Joomla.it Forum

Non solo Joomla... => Sicurezza => : anemone 29 Oct 2010, 08:45:41

: SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 29 Oct 2010, 08:45:41
Ciao a tutti!
Col mio sito joomla, ho un problema, chiedo delucidazioni a voi; siamo una 50ina di utenti veri, e abilitati, ogni tanto però nel backend di joomla risultano spambot non abilitati: li riconosco dall'indirizzo e mail sospetto che cerco con google e che risulta tra gli indirizzi di spam bot.

Un paio di utenti spam però si sono anche abilitati (sempre stranieri provenienti da chissà dove) e risultavano anche nel mio forum kunena...e io ho provveduto a cancellarli sempre, ovviamente.

Mi chiedevo per favore come fosse possibile, dato che ho un captcha per registrarsi; in più com'è possibile che gli SpamBot si abilitino se è necessario rispondere a email di attivazione?
Posso fare qualcosa?

Scusate se per voi sono domande ovvie, ma io sono la solita novellina ;) !

Grazie tante e saluto.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 30 Oct 2010, 17:27:43
Ciao anemone,
anche io tempo fa ho aperto un post identico e secondo me questa è una vulnerabilità di joomla che ancora non è stata risolta.
Io me ne trovo una ventina al giorno e mi scoccia abbastanza andare ocni volta a fare pulizia di rumenta.
Il captcha non serve a nulla visto che la registrazione avviene presumibilmente attraverso un SQL injection per cui i filtri non servono a nulla.
Chissà, forse un giorno qualcuno risolverà anche questo problema.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: ilvanni 30 Oct 2010, 20:44:22
Prova anche ad usare un re-captcha.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 30 Oct 2010, 23:11:20
significa inserire 2 volte il captcha?
Comunque penso che non serva a nulla visto che ritengo più plausibile la teoria del sql injection ma proverò il re-captcha
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: atlpaperino 31 Oct 2010, 08:37:45
Salve , anche io mi trovo con lo stesso problema , 3/4 utenti registrati ( ovviamente sconosciuti) alcuni abilitati altri no  ( tutti senza nessun accesso e tutti Registred) . Volevo sapere se questo può portare alla diminuizione della sicurezza o si limita solo al fastidio di doverli cancellare ? Eè possibile che qualcuno riesca a regsitrarsi anche Author /Editor o solamente registrered??

Soluzioni ??

Ciao Marco
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 31 Oct 2010, 09:10:20
in effetti per ora è solo un fastidio, anche se grande. Io me ne trovo più di 20/30 al giorno.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 31 Oct 2010, 09:22:07
ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 31 Oct 2010, 09:31:57
ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.

Ciao si, per registrarsi nel forum devono passare comunque per la registrazione in joomla, non so se è chiaro perchè mi spiego come una scatola da scarpe... ;D
Si in effetti non è piacevole  >:( >:( >:( soprattutto con quelli che risultano anche abilitati....:(

Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie.
Ciao ciao...
ps comunque tutto ciò non causa danni al sito, l'unico problema potrebbe essere lo spam attraverso messaggi sul forum o mp? ma è possibile lo spam se sono robot spammers e non persone fisiche? scusate ma io non capisco molte molte cose  :P
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 31 Oct 2010, 09:53:17
Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.
La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.
ma è possibile lo spam se sono robot spammers e non persone fisiche?
è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me (http://pendolari.org/forum2/vecchio-forum.html?func=showcat&catid=2).
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 01 Nov 2010, 22:38:40
Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.
uh ok :)

La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me (http://pendolari.org/forum2/vecchio-forum.html?func=showcat&catid=2).

Beh, ma non c'è nulla da fare affinchè non possano più inserirsi neppure in queste tabelle? (di che tabelle stiamo parlando? ;D 8) neofita, ricordo :))
Visto che l'argomento interessa a tanti e mi sembra piuttosto importante perchè non si trova una soluzione?

