Идёт спам с формы обратной связи. Как исправить?

@FCSM · Регистрация: 03.04.2016

Студворк — интернет-сервис помощи студентам

Всем привет!

Есть такой сайтик : http://oprteam.ru/

На нём 17 форм обратной связи. Все формы имеют одинаковый обработчик, за исключением небольших отличий.

С третьей формы ( Заявка на тимбилдинговую программу "Вместе мы сила" ) приходит спам - писем по 50 в день ( возможно чуть больше ).

На форме стоит маска номера : если не ввести номер, или ввести меньше нужного количества цифр - форма не отправится. Но,
спам отправляется невзирая на маску.

Письма спама, имеют такой вид :

Имя: 59ea099d6c60a
Телефон:
Почта: tanyabcook@sc.rr.com

Имена, разумеется постоянно разные ( произвольный набор цифр и букв ) и, с абсолютно разных почтовых ящиков.
Поле "телефон" - пустое ( хотя форма не должна отправлять пустое поле ).

Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод.

Благодарю за помощь!

quwy · 20.10.2017, 18:02

Сообщение от FCSM

приходит спам - писем по 50 в день

Ха! Радуйтесь, что не 50000.

Сообщение от FCSM

хотя форма не должна отправлять пустое поле

Нужно логирвать тело POST-запроса, и смотреть, что эти гады шлют. Очевидно в коде обработки формы есть ошибка.

Сообщение от FCSM

Уже думал менять домен, но это сильно радикальный метод.

Ничего не даст, эти козлы гадят в любую незащищенную форму. Новый домен они найдут через месяц.

@Jewbacabra · 20.10.2017, 18:14

FCSM, проверка на номер стоит только на клиенте? Если да, то спамеры его не используют, отправляют запрос напрямую. Следует использовать рекапчу для защиты

@FCSM · 20.10.2017, 18:21 **[ТС]**

Сообщение от Jewbacabra

Следует использовать рекапчу для защиты

Да нет, рекапча это некрасиво и геморно для человека отправляющего заявку.

@Jewbacabra · 20.10.2017, 18:40

FCSM, хотя бы посмотрел в доке. Особенно про последнюю версию, которая от пользователя не требует никаких действий в определенных случаях

@Phantom-84 · 20.10.2017, 19:01

Сообщение от FCSM

Письма спама, имеют такой вид

Это сейчас массовый вал. Они отличаются отсутствием "тела сообщения". Вот у вас поле "телефон". Если форма требует непустого поля, а оно пустое, то наверняка отправка идет минуя форму, значит можно смело отфильтровывать по этому полю.

Сообщение от FCSM

Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод.

Тем более что он не поможет. У меня два способа на 100 процентов справляются с этой напастью:
- сложным образом устроенная каптча;
- дополнительное подтверждение после отправки (тоже методом POST).

Кстати, в оч. редких случаях наблюдаются попытки обхода даже сложных методов защиты, например приблизительно в одном-двух из 10000 случаев наблюдается переход на страницу подтверждения, имеющую сложный адрес с элементом случайности, происходящий после редиректа. Хотя возможно это живой интелект того же вредителя.

Добавлено через 4 минуты
Уточню: это не на одном домене, а примерно на пятистах.

@Nike555 · 21.10.2017, 12:12

Автор скорее всего использует защиту только для клиентской части.
Попробуйте в PHP сделать небольшую защиту типа:

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) != 17)
{
    // отправляется письмо
    mail(...);
}

Добавлено через 17 минут

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) == 17)
{
    // отправляется письмо
    mail(...);
}

(допустил ошибку)

@FCSM · 21.10.2017, 13:26 **[ТС]**

Сообщение от Nike555

Автор скорее всего использует защиту только для клиентской части.
Попробуйте в PHP сделать небольшую защиту типа:

PHP
1
2
3
4
5
if (!empty($_POST['Tel']) || $_POST['Tel'] != '' || strlen($_POST['Tel']) == 17)
{
    // отправляется письмо
    mail(...);
}

Да, защита стоит только на клиенте. Благодарю за решение. Сейчас поставил, гляну как пойдёт

@DontFollow · 24.10.2017, 22:52

Удаляешь атрибут required и отправляешь. Все просто. Делай проверку в своем обработчике, внутри сайта.

@nikolay1982 · 25.10.2017, 10:56

А если на обработчике формы на JavaScript реализовать получение UTC времени, шифрование его каким-нибудь способом, передача этих данных в параметре запроса, расшифровка на стороне сервера и проверка если реальное время не отличается, скажем на 3 часа? Если передано неверное время то отмена отправки письма.

@FCSM · 25.10.2017, 11:20 **[ТС]**

Сообщение от nikolay1982

А если на обработчике формы на JavaScript реализовать получение UTC времени,

Да нет, нужно проще.

