SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha

[anemone]

Ciao a tutti!
Col mio sito joomla, ho un problema, chiedo delucidazioni a voi; siamo una 50ina di utenti veri, e abilitati, ogni tanto però nel backend di joomla risultano spambot non abilitati: li riconosco dall'indirizzo e mail sospetto che cerco con google e che risulta tra gli indirizzi di spam bot.

Un paio di utenti spam però si sono anche abilitati (sempre stranieri provenienti da chissà dove) e risultavano anche nel mio forum kunena...e io ho provveduto a cancellarli sempre, ovviamente.

Mi chiedevo per favore come fosse possibile, dato che ho un captcha per registrarsi; in più com'è possibile che gli SpamBot si abilitino se è necessario rispondere a email di attivazione?
Posso fare qualcosa?

Scusate se per voi sono domande ovvie, ma io sono la solita novellina !

Grazie tante e saluto.

[keyascii]

Ciao anemone,
anche io tempo fa ho aperto un post identico e secondo me questa è una vulnerabilità di joomla che ancora non è stata risolta.
Io me ne trovo una ventina al giorno e mi scoccia abbastanza andare ocni volta a fare pulizia di rumenta.
Il captcha non serve a nulla visto che la registrazione avviene presumibilmente attraverso un SQL injection per cui i filtri non servono a nulla.
Chissà, forse un giorno qualcuno risolverà anche questo problema.

[ilvanni]

Prova anche ad usare un re-captcha.

[keyascii]

significa inserire 2 volte il captcha?
Comunque penso che non serva a nulla visto che ritengo più plausibile la teoria del sql injection ma proverò il re-captcha

[atlpaperino]

Salve , anche io mi trovo con lo stesso problema , 3/4 utenti registrati ( ovviamente sconosciuti) alcuni abilitati altri no  ( tutti senza nessun accesso e tutti Registred) . Volevo sapere se questo può portare alla diminuizione della sicurezza o si limita solo al fastidio di doverli cancellare ? Eè possibile che qualcuno riesca a regsitrarsi anche Author /Editor o solamente registrered??

Soluzioni ??

Ciao Marco

[keyascii]

in effetti per ora è solo un fastidio, anche se grande. Io me ne trovo più di 20/30 al giorno.

[mau_develop]

ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.

[anemone]

ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.

Ciao si, per registrarsi nel forum devono passare comunque per la registrazione in joomla, non so se è chiaro perchè mi spiego come una scatola da scarpe...
Si in effetti non è piacevole  soprattutto con quelli che risultano anche abilitati....

Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie.
Ciao ciao...
ps comunque tutto ciò non causa danni al sito, l'unico problema potrebbe essere lo spam attraverso messaggi sul forum o mp? ma è possibile lo spam se sono robot spammers e non persone fisiche? scusate ma io non capisco molte molte cose 

[keyascii]

Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.
La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.

ma è possibile lo spam se sono robot spammers e non persone fisiche?

è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me.

[anemone]

Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.

uh ok

La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me.

Beh, ma non c'è nulla da fare affinchè non possano più inserirsi neppure in queste tabelle? (di che tabelle stiamo parlando? neofita, ricordo )
Visto che l'argomento interessa a tanti e mi sembra piuttosto importante perchè non si trova una soluzione?

Fortunatamente per ora niente spam sul forum...ma in che senso se si accorgono che hai kunena? non capisco? attira gli spammers ?
Approfondiamo per favore.
Anche oggi altri di cui uno abilitato .
Come fare?
Grazie.

[ErikaB]

non vi posso aiutare a risolvere il problema, visto che anche io sono una novellina sempre in cerca di aiuto, ma mi associo a voi per sapere se esistono dei modi per prevenire tale problema.

[keyascii]

Salve anemone,
non vorrei scrivere delle regole con ciò che ho detto nel mio precedente post, ho solo detto quello che è capitato a me su un sito in cui ho (avevo) kunena.
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
Penso che il captcha e il re-captcha servano a poco perché nei miei siti utilizzo cb con il captcha, richiedendo agli utenti la compilazione del campo nome e cognome in due campi distinti, ma nonostante questa "forzatura", questi account incriminati, hanno tutti il nome utente identico al campo nominativo quindi bypassano evidentemente le procedure di registrazione utilizzate dal sito sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
Per esempio, se Mario Rossi volesse registrarsi al mio sito, dovrei trovarmi una situazione del genere:
Nominativo: Mario Rossi
Username: spippolo
invece mi ritrovo situazioni del tipo
Nominativo; mariedelexz
username: mariedelexz
Ho provato anche ad impedire la registrazione al sito se non accettata dall'amministratore ma gli spam entravano lo stesso.
Questo è quanto. Speriamo che prima o poi si possa risolvere questo fastidioso problema che finora però, a parte il mio problema avuto con kunena, sembra non creare ulteriori danni.

