Utenti iscritti senza modulo registrazione

[d-force]

Salve a tutti,


ultimamente mi è capitato di essermi ritrovato un paio di utenti iscritti al mio sito Joomla senza aver mai pubblicato il modulo di registrazione. Ovviamente da pannello di controllo non erano attivati.


Premetto che si tratta di un sito joomla 2.5.19 (ultimo aggiornamento) e che tutte le estensioni sono state aggiornate.


Come è possibile che si siano iscritti? Possono aver lasciato dei malware anche se non li ho mai abilitati?


Grazie a tutti per le vostre risposte!


d-force

[mmleoni]

ciao d-force,
 ti ricordo che esiste anche com_user cui si appoggia il modulo.
per il resto è difficile dare una risposta senza visionare attentamente il sistema. posso solo consigliarti di tenerlo d' occhio nei prossimi giorni ponendo particolare attenzione ad eventuali bounces di mail inviate dal sito.

aggiornato non significa sicuro, consiglio di installare una estensione di protezione dai comuni errori di programmazione. questa è quella che ho scritto io, e funziona:
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

ciao,
marco

[d-force]

Ciao mmleoni, scusa se rispondo solo adesso.


Come faccio  a vedere le eventuali "bounces di email inviate dal sito"



Ho visto la tua estensione e sembra interessante oltre che free  , proverò ad installarla.


In questo momento per evitare "intrusi" ho disabilitato la possibilità di registrazione utenti (da menu utenti > opzioni).


Ciao


d-force

[mmleoni]

facendo attenzione alle mail 'strane' che ti arrivano con messaggi di errore vari. guarda il sorgente della mail e nell'header verifica da che non vengano dal tuo server.


ciao

[56francesco]

ultimamente mi è capitato di essermi ritrovato un paio di utenti iscritti al mio sito Joomla senza aver mai pubblicato il modulo di registrazione. Ovviamente da pannello di controllo non erano attivati.

è capitato, anzi è ricapitato pure a me pochi giorni fa con la 2.5.19
!!
non ci volevo credere!!!
quelli dei piani alti vorrebbero reinventare il s.o.  ma una registrazione decente non riescono a scriverla.

Funziona così:
aprono la pagina registrazione di joomla e quindi copiano ed incollano il codice della pagina della registrazione in una loro ulteriore pagina.
poi la usano  per iscriversi sui siti bypassando chapca e tutto l'ambaradan dei controlli.

Sono spammer di m!
e non sono mica russi o africani!  sono italianissimi, spammer di m. che si registrano e poi attaccano gli account ai loro software di m.      ma tanti restano li, inattivi, comunque si sono registrati e comunque possono accedere quanto gli pare, il perchè lo sanno essi, magari il controllo delle opninioni? magari lo spacciarsi domani per 100 utenti mentre invece sono solo uno?  ci possono essere mille motivi comunque una cosa è certa: lo fanno per soldi.

diversi li ho tracciati, con un paio ci ho pure dialogato via email...   
noooo iooo e quanto mai?  no, no, no, mi sono registrato normalmente perchè il sito era interessante!!
......
saranno pure tra noi?  ci campano con quelle cose quindi di certo ci seguono ogni tanto.
fate che non sia mai troppo facile la loro vita.

[mmleoni]

Funziona così:
aprono la pagina registrazione di joomla e quindi copiano ed incollano il codice della pagina della registrazione in una loro ulteriore pagina.
poi la usano  per iscriversi sui siti bypassando chapca e tutto l'ambaradan dei controlli.

così non funziona, per tre motivi:
1. se la registrazione degli utenti è disabilitata la pagina di registrazione non viene caricata. ogni tentativo di usare la user view registration causa un redirect alla view login


2. i captcha sono validati lato server, se così non è avete sbagliato a configurarli (o ne avete preso uno della mutua)


3. il token della form non sarebbe valido, non corrispondendo più a quello di sessione.


ai programmatori dico solo questo: guardate i controllers UsersControllerRegistration e UsersControllerUser, perché il metodo register è implementato anche nel secondo? e come è implementato? il check della possibilità di registrare gli tenti non sarebbe dovuto essere nel metodo check della table? ... ho già detto troppo.


capito il perché di quanto dicevo sopra?


ciao,
marco

[56francesco]

pochi giorni fa, con la 2.5.19   ho trovato un utente che si era registrato e non aveva neanche la categoria utente, ovviamente la prima cosa che ho fatto è stato eliminarlo.
il sito è on line da diversi anni e nessuno ha cambiato niente nella config, è stato sempre correttamente aggiornato.

marco meloni,  una cosa è quello che tu dici o pensi che dovrebbe essere, altra cosa quello che è.
i fatti quelli sono, con la 2.5.19  si registrano (di nuovo) gli spammer come se fosse un colabrodo.


concordo, ma che dire?  su joomla.org  consigliano cose, qui si dice, anzi si predicano cose diverse oppure l'esatto contrario.
i miei conoscenti se gli parlo di joomla si mettono oramai a ridere,  mio figlio ieri mi diceva che era urgente cominciare a passare ad altro cms...
è una situazione tipica, anzi classica, un esempio da manuale da studiare nelle università  ma non chiedermi di cosa.

[mmleoni]

marco meloni,  una cosa è quello che tu dici o pensi che dovrebbe essere, altra cosa quello che è.
i fatti quelli sono, con la 2.5.19  si registrano gli spammer come se fosse un colabrodo.

e dagliele, non sono un cocomero    leoni, non meloni!!


mi sa che non hai capito ciò che ho detto, magari era un poco criptico e rivolto agli sviluppatori, ma di certo non potevo dire di più...


per il resto, dopo due decenni che mi occupo di sicurezza informatica non conosco un cms non bucabile... mettiti l'anima in pace, gente come me, se vuole, ti buca qualsiasi cosa...


il problema è quando ciò che trovano lo dicono prima al mondo che agli sviluppatori, o come nel caso di joomla, quando gli sviluppatori ci mettono un mese a rilasciare una patch...


ciao,
marco

[mmleoni]

comunque, per chi non è un hacker (nel senso buono del termine), ecco la configurazione consigliata per com_users se non deve esserci la registrazione utenti:



Consenti registrazione utenti: No
Invia Password: No
Attivazione nuovi utenti: nessuno
Mail di notifica agli Amministratori: Sì


ciao,
marco

[56francesco]

 
oppure iscrizione a pagamento, basta un solo euro e si tengono lontani.
sarà per questo che spammer e consorterie varie  si scagliano come tigre feroci su tutto ciò che comporta un pagamento?   (che non finisce nelle loro saccoccie, ovvio)