Идёт спам с формы обратной связи. Как исправить?

@FCSM · Регистрация: 03.04.2016

Студворк — интернет-сервис помощи студентам

Всем привет!

Есть такой сайтик : http://oprteam.ru/

На нём 17 форм обратной связи. Все формы имеют одинаковый обработчик, за исключением небольших отличий.

С третьей формы ( Заявка на тимбилдинговую программу "Вместе мы сила" ) приходит спам - писем по 50 в день ( возможно чуть больше ).

На форме стоит маска номера : если не ввести номер, или ввести меньше нужного количества цифр - форма не отправится. Но,
спам отправляется невзирая на маску.

Письма спама, имеют такой вид :

Имя: 59ea099d6c60a
Телефон:
Почта: tanyabcook@sc.rr.com

Имена, разумеется постоянно разные ( произвольный набор цифр и букв ) и, с абсолютно разных почтовых ящиков.
Поле "телефон" - пустое ( хотя форма не должна отправлять пустое поле ).

Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод.

Благодарю за помощь!

quwy · 20.10.2017, 18:02

Сообщение от FCSM

приходит спам - писем по 50 в день

Ха! Радуйтесь, что не 50000.

Сообщение от FCSM

хотя форма не должна отправлять пустое поле

Нужно логирвать тело POST-запроса, и смотреть, что эти гады шлют. Очевидно в коде обработки формы есть ошибка.

Сообщение от FCSM

Уже думал менять домен, но это сильно радикальный метод.

Ничего не даст, эти козлы гадят в любую незащищенную форму. Новый домен они найдут через месяц.

@Jewbacabra · 20.10.2017, 18:14

FCSM, проверка на номер стоит только на клиенте? Если да, то спамеры его не используют, отправляют запрос напрямую. Следует использовать рекапчу для защиты

@FCSM · 20.10.2017, 18:21 **[ТС]**

Сообщение от Jewbacabra

Следует использовать рекапчу для защиты

Да нет, рекапча это некрасиво и геморно для человека отправляющего заявку.

@Jewbacabra · 20.10.2017, 18:40

FCSM, хотя бы посмотрел в доке. Особенно про последнюю версию, которая от пользователя не требует никаких действий в определенных случаях

@Phantom-84 · 20.10.2017, 19:01

Сообщение от FCSM

Письма спама, имеют такой вид

Это сейчас массовый вал. Они отличаются отсутствием "тела сообщения". Вот у вас поле "телефон". Если форма требует непустого поля, а оно пустое, то наверняка отправка идет минуя форму, значит можно смело отфильтровывать по этому полю.

Сообщение от FCSM

Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод.

Тем более что он не поможет. У меня два способа на 100 процентов справляются с этой напастью:
- сложным образом устроенная каптча;
- дополнительное подтверждение после отправки (тоже методом POST).

Кстати, в оч. редких случаях наблюдаются попытки обхода даже сложных методов защиты, например приблизительно в одном-двух из 10000 случаев наблюдается переход на страницу подтверждения, имеющую сложный адрес с элементом случайности, происходящий после редиректа. Хотя возможно это живой интелект того же вредителя.

Добавлено через 4 минуты
Уточню: это не на одном домене, а примерно на пятистах.

@Nike555 · 21.10.2017, 12:12

Автор скорее всего использует защиту только для клиентской части.
Попробуйте в PHP сделать небольшую защиту типа:

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) != 17)
{
    // отправляется письмо
    mail(...);
}

Добавлено через 17 минут

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) == 17)
{
    // отправляется письмо
    mail(...);
}

(допустил ошибку)

@FCSM · 21.10.2017, 13:26 **[ТС]**

Сообщение от Nike555

Автор скорее всего использует защиту только для клиентской части.
Попробуйте в PHP сделать небольшую защиту типа:

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) == 17)
{
    // отправляется письмо
    mail(...);
}

Да, защита стоит только на клиенте. Благодарю за решение. Сейчас поставил, гляну как пойдёт

@DontFollow · 24.10.2017, 22:52

Удаляешь атрибут required и отправляешь. Все просто. Делай проверку в своем обработчике, внутри сайта.

@nikolay1982 · 25.10.2017, 10:56

А если на обработчике формы на JavaScript реализовать получение UTC времени, шифрование его каким-нибудь способом, передача этих данных в параметре запроса, расшифровка на стороне сервера и проверка если реальное время не отличается, скажем на 3 часа? Если передано неверное время то отмена отправки письма.

@FCSM · 25.10.2017, 11:20 **[ТС]**

Сообщение от nikolay1982

А если на обработчике формы на JavaScript реализовать получение UTC времени,

Да нет, нужно проще.