Fortunatamente per ora niente spam sul forum...ma in che senso se si accorgono che hai kunena? non capisco? attira gli spammers ;D?
Approfondiamo per favore.
Anche oggi altri di cui uno abilitato :( .
Come fare?
Grazie.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: ErikaB 02 Nov 2010, 00:04:32
non vi posso aiutare a risolvere il problema, visto che anche io sono una novellina sempre in cerca di aiuto, ma mi associo a voi per sapere se esistono dei modi per prevenire tale problema.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 02 Nov 2010, 09:51:03
Salve anemone,
non vorrei scrivere delle regole con ciò che ho detto nel mio precedente post, ho solo detto quello che è capitato a me su un sito in cui ho (avevo) kunena.
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
Penso che il captcha e il re-captcha servano a poco perché nei miei siti utilizzo cb con il captcha, richiedendo agli utenti la compilazione del campo nome e cognome in due campi distinti, ma nonostante questa "forzatura", questi account incriminati, hanno tutti il nome utente identico al campo nominativo quindi bypassano evidentemente le procedure di registrazione utilizzate dal sito sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
Per esempio, se Mario Rossi volesse registrarsi al mio sito, dovrei trovarmi una situazione del genere:
Nominativo: Mario Rossi
Username: spippolo
invece mi ritrovo situazioni del tipo
Nominativo; mariedelexz
username: mariedelexz
Ho provato anche ad impedire la registrazione al sito se non accettata dall'amministratore ma gli spam entravano lo stesso.
Questo è quanto. Speriamo che prima o poi si possa risolvere questo fastidioso problema che finora però, a parte il mio problema avuto con kunena, sembra non creare ulteriori danni.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 02 Nov 2010, 09:58:04
sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
----------------------------------------------------------------------------------------------------
no, solitamente sfruttano proprio le malconfigurazioni, quando vi sono più form di login come nel caso di un forum su joomla una delle due viene disabilitata.... ma i files restano ed è possibile richiamarli...
Inoltre se non ricordo male kunena aveva avuto un po di problemi ultimamente.

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: keyascii 02 Nov 2010, 10:23:51
Ciao mau_develop,
nella mia più profonda ignoranza in materia, rispetto alla tua, debbo dissentire in quanto, il problema, anche se in misura molto ridotta, si presenta anche in un sito che ha solo il form di login del sito. Senza forum esterni o componenti interni.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 02 Nov 2010, 11:28:31
allora, facciamo un po di chiarezza di quanto detto, perchè i problemi sono 2

1) Utenti che si registrano e rimangono NON abilitati
... è endemico, ...spam, capiterà sempre, il captcha recaptcha limita il problema ma non lo risolve, gli "umani" riusciranno sempre a farlo.

2) utenti registrati e approvati.
Se hai l'approvazione semplicemente cliccando sul link che ti arriva per mail,... beh disabilitalo!

Se invece deve essere assolutamente l'admin ad abilitare (perchè avete settato così) e loro riescono comunque a farlo ... allora c'è qualcosa che non va, ma deve essere oscura anche a joomla altrimenti saremmo alla .22.
Prova a segnalarlo sul loro forum di segnalazione bug.

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: bistick 04 Nov 2010, 14:53:33
Ciao a tutti, io sono allo stremo delle forze. Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva. La mia situazione è tra le più complicate. Ho joomla, phpbb3 e coppermine (tutti alle ultime versioni) collegate con i bridge di Medhi. Non sono proprio acerbo di questioni di sicurezza (studio ing inf) ma non sono nemmeno un esperto. Gli attacchi avvengono ad ondate. In 10-20 minuti si registrano anche 5 o 6 utenti. Molti con email .ru, altri dalla cina, ma la stragrande maggioranza con email gmail (che sono le più semplici da farsi... maledetta Google)

Il Re-captcha l'ho installato ma non serve a niente (lo lascio lo stesso). Ora l'ultima prova che sto facendo è bloccare dalle impostazioni le registrazioni di nuovi utenti su Joomla. Se questo procedimento va a buon termine significherà che non si tratta di accessi diretti al db ma di qualche vulnerabilità del cms.

