<div dir="ltr">Hi all,<div><br></div><div>A few weeks ago I disabled registration on trac due to the high volume of spam coming in.  I've now managed to figure out how to enable some additional spam filtering so I recently re-enabled registration.</div><div><br></div><div>Since the state of the art in spam filtering remains an arms race I anticipate making a number of changes to the configuration in the coming weeks in response to spam activity I observe on the system.</div><div><br></div><div>I'll share some things I've observed so far, a potential articles of interest:</div><div><ul><li style="margin-left:15px">There were almost 400k entries in the session table.</li><li style="margin-left:15px">Of these, 190k were authenticated.</li><li style="margin-left:15px">Of these, 86k have as `last_visit` not equal to 0 (but it's not completely clear what this means).</li><li style="margin-left:15px">100 new unauthenticated sessions were created while I wrote this email</li><li style="margin-left:15px">The TracSpamFilter plugin thinks 189953 out of the 190121 registered users are probably spammers but it won't tell me why it thinks so, who they are, or give me a button to easily delete them.</li></ul><div>I ended up building another tool for the trac management toolbox which can go in and delete users that look like spammers to <i>me</i>.  This got us down to about 200 users but this has since grown to 500, with the difference presumably all being spam users.<br></div></div><div><br></div><div>Unfortunately it seems like many of the trac features in this area are either not documented well enough to easily use or are just broken when used with the version of trac we have deployed.  I had begun to hope that switching off registration and using GitHub as an OAuth provider for accounts would help a lot but my efforts to enable this have so far failed.</div><div><br></div><div>It's looking increasingly like migrating off of trac may not be any more work than fixing the trac deployment to be tolerable.</div><div><br></div><div>For now, the end result is mainly that there is now an admin spam monitoring page which can possibly be used to train spambayes to reject more content.  I'm not particularly hopeful this will yield excellent results but we shall see.</div><div><br></div><div>We probably need to begin to discuss what the replacement for trac for the project is going to be.</div><div><br></div><div>Jean-Paul</div><div><br></div></div>