网站遇到大量的注册spam求解

24小时不能发文，需email激活确认，显示验证码函数js混淆。多大仇才会去破解你验证码啊……

@chairo 不是自己的网站，是公司的。。现在的情况就是spammer用某一种邮箱拼命注册，然后服务器往这类邮箱发激活邮件，因为很多邮箱都是不存在的，所以邮箱服务商把我们的ip列为spam了。。

限制来源IP注册呗。。。一天3次。。。

能改用 reCaptcha 吗

@ritksm nginx日志看，他10000次注册用了7000+个ip，而且不在一个b段

@66450146 不是个人blog，是每天百万uv的网站，所以，如果用那种很多用户打不开的服务，我会被fire的

...这...

LS表情真到位

发之前可以用SMTP命令验证一下邮箱是否存在，避免被邮箱服务商列为spam，当然有的服务商可能把验证禁用了。另外可以针对这一种邮箱注册的用户提高验证码难度，甚至是中文，还有像微博注册的那种问答型验证码。

首先看一下是不是程序直接拼你的表单提交，如果是拿到token就拼参数的，可以考虑把页面的内容作一些异步、或者特别的编码的处理，提高他拼的难度。
如果不是，提高验证码难度可以选，还可以考虑加个手机短信验证 或者 页面布局搞搞没准也能拦住他的。
不知道你的网站是干什么的，批量注册你的网站肯定有目的。具体问题具体分析吧。

@luckyduck
@plprapper
非常感谢两位，两位的方法都很有启发

lss的做法对spammer来说就是小儿科吧
如果手机短信验证，除非一个手机号只能验证一个，否则对spammer来说也就是连代码都不用改。

验证码难度，除非你提到google验证码那个级别，不过你们的pm估计接受不了

如果ip都不一样，那真无解了

如果ip一样还有点办法：
可以对所有的注册接口调用打个log，然后按照ip分组，再按照时间排序，计算出每相邻两次注册的时间间隔，比如，小于两分钟的就可怀疑为spammer。
当然这有误伤，你可以假设spammer每次过来的邮箱都使用同一个（比如163.com），所以可以提出掉其他的邮箱（比如sina.com)。

总之，spammer的专业水平真相当高，想象新浪微博吧，他们肯定投入了大量力气，但杀掉了么？没

70%的独立IP，难道攻击者用肉机注册的？

估计是扫的代理吧
可以尝试下 -> http://www.maxmind.com/en/proxy
判断如果是代理就BAN IP

这种没PY的事儿很可能是第三方邮件服务商干的，他们会在收到激活邮件后举报为垃圾邮件。之前遇到过，域名邮箱直接被搞到几大反SPAM联盟黑名单里无法解封。
短期之内楼主应该会收到第三方邮件服务商提供优质邮件群发服务的邮件或电话。

学习一下。。。

@taoeaten 早知道你要注册，用我的邀请链接啊。。两个金币没有了。。

@qiongqi 。。。。那你不随微薄发出来。。金币有毛线用。。

@taoeaten 点击右边栏头像下的金币就知道了，回复啊，感谢啊都是要耗钱的。。