@FCSM · 07.11.2017, 17:09 **[ТС]**

Решил проблему таким способом :
В форму добавил поле

HTML5
1
<input id="check" name="check" type="hidden" value="" />

Потом в кнопку, через которую идёт отправка, добавил

JavaScript
1
onclick="document.getElementById('check').value = 'secretcode';"

Вышло что-то вроде этого

HTML5
1
<button onclick="document.getElementById('check').value = 'secretcode';" type="submit">Отправить</button>

И в php-обработчике, добавил это

PHP
1
if ($_POST['check'] != 'secretcode') exit('Spam decected');

Возможно кому-то поможет.
Удачи!

@Dfny-te · 07.11.2017, 20:09

Сообщение от FCSM

Потом в кнопку, через которую идёт отправка, добавил

Серьезно? Я счас накидаю курлом тебе столько сообщений, что зависнет твоя почта

Думаешь трудно послать пост check равное secretcode? Тем более, что это можно прочитать в исходном коде страницы в браузере.
Это ты нарвался на хакеров-любителей

@FCSM · 08.11.2017, 06:45 **[ТС]**

Сообщение от Dfny-te

Это ты нарвался на хакеров-любителей

Просто это единственный вариант, который пока работает, из всех, которые я попробовал.

@Phantom-84 · 08.11.2017, 08:29

Dfny-te, спамерам даже до хакеров-любителей далеко. Поиск и бомбежка форм в большинстве своем происходит в автоматическом режиме. Секретный код может периодически меняться, только не делайте это единовременно. Нужно использовать как минимум двухэтапное устаревание. На JS на 100% полагаться нельзя, например я иногда отключаю JS в экспериментальных целях и забываю включить повторно, пока не замечу, что отключен. Простые методы могут быть достаточно эффективны, например неплохо себя показывает использование пустых скрытых стилистически полей с именами вроде email, но не стоит ограничиваться только этими методами. А если кто-то знающий решил проспамить конкретно ваш сайт, то он это сделает. Методы защиты от автомата тут не работают, только сложным образом устроенная каптча.

Новые блоги и статьи Все статьи Все блоги /
AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .
Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .

@FCSM 2 / 2 / 2 Регистрация: 03.04.2016 Сообщений: 75

	Идёт спам с формы обратной связи. Как исправить? 20.10.2017, 17:47. Показов 17338. Ответов 14 Метки нет (Все метки) Всем привет! Есть такой сайтик : http://oprteam.ru/ На нём 17 форм обратной связи. Все формы имеют одинаковый обработчик, за исключением небольших отличий. С третьей формы ( Заявка на тимбилдинговую программу "Вместе мы сила" ) приходит спам - писем по 50 в день ( возможно чуть больше ). На форме стоит маска номера : если не ввести номер, или ввести меньше нужного количества цифр - форма не отправится. Но, спам отправляется невзирая на маску. Письма спама, имеют такой вид : Имя: 59ea099d6c60a Телефон: Почта: tanyabcook@sc.rr.com Имена, разумеется постоянно разные ( произвольный набор цифр и букв ) и, с абсолютно разных почтовых ящиков. Поле "телефон" - пустое ( хотя форма не должна отправлять пустое поле ). Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод. Благодарю за помощь! 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	20.10.2017, 18:14
	FCSM, проверка на номер стоит только на клиенте? Если да, то спамеры его не используют, отправляют запрос напрямую. Следует использовать рекапчу для защиты 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	20.10.2017, 18:40
	FCSM, хотя бы посмотрел в доке. Особенно про последнюю версию, которая от пользователя не требует никаких действий в определенных случаях 0

@DontFollow 0 / 1 / 0 Регистрация: 27.03.2017 Сообщений: 12
	24.10.2017, 22:52
	Удаляешь атрибут required и отправляешь. Все просто. Делай проверку в своем обработчике, внутри сайта. Миниатюры 0

@nikolay1982 128 / 126 / 60 Регистрация: 22.01.2014 Сообщений: 464
	25.10.2017, 10:56
	А если на обработчике формы на JavaScript реализовать получение UTC времени, шифрование его каким-нибудь способом, передача этих данных в параметре запроса, расшифровка на стороне сервера и проверка если реальное время не отличается, скажем на 3 часа? Если передано неверное время то отмена отправки письма. 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	08.11.2017, 08:29
	Dfny-te, спамерам даже до хакеров-любителей далеко. Поиск и бомбежка форм в большинстве своем происходит в автоматическом режиме. Секретный код может периодически меняться, только не делайте это единовременно. Нужно использовать как минимум двухэтапное устаревание. На JS на 100% полагаться нельзя, например я иногда отключаю JS в экспериментальных целях и забываю включить повторно, пока не замечу, что отключен. Простые методы могут быть достаточно эффективны, например неплохо себя показывает использование пустых скрытых стилистически полей с именами вроде email, но не стоит ограничиваться только этими методами. А если кто-то знающий решил проспамить конкретно ваш сайт, то он это сделает. Методы защиты от автомата тут не работают, только сложным образом устроенная каптча. 0