Con i bridge che ho installato, quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms). Sono passate due ore da quando ho bloccato le iscrizioni e ancora nessuno si è registrato. Vediamo fra un paio d'ore e poi cerchiamo di capire quali altri provvedimenti si devono prendere. A fra due ore :-D
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 04 Nov 2010, 15:06:38
Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva
------------------------------------------------------------------------------------------------------
... come deve avvenire l'attivazione? devi confermarla tu o basta che confermino il codice inviato al momento della registrazione??
se ti può far felice in un forum che gestisco ce ne sono almeno 200 al gg

quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms)
--------------------------------------------------------------------------------------------------------------------------------------------------
..mah... io invece li considererei, magari mi offrono qualche comodo passaggio verso joomla... sono sullo stesso server/dominio?

puoi anche duplicare il modulo di auth e personalizzarlo, se ti registri con una certa mail vai in prigione senza passare dal via.

M.

: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: bistick 04 Nov 2010, 15:55:32
ciao mau_develop, stamattina ho dato una rapida occhiata al log di accesso. Tutte le richieste di registrazione facevano riferimento al componente com_user. Cmq vorrei aggiungere altri dettagli. Dopo che il mio sito http://www.sancostantinocalabro.net/ è stato segnalato come malevolo, mi sono dedicato ad aggiornare tutti i cms e anche i componenti degli stessi all'ultima versione e visto che c'ero anche la grafica. E' stata una faticaccia. Tutti i cms con mod che inevitabilmente ho perso, alcune delle quali sostituite con plugin alternativi.

Cmq prima dell'aggiornamento usavo RokBridge per joomla e phpbb3 e il bridge incluso in coppermine per collegare phpbb3 e la galleria. Ora siccome RokBridge consente una condivisione di utenti completamente trasparente, per induzione anche gli utenti della galleria potevano accedere a joomla (e viceversa). Questo sistema mi soddisfava parecchio ed è per questo motivo che non ho mai aggiornato, perchè non volevo scombinare le configurazioni (molto stupidamente aggiungerei io). L'unico problema di questa configurazione era l'interfaccia grafica. Per ogni cms ho dovuto impostare a mano lo steso template. Il risultato raggiunto era di tutto rispetto, ma ogni piccola modifica alla grafica andava ripetuta per tre (joomla, forum e galleria).

Una volta aggiornato, ho scoperto scoperto i bridge di Medhi che oltre alla condivisione degli utenti consentono di visualizzare coppermine e phpbb3 nella stessa grafica di joomla in maniera automatica. Al momento sembrano funzionare abbastanza bene (non benissimissimo) e sperò di risolvere alcuni problemini per i quali ho già individuato una possibile soluzione.

Tanto per aggravare ulteriormente la situazione, prima dell'ultimo aggiornamento/modifica, avevo anche OpenX che credo sia stata la causa della segnalazione come sito malevolo. Infatti, avendolo eliminato e fatto la segnalazione, il sito risulta pulito (a dire la verità ora che scrivo mi rendo conto che l'ho lasciato nella stessa cartella ma non l'ho ancora eliminato del tutto... corro a cancellare la cartella e le cartelle dal db...)

Ulteriore dettaglio. Con RokBridge la registrazione poteva essere fatta da entrambe le piattaforme (joomla e phpbb3). Infatti fino a 2 settimane fa mi arrivavano le notifiche via email di chi si registrava su joomla e di chi lo faceva su phpbb3 (il mio sito era una donnaccia, l'accesso era multiplo). Da notare quindi che in qualche modo le registrazioni sembravano avvenire in maniera pseudo-normale  e che quindi il sistema le riconosceva come reali registrazioni e me le notificava. Ora che ho aggiornato le segnalazioni arrivano solo fronte joomla. Questo particolare delle mail non è da sottovalutare, perchè se le registrazioni fossero avvenute come "insert" via sql, il cms non me le avrebbe potute notificare.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: bistick 04 Nov 2010, 16:03:22
ah dimenticavo: naturalmente tutto si trova sullo stesso server, e sullo stesso db (stesse credenziali per accedervi)
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: bistick 05 Nov 2010, 00:54:00
:
Line 11926: 91.201.66.90 - - [04/Nov/2010:18:15:42 -0500] "GET /component/user/?task=register HTTP/1.0" 200 40230 "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11942: 91.201.66.90 - - [04/Nov/2010:18:15:49 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11968: 91.201.66.90 - - [04/Nov/2010:18:15:50 -0500] "GET /index.php HTTP/1.0" 200 37398 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11991: 91.201.66.90 - - [04/Nov/2010:18:15:51 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33335 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12010: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12025: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "GET /forum/ HTTP/1.0" 200 72659 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12028: 91.201.66.90 - - [04/Nov/2010:18:15:56 -0500] "GET /forum/index.php HTTP/1.0" 200 68431 "http://www.sancostantinocalabro.net/forum/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12031: 91.201.66.90 - - [04/Nov/2010:18:15:57 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12034: 91.201.66.90 - - [04/Nov/2010:18:15:59 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33313 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12037: 91.201.66.90 - - [04/Nov/2010:18:16:00 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33318 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12040: 91.201.66.90 - - [04/Nov/2010:18:16:02 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51397 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12041: 91.201.66.90 - - [04/Nov/2010:18:16:05 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbooki&id=1&Itemid=64&phocasid=6c99d6fb10ff2282a3921c5fee1dd034 HTTP/1.0" 200 4029 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12044: 91.201.66.90 - - [04/Nov/2010:18:16:06 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 54194 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"