@FCSM · 07.11.2017, 17:09 **[ТС]**

Решил проблему таким способом :
В форму добавил поле

HTML5
1
<input id="check" name="check" type="hidden" value="" />

Потом в кнопку, через которую идёт отправка, добавил

JavaScript
1
onclick="document.getElementById('check').value = 'secretcode';"

Вышло что-то вроде этого

HTML5
1
<button onclick="document.getElementById('check').value = 'secretcode';" type="submit">Отправить</button>

И в php-обработчике, добавил это

PHP
1
if ($_POST['check'] != 'secretcode') exit('Spam decected');

Возможно кому-то поможет.
Удачи!

@Dfny-te · 07.11.2017, 20:09

Сообщение от FCSM

Потом в кнопку, через которую идёт отправка, добавил

Серьезно? Я счас накидаю курлом тебе столько сообщений, что зависнет твоя почта

Думаешь трудно послать пост check равное secretcode? Тем более, что это можно прочитать в исходном коде страницы в браузере.
Это ты нарвался на хакеров-любителей

@FCSM · 08.11.2017, 06:45 **[ТС]**

Сообщение от Dfny-te

Это ты нарвался на хакеров-любителей

Просто это единственный вариант, который пока работает, из всех, которые я попробовал.

@Phantom-84 · 08.11.2017, 08:29

Dfny-te, спамерам даже до хакеров-любителей далеко. Поиск и бомбежка форм в большинстве своем происходит в автоматическом режиме. Секретный код может периодически меняться, только не делайте это единовременно. Нужно использовать как минимум двухэтапное устаревание. На JS на 100% полагаться нельзя, например я иногда отключаю JS в экспериментальных целях и забываю включить повторно, пока не замечу, что отключен. Простые методы могут быть достаточно эффективны, например неплохо себя показывает использование пустых скрытых стилистически полей с именами вроде email, но не стоит ограничиваться только этими методами. А если кто-то знающий решил проспамить конкретно ваш сайт, то он это сделает. Методы защиты от автомата тут не работают, только сложным образом устроенная каптча.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@FCSM 2 / 2 / 2 Регистрация: 03.04.2016 Сообщений: 75

	Идёт спам с формы обратной связи. Как исправить? 20.10.2017, 17:47. Показов 17035. Ответов 14 Метки нет (Все метки) Всем привет! Есть такой сайтик : http://oprteam.ru/ На нём 17 форм обратной связи. Все формы имеют одинаковый обработчик, за исключением небольших отличий. С третьей формы ( Заявка на тимбилдинговую программу "Вместе мы сила" ) приходит спам - писем по 50 в день ( возможно чуть больше ). На форме стоит маска номера : если не ввести номер, или ввести меньше нужного количества цифр - форма не отправится. Но, спам отправляется невзирая на маску. Письма спама, имеют такой вид : Имя: 59ea099d6c60a Телефон: Почта: tanyabcook@sc.rr.com Имена, разумеется постоянно разные ( произвольный набор цифр и букв ) и, с абсолютно разных почтовых ящиков. Поле "телефон" - пустое ( хотя форма не должна отправлять пустое поле ). Как можно избавится от спама ? Уже думал менять домен, но это сильно радикальный метод. Благодарю за помощь! 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	20.10.2017, 18:14
	FCSM, проверка на номер стоит только на клиенте? Если да, то спамеры его не используют, отправляют запрос напрямую. Следует использовать рекапчу для защиты 0

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	20.10.2017, 18:40
	FCSM, хотя бы посмотрел в доке. Особенно про последнюю версию, которая от пользователя не требует никаких действий в определенных случаях 0

@DontFollow 0 / 1 / 0 Регистрация: 27.03.2017 Сообщений: 12
	24.10.2017, 22:52
	Удаляешь атрибут required и отправляешь. Все просто. Делай проверку в своем обработчике, внутри сайта. Миниатюры 0

@nikolay1982 128 / 126 / 60 Регистрация: 22.01.2014 Сообщений: 464
	25.10.2017, 10:56
	А если на обработчике формы на JavaScript реализовать получение UTC времени, шифрование его каким-нибудь способом, передача этих данных в параметре запроса, расшифровка на стороне сервера и проверка если реальное время не отличается, скажем на 3 часа? Если передано неверное время то отмена отправки письма. 0

@Phantom-84 377 / 319 / 73 Регистрация: 15.09.2017 Сообщений: 1,436
	08.11.2017, 08:29
	Dfny-te, спамерам даже до хакеров-любителей далеко. Поиск и бомбежка форм в большинстве своем происходит в автоматическом режиме. Секретный код может периодически меняться, только не делайте это единовременно. Нужно использовать как минимум двухэтапное устаревание. На JS на 100% полагаться нельзя, например я иногда отключаю JS в экспериментальных целях и забываю включить повторно, пока не замечу, что отключен. Простые методы могут быть достаточно эффективны, например неплохо себя показывает использование пустых скрытых стилистически полей с именами вроде email, но не стоит ограничиваться только этими методами. А если кто-то знающий решил проспамить конкретно ваш сайт, то он это сделает. Методы защиты от автомата тут не работают, только сложным образом устроенная каптча. 0