Dass ihr natuerlich das Script nicht unter /spider-trap/ legen solltet, da sonst der Spammer seine URL-Filter entsprechend einstellen kann, leuchtet wohl jedem ein... Die URL /guestbook/ waere da z.B. eine gute Alternative...

Noch ein paar Tipps:
- Den Link koennt ihr "verstecken", also kein Bildchen, sondern eine gezwungene Leerstelle
- Das Styling des Linkes verdecken (Linkfarbe=Hintergrundfarbe, text-decoration: none)
- Mit JavaScript (immerhin eine kleine Absicherung!) das Klicken unterbinden
- Gute Bots daraus fernhalten (rel="nofollow"; kann aber auch durch den Spambot gefiltert werden... )

Das ganze saehe dann z.B. so aus:

<A href="/guestbook/" rel="nofollow" onClick="return false;" style="text-decoration: none">&nbsp;</A>

Damit waere die Falle fuer Menschen mehr unsichtbar und nur der "boese" Bot rennt da rein.

So long,
Quix0r

Danke für die Tipps und den Patch! Konnte einiges davon verwenden .

» Danke für die Tipps und den Patch! Konnte einiges davon verwenden .

Hast auch den neuen Patch mit Server-Namen und verbesserten .htaccess/robots.txt gesehen? Habe ich eben gepostet.

Quix0r

Sorry, mir schiesst da gerade was durch den Kopf:

Was ist wenn der Spammer eine Liste fuehrt, wo Spider-Trap installiert ist und diese weiterverkauft?

Dann brauch er nur seinem Bot die Liste geben und dieser surft einfach dort nicht hin, auf die restlichen Seiten ja.

Somit stellt Spider-Trap indirekt eine Einnahmquelle da: Blacklisten verkaufen. Macht sich bestimmt gut... "Wenn Sie Zeit&Geld sparen wollen... bla bla bla"...

Fiel mir nur ein. Wir muessten etwas anderes schaffen, das er nicht so leicht durch eine simple URL-Filterung (ist wirklich simple, einfache Textliste genuegt) herausfiltern kann.

Aber wie?

Quix0r

Sage mal, erzählst du allen und jedem wie deine Webseite aufgebaut ist?
Die Technik hinter der Webseite sollte imho stets das am Besten gehüteste Geheimnis eines jeden Webmasters sein.
Woher soll der Spammer wissen wo und wie spider-trap eingebunden ist?

Ich habe schon die Überlegung gemacht einen unsichtbaren Link zusetzen (was man eh tun sollte) und das ganze gedöns mit dem "Sie können sich hier freischalten" zu vergessen. Denn Menschen sollten im Grunde genommen gar nicht in diese Falle gelangen. Der Bot bekommt dann ne Fehlerseite angezeigt, wird auf die Blackliste und in die .htacess gesetzt, und schon hat man den gewünschen Effekt. Wer befreit werden möchte muss sich dann eben beim Webmaster melden.

Ausserdem ist es ratsam ein Verzeichnis anzulegen das via .htacces vor Zugriffen von aussen geschützt ist, und dort so sensible Dateien wie Blacklisten oder IP-Logs abzulegen. Zum Beispiel auch die Datei captcha.txt könnte man dort gut unterbringen und ggf. auch umbenennen.