[mau_develop]

sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
----------------------------------------------------------------------------------------------------
no, solitamente sfruttano proprio le malconfigurazioni, quando vi sono più form di login come nel caso di un forum su joomla una delle due viene disabilitata.... ma i files restano ed è possibile richiamarli...
Inoltre se non ricordo male kunena aveva avuto un po di problemi ultimamente.

M.

[keyascii]

Ciao mau_develop,
nella mia più profonda ignoranza in materia, rispetto alla tua, debbo dissentire in quanto, il problema, anche se in misura molto ridotta, si presenta anche in un sito che ha solo il form di login del sito. Senza forum esterni o componenti interni.

[mau_develop]

allora, facciamo un po di chiarezza di quanto detto, perchè i problemi sono 2

1) Utenti che si registrano e rimangono NON abilitati
... è endemico, ...spam, capiterà sempre, il captcha recaptcha limita il problema ma non lo risolve, gli "umani" riusciranno sempre a farlo.

2) utenti registrati e approvati.
Se hai l'approvazione semplicemente cliccando sul link che ti arriva per mail,... beh disabilitalo!

Se invece deve essere assolutamente l'admin ad abilitare (perchè avete settato così) e loro riescono comunque a farlo ... allora c'è qualcosa che non va, ma deve essere oscura anche a joomla altrimenti saremmo alla .22.
Prova a segnalarlo sul loro forum di segnalazione bug.

M.

[bistick]

Ciao a tutti, io sono allo stremo delle forze. Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva. La mia situazione è tra le più complicate. Ho joomla, phpbb3 e coppermine (tutti alle ultime versioni) collegate con i bridge di Medhi. Non sono proprio acerbo di questioni di sicurezza (studio ing inf) ma non sono nemmeno un esperto. Gli attacchi avvengono ad ondate. In 10-20 minuti si registrano anche 5 o 6 utenti. Molti con email .ru, altri dalla cina, ma la stragrande maggioranza con email gmail (che sono le più semplici da farsi... maledetta Google)

Il Re-captcha l'ho installato ma non serve a niente (lo lascio lo stesso). Ora l'ultima prova che sto facendo è bloccare dalle impostazioni le registrazioni di nuovi utenti su Joomla. Se questo procedimento va a buon termine significherà che non si tratta di accessi diretti al db ma di qualche vulnerabilità del cms.

Con i bridge che ho installato, quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms). Sono passate due ore da quando ho bloccato le iscrizioni e ancora nessuno si è registrato. Vediamo fra un paio d'ore e poi cerchiamo di capire quali altri provvedimenti si devono prendere. A fra due ore :-D

[mau_develop]

Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva
------------------------------------------------------------------------------------------------------
... come deve avvenire l'attivazione? devi confermarla tu o basta che confermino il codice inviato al momento della registrazione??
se ti può far felice in un forum che gestisco ce ne sono almeno 200 al gg

quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms)
--------------------------------------------------------------------------------------------------------------------------------------------------
..mah... io invece li considererei, magari mi offrono qualche comodo passaggio verso joomla... sono sullo stesso server/dominio?

puoi anche duplicare il modulo di auth e personalizzarlo, se ti registri con una certa mail vai in prigione senza passare dal via.

M.

[bistick]

ciao mau_develop, stamattina ho dato una rapida occhiata al log di accesso. Tutte le richieste di registrazione facevano riferimento al componente com_user. Cmq vorrei aggiungere altri dettagli. Dopo che il mio sito http://www.sancostantinocalabro.net/ è stato segnalato come malevolo, mi sono dedicato ad aggiornare tutti i cms e anche i componenti degli stessi all'ultima versione e visto che c'ero anche la grafica. E' stata una faticaccia. Tutti i cms con mod che inevitabilmente ho perso, alcune delle quali sostituite con plugin alternativi.