Ho lasciato per l'intero pomeriggio le registrazioni sul sito bloccate. Verso mezzanotte dalle impostazioni consento a nuovi utenti di registrarsi. Nemmeno 10 minuti che mi arriva subito la prima mail di un nuovo utente. Sono sicuro che l'ip è quello indicato nel log. Intorno alle 00.15 un host di origine russa (visto sulla mappa) si collega al sito e quelle che vedete sono le tracce che ha lasciato.
Questi sono i suoi dati:

Nome - Mynccrinymn
E-mail - bostvost@mail.ru
Nome utente - Mynccrinymn

Addirittura guardando nel log mi accorgo che il geustbook è bucabile e provvedo subito ad aggiornare. Ho trovato pubblicità sul ***! Questo maledetto in meno di 25 secondi si è registrato, loggato e mi ha sporcato il sito...
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: bistick 05 Nov 2010, 01:13:29
E qui ci sono altri due esempi. Stessa tecnica...

:
Line 61: 91.201.66.4 - - [04/Nov/2010:18:57:43 -0500] "GET /component/user/?task=register HTTP/1.0" 200 39518 "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 62: 91.201.66.4 - - [04/Nov/2010:18:57:55 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 65: 91.201.66.4 - - [04/Nov/2010:18:57:56 -0500] "GET /index.php HTTP/1.0" 200 37394 "http://www.sancostantinocalabro.net/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 68: 91.201.66.4 - - [04/Nov/2010:18:57:58 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33328 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 69: 91.201.66.4 - - [04/Nov/2010:18:58:00 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 72: 91.201.66.4 - - [04/Nov/2010:18:58:01 -0500] "GET /forum/ HTTP/1.0" 200 72532 "http://www.sancostantinocalabro.net/forum/" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 75: 91.201.66.4 - - [04/Nov/2010:18:58:03 -0500] "GET /forum/index.php HTTP/1.0" 200 68409 "http://www.sancostantinocalabro.net/forum/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 78: 91.201.66.4 - - [04/Nov/2010:18:58:05 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 81: 91.201.66.4 - - [04/Nov/2010:18:58:07 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33269 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 84: 91.201.66.4 - - [04/Nov/2010:18:58:08 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33266 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 87: 91.201.66.4 - - [04/Nov/2010:18:58:10 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51050 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 90: 91.201.66.4 - - [04/Nov/2010:18:58:12 -0500] "GET /component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a HTTP/1.0" 200 48874 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 93: 91.201.66.4 - - [04/Nov/2010:18:58:14 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 56250 "http://www.sancostantinocalabro.net/component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a" "Opera/9.0 (Windows NT 5.1; U; en)"


Line 37: 67.20.57.148 - - [04/Nov/2010:18:55:30 -0500] "GET /forum/ HTTP/1.0" 200 72536 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 40: 67.20.57.148 - - [04/Nov/2010:18:55:33 -0500] "GET /forum/index.php HTTP/1.0" 200 68401 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 41: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /forum/ucp.php?mode=register HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/ucp.php?mode=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 44: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /index.php?option=com_user&task=register HTTP/1.0" 200 39504 "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 48: 67.20.57.148 - - [04/Nov/2010:18:56:31 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 51: 67.20.57.148 - - [04/Nov/2010:18:56:32 -0500] "GET /index.php HTTP/1.0" 200 37332 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 52: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "POST /index.php HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 55: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "GET /index.php HTTP/1.0" 200 37278 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: Npaquito 05 Nov 2010, 01:33:51
...Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie....
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: Npaquito 05 Nov 2010, 01:41:06
...
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
...
Hola

