Schlaumayr: Momentan nichts, außer die Kommentare manuel verbergen... kannst ja mal beobachten xD
randomuser.833: So extrem viel kannst halt nicht machen, wenn die dauernd neue Accounts mit neuer Mail und IP anlegen.
Fingerprinting und Browser ist sehr leicht umgehbar.
Kann man schon was gegen machen Es gibt da so ein paar "Best Practices" und "Known Issues" die man durchprobieren kann.
Oft nutzen bei der Anmeldung Angreifer Lücken in Standardcaptchas aus über welche sie bspw. den Code in etwa 1 von 10 Fällen erraten und so ohne Verifizierung per Mail neue Accounts anlegen können.
Denen kann man für ein paar Tage meist schon die Suppe versalzen indem man die URL der Anmeldeseite ändert und anschließend einen CSRF-Token in das Anmeldeformular wirft. Daran scheitern schon die meisten Skripte.
Ich habe in meinen Foren außerdem einfach eine Minute Sperre eingebaut zwischen dem Anlegen des Accounts und dem 1. Post. Die Skripte welche die Spammer benutzen legen einen Account an und feuern sofort den Post raus, ohne zu warten. 99% des Spams scheitert an dieser Hürde.
Ferner habe ich eine Sperre von 5 Sekunden eingebaut zwischen dem Aufrufen des Formulars für neue Posts und dem Absenden. Das hat auch nochmal deutlich was gebracht, weil die Skripte der Spammer eben nicht warten.
Nur für den 1. Post habe ich zudem alle URLs unterbunden und wer dennoch dagegen verstieß dessen Post ging nicht durch und der Account wurde automatisch gelöscht.
Von mehreren hundert Spamposts am Tag kam ich runter auf so ca. 10 im Monat und musste nur noch die inaktiven Spamaccounts alle paar Monate mal automatisiert löschen.
Ist halt nervig, aber i.d.R. kriegt man das zügig in den Griff. Hauptsächlich deshalb weil die Spammer eben auch faul sind und ihre automatisierten Angriffe nicht manuell für jede Seite individuell anpassen.
