regeln
      valid_referers folivora.ai *.folivora.ai *.llo.ai;
      if ($invalid_referer) { return 403; }

      # benutzerdefinierte CSS
      location ~ /stylesheet-cache/ {
          add_header Access-Control-Allow-Origin *;
          try_files $uri =404;
      }
      # dies erlaubt uns, Rails zu umgehen
      location ~* \.(gif|png|jpg|jpeg|bmp|tif|tiff|ico||avif)$ {
          add_header Access-Control-Allow-Origin *;
          try_files $uri =404;
      }
      # SVG benötigt einen zusätzlichen Header
      location ~* \.(svg)$ {
      }
      # Thumbnails & optimierte Bilder
      location ~ /_?optimized/ {
          add_header Access-Control-Allow-Origin *;
          try_files $uri =404;
      }

      proxy_pass http://discourse;
      break;
    }
2 „Gefällt mir“
2

Hmmm. Das ist eine knifflige Sache. :thinking:

Ich denke, wenn Sie den Beitrag bearbeiten, um das Bild zu entfernen, sodass es nicht in der neuesten Version eines Beitrags (gelöscht oder anderweitig) enthalten ist, und auch clean orphan uploads grace period hours auf das Minimum von 1 Stunde setzen, könnte dies die Entfernung beschleunigen.

Dies ist jedoch keine ideale Lösung, weder in Bezug auf die Benutzerfreundlichkeit noch auf die Unmittelbarkeit.

1 „Gefällt mir“
3

Ich habe es bereits auf eine Stunde eingestellt, aber sie sind wirklich schnell darin, ihre Spam-E-Mails zu versenden…

Wissen Sie, ob die Verwendung von S3 anstelle meines eigenen Servers für Uploads das Problem lösen würde? Gibt es vielleicht eine Möglichkeit, hochgeladene Bilder nur für eingeloggte Benutzer anzuzeigen?

1 „Gefällt mir“
5

Es gibt die Funktion „Sichere Uploads“, die von Nutzen sein könnte:

Allerdings ist dies eine erweiterte Einrichtung, mit der ich nicht sehr vertraut bin.

Eigentlich, wenn ich es noch einmal lese, ist es vielleicht doch nicht geeignet:

3 „Gefällt mir“
6

Vielleicht sollte ich das als Feature-Anfrage posten.\n\nGrundsätzlich glaube ich, dass ich zwei Dinge bräuchte\n- Möglichkeit, Bilder sofort zu entfernen, wenn ein Benutzer gelöscht wird (einschließlich Profilbild)\n- Möglichkeit, Bilder sofort zu entfernen oder zu sichern, wenn ein Benutzer zur Überprüfung markiert wird

7

Verwenden Sie dies, Sie können Bilder einfach und schnell dauerhaft löschen

1 „Gefällt mir“
8

Danke, das werde ich versuchen. Sind Sie sicher, dass dadurch auch Bilder dauerhaft gelöscht werden?

9

Ich glaube, es löscht die Beiträge und die Uploads werden auf ähnliche Weise wie die obige Methode mit clean orphan uploads grace period hours behandelt.

Es gibt auch eine eingebaute Verzögerung von 5 Minuten zwischen dem Soft-Delete und dem permanenten Löschen durch denselben Administrator (obwohl ein zweiter Administrator nicht die gleiche Wartezeit hätte).

Es ist jedoch sicherlich einen Versuch wert. :crossed_fingers:

1 „Gefällt mir“
10

Ja. Und wie der andere Typ oben sagte. Muss 5 Minuten warten. Verwenden Sie einfach ein anderes Administratorkonto, um es sofort zu erledigen. Es wird das Bild dauerhaft löschen.

12

Ich glaube, mit Ihrer NGINX-Konfiguration stimmt etwas nicht. Wenn ich versuche, ein Bild aus Ihrem Forum in einem neuen Tab zu öffnen, wird es ohne Probleme geladen, obwohl es das nicht sollte, da ich keinen Referer übergeben habe :thinking:
Wenn Sie es zum Laufen bringen, wird dies die meisten Ihrer Spam-Probleme lösen, da sie keine Hotlinks zu Bildern aus Ihrem Forum setzen können.

3 „Gefällt mir“