Cmq prima dell'aggiornamento usavo RokBridge per joomla e phpbb3 e il bridge incluso in coppermine per collegare phpbb3 e la galleria. Ora siccome RokBridge consente una condivisione di utenti completamente trasparente, per induzione anche gli utenti della galleria potevano accedere a joomla (e viceversa). Questo sistema mi soddisfava parecchio ed è per questo motivo che non ho mai aggiornato, perchè non volevo scombinare le configurazioni (molto stupidamente aggiungerei io). L'unico problema di questa configurazione era l'interfaccia grafica. Per ogni cms ho dovuto impostare a mano lo steso template. Il risultato raggiunto era di tutto rispetto, ma ogni piccola modifica alla grafica andava ripetuta per tre (joomla, forum e galleria).

Una volta aggiornato, ho scoperto scoperto i bridge di Medhi che oltre alla condivisione degli utenti consentono di visualizzare coppermine e phpbb3 nella stessa grafica di joomla in maniera automatica. Al momento sembrano funzionare abbastanza bene (non benissimissimo) e sperò di risolvere alcuni problemini per i quali ho già individuato una possibile soluzione.

Tanto per aggravare ulteriormente la situazione, prima dell'ultimo aggiornamento/modifica, avevo anche OpenX che credo sia stata la causa della segnalazione come sito malevolo. Infatti, avendolo eliminato e fatto la segnalazione, il sito risulta pulito (a dire la verità ora che scrivo mi rendo conto che l'ho lasciato nella stessa cartella ma non l'ho ancora eliminato del tutto... corro a cancellare la cartella e le cartelle dal db...)

Ulteriore dettaglio. Con RokBridge la registrazione poteva essere fatta da entrambe le piattaforme (joomla e phpbb3). Infatti fino a 2 settimane fa mi arrivavano le notifiche via email di chi si registrava su joomla e di chi lo faceva su phpbb3 (il mio sito era una donnaccia, l'accesso era multiplo). Da notare quindi che in qualche modo le registrazioni sembravano avvenire in maniera pseudo-normale  e che quindi il sistema le riconosceva come reali registrazioni e me le notificava. Ora che ho aggiornato le segnalazioni arrivano solo fronte joomla. Questo particolare delle mail non è da sottovalutare, perchè se le registrazioni fossero avvenute come "insert" via sql, il cms non me le avrebbe potute notificare.

[bistick]

ah dimenticavo: naturalmente tutto si trova sullo stesso server, e sullo stesso db (stesse credenziali per accedervi)

[bistick]

Codice: [Seleziona]

Line 11926: 91.201.66.90 - - [04/Nov/2010:18:15:42 -0500] "GET /component/user/?task=register HTTP/1.0" 200 40230 "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11942: 91.201.66.90 - - [04/Nov/2010:18:15:49 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11968: 91.201.66.90 - - [04/Nov/2010:18:15:50 -0500] "GET /index.php HTTP/1.0" 200 37398 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11991: 91.201.66.90 - - [04/Nov/2010:18:15:51 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33335 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12010: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12025: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "GET /forum/ HTTP/1.0" 200 72659 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12028: 91.201.66.90 - - [04/Nov/2010:18:15:56 -0500] "GET /forum/index.php HTTP/1.0" 200 68431 "http://www.sancostantinocalabro.net/forum/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12031: 91.201.66.90 - - [04/Nov/2010:18:15:57 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12034: 91.201.66.90 - - [04/Nov/2010:18:15:59 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33313 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12037: 91.201.66.90 - - [04/Nov/2010:18:16:00 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33318 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12040: 91.201.66.90 - - [04/Nov/2010:18:16:02 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51397 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12041: 91.201.66.90 - - [04/Nov/2010:18:16:05 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbooki&id=1&Itemid=64&phocasid=6c99d6fb10ff2282a3921c5fee1dd034 HTTP/1.0" 200 4029 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12044: 91.201.66.90 - - [04/Nov/2010:18:16:06 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 54194 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"

Ho lasciato per l'intero pomeriggio le registrazioni sul sito bloccate. Verso mezzanotte dalle impostazioni consento a nuovi utenti di registrarsi. Nemmeno 10 minuti che mi arriva subito la prima mail di un nuovo utente. Sono sicuro che l'ip è quello indicato nel log. Intorno alle 00.15 un host di origine russa (visto sulla mappa) si collega al sito e quelle che vedete sono le tracce che ha lasciato.
Questi sono i suoi dati:

Nome - Mynccrinymn
E-mail - bostvost@mail.ru
Nome utente - Mynccrinymn

Addirittura guardando nel log mi accorgo che il geustbook è bucabile e provvedo subito ad aggiornare. Ho trovato pubblicità sul ***! Questo maledetto in meno di 25 secondi si è registrato, loggato e mi ha sporcato il sito...