О спаме и спамерах

Одной из самых раздражающих вещей в Интернете был и остаётся спам. Появление нежелательной рекламы или бэклинков на форумах, в комментариях различных открытых блогов, не говоря уж о почте — настоящий бич Интернета. Я почти уверен, что в настоящее время не так заботятся о защите от вреда, наносимого вирусами, как о фильтрах спама. Впрочем, это может быть моим личным мнением — сидя на Линуксе, я действительно почти забыл о вирусах... Но речь не о том.

Не избежал столкновения со спамом и спамерами и Liverbird.ru. Уже на первой неделе существования ресурса (в смысле — после «выхода в свет») был зарегистрирован первый спам-бот, который, кажется, даже оставил что-то за собой в комментариях, но мы быстро потёрли его рекламу. Чем больше растёт популярность ресурса (а она растёт), тем большее число спам-ботов у нас регистрируется. Я не могу сказать точно, каково их число, скажу точно, что достаточно велико.

Собственно, именно это позволило так серьёзно вырасти числу зарегистрированных посетителей за минувшие восемь месяцев. Текущий новичок имеет идентификатор 3476, что на деле не соответствует реальному числу не только постоянных посетителей, но и в принципе людей, которые у нас регистрировались. Думаю, что не ошибусь, если скажу, что и у нас, и на многих других незащищённых или слабо защищённых сайтах, процент реальных пользователей по отношению к общему числу учётных записей в системе весьма невелик. Думаю, что на каждого человека приходится примерно 3 спам-бота.

Часть этих ботов у нас отсекалась и раньше. Суть в том, что система, на которой базируется наш сайт, Drupal, имеет встроенный механизм, который не позволяет зарегистрироваться «в лоб», просто зная адрес регистрационной формы сайта. Однако, этого механизма недостаточно, и часть ботов всё же пролезает дальше. На следующем этапе зарегистрировавшемуся уже пользователю отправляется электронное письмо, в котором ему предлагается подтвердить свою «подлинность». Не все боты проходят этот тест успешно, потому что указанные ими адреса электронной почты не всегда существуют, и письма с подтверждением просто не доходят. В результате на электронный адрес Liverbird.ru приходят автоматические ответы о том, что такой-то такой-то адрес не существует.

Но часть ботов проходит и это испытание и попадает на сайт. И только эту часть ботов пользователи (и администрация в том числе) может увидеть в списке «Приветствуем новых пользователей» в нижней части страницы. Учётные записи тех, кто процедуру регистрации прошёл, но на письмо не ответил (а значит свою учётку не активировал), в базе присутствуют, но не отображаются в списке новичков. Таких «неподтверждённых» товарищей можно найти в списке пользователей в разделе No role, где собраны, впрочем, не только они, но и все зарегистрированные пользователи, которым не назначены дополнительные группы.

Кстати, это самое разделение на дополнительные группы является очередным барьером для спам-ботов (а заодно не позволяет излишне ретивым молодым болельщикам создавать однострочные топики вроде «Джеррард — супер!» и т.п.). Работает это так — часть проникающих на сайт ботов стремится создать новую тему на форуме (вариант — материал любого другого типа), где и размещает свои ссылки и прочее. Так как просто зарегистрированные (не «продвинутые») пользователи не имеют возможности создавать новые темы, да и вообще обделены правами, спам-боты остаются ни с чем.

Всё было бы прекрасно, но, к сожалению, и этого оказалось недостаточно. Некоторые из ботов стараются разместить комментарии, причём им неважно где. Они сканируют имеющиеся ссылки, ищут на полученных по ним страницах формы добавления содержимого и, если алгоритм сканирования написан достаточно хорошо, выполняют своё грязное дело. В результате раз в два дня обязательно появляется спам-комментарий, который доблестные защитники Liverbird.ru (это я о пользователях, если что) отмечают, как нарушающий правила, и тот скрывается с глаз. Некоторые боты добираются до контактной формы пользователя Ingumsky и отправляют ему на электронную почту свой спам. В день таких писем приходит штуки три-четыре.

Итак, что мы имеем? Каждый день на сайте регистрируются спам-боты, каждый день несколько из них (обычно не более пяти) умудряются даже подтвердить свою «подлинность», ответив на email и появившись в нашем списке новичков; каждый день на сайте — в комментариях и на электронной почте главного редактора — появляется спам.

Даже того факта, что боты продолжают регистрироваться, забивают нам базу данных и тем самым портят статистику реального количества зарегистрированных пользователей, было бы достаточно для того, чтобы мы поставили более серьёзную защиту от этих роботов. В сочетании же с тем, что спам продолжает появляться на ресурсе, такая защита требовалась уже давно. Собственно, весь этот экскурс в теорию и историю спам-ботов на Liverbird.ru я затеял лишь потому, что сегодня в строй введена система, которая должна помочь нам избавиться от спама... Ну, хотя бы частично.

Это знакомая едва ли не всем «капча» — небольшой тест, который, по логике вещей, не может пройти компьютер, но может пройти человек. В нашем случае используется одна из самых популярных и самых привлекательных с точки зрения пользы для общества разновидностей «капчи» — «ReCAPTCHA», работая с которой мы помогаем оцифровывать книги.

Указанный тест на Liverbird.ru предлагается пользователю, который хочет зарегистрироваться в системе (условно говоря, между первым и вторым «барьерами» для спам-ботов). Если он его проходит, считается, что перед нами человек, и процедура регистрации продолжается, если нет — до свидания.

К сожалению, у «капчи», как и у любой другой системы защиты от спама, есть свои минусы. В нашем случае их два — во-первых, любую защиту, в том числе и эту, можно поломать. При атаке ботнета (сети компьютеров) даже каждое сотое проникновение сквозь «капчу» даст результат в виде горы спама за одни только сутки. Вот только кому может понадобиться атаковать наш сайт? С точки зрения спамеров, наш сайт, слава богу, малопривлекателен.

Вторым минусом имеющейся защиты является то, что она, хотя и способна прекрасно работать против ботов, совершенно бессильна против человека. Если у нас решит зарегистрироваться «живой» спамер, ему не составит труда пройти «капчу», и тогда он сможет оставлять сообщения со спамом так же, как все остальные пишут свои комментарии. Но такой сценарий пока маловероятен — опять же, для спамеров мы не очень-то привлекательны. А на тот случай, если кто-нибудь и решит поспамить, у нас есть другой инструмент, которым обладают наши пользователи, — четыре «фола», и комментарий отправится в небытие. А пользователь, который «фолит» часто, получит предупреждение и будет заблокирован.

Остаётся надеяться, что для борьбы со спамом имеющихся в нашем арсенале средств окажется достаточно.

PS Возможно, вы будете удивлены финалом заметки, но зарегистрированные пользователи, которые, скорее всего, и прочтут эту запись, вряд ли столкнутся с «капчей» — она установлена только на регистрационную форму и формы отправки сообщений на почту, а ими, я думаю, наши посетители не так уж часто пользуются.

PPS Думаете, я просто так упомянул «зарегистрированных» и «продвинутых» пользователей? Как бы не так! Это очередной способ напомнить всем «бесправным» о том, что можно просто попросить в комментариях к этой записи, и вас почти наверняка переведут в число «продвинутых». Особых бонусов там нет, но кое-что по мелочи есть.