Correzione: Le tabelle che joomla utilizza per la registrazione degli utenti, sono xxx_core_acl_aro e xxx_users, il jos lo scegli te nel tuo database perche non vuoi cambiarlo e, nel caso del quale stiamo parlando, non mi sembra un dettaglio di poco conto
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 06 Nov 2010, 18:40:56
E qui ci sono altri due esempi. Stessa tecnica...
---------------------------------------------------------------
ti sei accorto che "mirano" tutti al forum? ...ammesso che la cosa riesca (non ho un forum per provare e nn mi va di rompere le scatoe ad altri) riesce sfruttando la registrazione al forum.

la stringa sul return che vedi ripetuta spesso L2ZvcnVtLw non è altro che un base64 di /forum/

Io comunque non ho ancora capito come avete la registrazione... chi la conferma? l'utente col link spedito per posta alla registrazione? l'administrator?

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 09 Nov 2010, 10:16:41
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...

uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :) non avevo messo alcun recaptcha cmq, avevo capito nella mia ignoranza che non serviva...invece guardo subito il plugin per il BAN :)

Per rispondere a Maudevelop io ho lasciato la registrazione con mail che invia link che basta attivare perchè  per ora che ho pochi iscritti e non sono sempre on-line, per controllare le mail, la mancata registrazione automatica istantanea al ricevimento mail potrebbe far indispettire gli iscritti, o no? è meglio attivarla secondo te da parte dell'amminitratore, vero? i grossi forum non lo fanno, in genere bsta attivare il link e non attendere conferma dall'admin, perchè uno si iscrive, controlla subito la mail e si registra...almeno in genere io faccio così ;)
Che dite?
GRAZTE (che discussione interessante comunque ;))
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 09 Nov 2010, 10:25:23
..invece guardo subito il plugin per il BAN
--------------------------------------------------------
questa è una cosa da fare con molta moderazione e solitamente quando il problema viene da due o tre ip, se ogni volta è uno diverso hai voglia a bannare... vuoi bannare tutti gli user di Tor? ... tutti i proxi che ci sono in rete?

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: Npaquito 09 Nov 2010, 10:49:33
uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :)...
Hola guapa

Grazieee ricambio il bacio, non dar troppa retta a mau, è geloso perche non lo hai baciato ;D ;D ;D
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 09 Nov 2010, 11:37:02
ih ih

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

questo l'avevo capito mau grazie a te, ma mi chiedevo cosa è meglio o no fare...lasciare l'attivazione via link oppure mettere il blocco admin...se può influenzare le registrazione dei veri utenti o meno, visto il tempo esiguo e l'impossibilità di essere online tutto il giorno (notte compresa ;) ) e quindi attivare al più presto gli utenti ...
che ne dici/te?

baciotto anche a te  ;D
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 09 Nov 2010, 16:02:45
A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.
Lo spam delle caselle mail e dei moduli di registrazione è assimilabile alla casella della posta condominiale, come puoi evitare che venga infilato un volantino e permettere che invece ti arrivi il giornale?
Ho visto mille trucchi o presunti tali, ma non ho mai visto soluzioni, così come per lo spam nei forum.

Anche quì potrebbe esistere lo stesso problema, nessuno ti evita di registrarti come gbkxz e riempire il forum di post su medicinali... rimarrebbe finchè un buon mod non cancella tutto.

Tutto ciò che ci offre la tecnologia è il captcha, ovvero non puoi scavallarti la fatica di far la tua registrazione a manina... ti stancherai prima o poi...

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 10 Nov 2010, 09:22:12
Beh grazie Mau non potevi scrivere miglior risposta ;)

A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.


in fondo è come hai detto tu, se si tratta solo di fastidi e non di danni, pace :) si fa quel che si può :)
Grazie e alla prossima ;D
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: MITdesign 26 Nov 2010, 13:27:00
Che io sappia Joomla per l'anti Spam non è il massimo, ma rimanendo su una linea generale quoto mau. Puoi prendere una Ferrari come una Cinquecento, magari la Ferrari si romperà di meno, ma comunque si romperà. Penso sia lo stesso con Internet.
E.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: daniele0 08 Dec 2010, 15:51:34
Mi aggiungo anche io con lo stesso problema di registrazioni spam

Ho notato pure io che non ricevendo nessuna vista (cosi almeno mi dice ) dalle 2 alle 5 di notte, ho avuto nuove e sempre piu numerose registrazioni spam(ps continuano tutt'ora).
Sembra anche a me quindi che siano create direttamente dal database.
Adesso sto cercando vulnerabilità nelle estensioni
Faccio sapere se scopro qualcosa.

se può essere di aiuto
sito in joomla versione 1.22 ita
phpbb 3.08 con bridge jfusion(master in joomla )
adsmanager 2.5
osolcaptcha attivato
register global on   :'(

Aggiornamento al 08.12
esempi di registrazione spam

Nome - 03OYilana
E-mail - ar.i.n.ochk.ave.st.e.lia.nov.a1.9.73@gmail.com
Nome utente - 03OYilana

Nome - 09GGmelody
E-mail - arin.o.ch.k.a.vest.e.li.a.n.ova.1973@gmail.com
Nome utente - 09GGmelody

Nome - 02OBgil
E-mail - ari.n.oc.h.ka.v.es.t.e.li.a.nova.1973@gmail.com
Nome utente - 02OBgil

Nome - 09FSmarlana
E-mail - a.r.i.n.ochkav.e.st.elia.n.ov.a.1.973@gmail.com
Nome utente - 09FSmarlana

Nome - 04DPsherri
E-mail - ar.i.noch.ka.ve.st.e.l.i.a.n.o.v.a.19.7 3@gmail.com
Nome utente - 04DPsherri

Nome - 01LVcharla
E-mail - ar.i.n.o.ch.k.a.ves.teli.anova19.73@gmail.com
Nome utente - 01LVcharla


Non ho trovato estensioni affette da vulnerabilità e, posso ipotizzare che vengono creati direttamente dal database.

Possibili soluzioni che pensavo:
1 installare plugin come Registration Validator Plugin
2 Cambiare il suffisso delle tabelle  (magari se è un attacco mysql injection forse si risolve )
3 Marco sql injection (non lo conosco ma magari aiuta a risolvere sempre se è un attacco mysql tra cui poò difendere )
4 quelli come me che hanno  jfusion o bridge in generale , provare a disattivare i dual login e registration magari è proprio li che cè una brutta configurazione che viene sfruttata





: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: anemone 20 Dec 2010, 09:47:21
Ripeto che io sono ignorantissima in materia, ma ho il sito ai minimi termini pochissimi componenti e plugin, quelli già presenti in joomla + kunena e basta, praticamente. Sito semplice e facile da gestire, così come da fruire per chi si iscrive :)
Tornando al problema sono secondo me persone fisiche quelle che si loggano e normali spam bot quelli che si registrano, ma poi non risultano abilitati. Ho visto che se li cancellavo dalla lista utenti dopo un po' me li trovavo registrati di nuovo così molto semplicemente vado nella lista utenti dal backend, cambio il loro nome utente, ma lascio mail e blocco utente, così quel determinato spammer non può più perlomeno iscriversi con la stessa mail, percè è già iscritto, una sorta di ban senza avere alcun plugin!? E' un'idea stupida?, che ne pensate?
Ciao ciao :)
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 20 Dec 2010, 18:55:45
le mail sono generate da uno script non sono mail reali

M.
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: Tasto Bianco 11 Jan 2011, 02:36:55
Volevo fare una domanda....un sito bucato come si riconosce?
Grazie
: Re:SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha
: mau_develop 11 Jan 2011, 09:59:26
beh... non sei molto in topic col post..
cmq http://forum.joomla.it/index.php/topic,117151.0.html , punto1.

Secondo me un sito bucato ... non si dovrebbe riconoscere :) ...altrimenti finisce il gioco.

M.