Post

1

Sicurezza / Re:rendere sicuro joomla al 100%

« il: 02 Ott 2009, 13:24:30 »

mai cambiate!
Le password FTP e DB mi sono state date dal provider e non le ho mai cambiate.
Oggi ho fatto richiesta per la sostituzione, ed ho scoperto ceh per l'ftp c'è una procedura un pò rognosa, mentre per il db bisogna addirittura mandare un modulo via fax, con allegato un documento di identità.
Farò anche questo, poi stiamo a vedere...

2

Sicurezza / Re:rendere sicuro joomla al 100%

« il: 02 Ott 2009, 11:13:43 »

umm...
l'altro giorno mi hanno  bucato due siti (sulla stessa macchina j1.5.11), dopo il ripristino e l'aggiornamento all'ultima versione di joomla,  ho utilizzato una funzione messa a disposizione del provider, che permette di impostare una richiesta password per poter accedere ad una determinata cartella dello spazio web.
L'ho usata per la cartella administrator...
Stamattina ho trovato la stessa sorpresa dell'altro giorno, tutti i file index.php e index.html sostituiti e nella root anche il .htaccess modificato.

3

Sicurezza / [Non del tutto risolto] Rifiutare registrazione utente, che usa email temporanea

« il: 16 Set 2009, 18:13:36 »

Ciao, è la prima volta che scrivo sul forum.

Io sostituirei le varie righe (per esempio)

Codice: [Seleziona]

strpos($email,"yopmail.com")  ||

con

Codice: [Seleziona]

(eregi("^[_\.0-9a-z-]+@yopmail.com",$email)) ||

In questo modo il controllo non è "case sensitive" ed in più risolveresti anche un altro piccolo problema che potrebbe verificarsi in casi particolari come per esempio email del tipo

Codice: [Seleziona]

mailinator.com@mailinator.com
yopmail.com@yopmail.com

che aggirerebbero il controllo.

Ciao 

eccolo qui:

Codice: [Seleziona]

       // ##### BEGIN: SPAM DOMAIN FILTER #####
      // Kick out spam domains
      $email = $user->get('email');
      if ( (eregi("^[_\.0-9a-z-]+@gawab.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@mail.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@spambox.us",$email)) ||
           (eregi("^[_\.0-9a-z-]+@mailinator.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@dodgeit.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@mytrashmail.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@spamcero.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@jetable.org",$email)) ||
           (eregi("^[_\.0-9a-z-]+@pookmail.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@mailater.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@guerrillamail.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@spamfree24.org",$email)) ||
           (eregi("^[_\.0-9a-z-]+@nobulk.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@temporaryinbox.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@spam.la",$email)) ||
           (eregi("^[_\.0-9a-z-]+@tempemail.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@tempinbox.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@list.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@bk.ru") ||
           (eregi("^[_\.0-9a-z-]+@yahoo.co.uk",$email)) ||
           (eregi("^[_\.0-9a-z-]+@gmail.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@minivds.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@nakgirls.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@yandex.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@info1a.cn",$email)) ||
           (eregi("^[_\.0-9a-z-]+@gooogletartsert.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@freemeilaadressforall.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@goodemailadressforfree.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@5opicforum.cn",$email)) ||
           (eregi("^[_\.0-9a-z-]+@pozitifff.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@2008bases1.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@nm.ru",$email)) ||
           (eregi("^[_\.0-9a-z-]+@goldwoof.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@megapochta.cn",$email)) ||
           (eregi("^[_\.0-9a-z-]+@meta.ua",$email)) ||
           (eregi("^[_\.0-9a-z-]+@fene4ek.net",$email)) ||
           (eregi("^[_\.0-9a-z-]+@mail15.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@googlemail.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@yandex.com",$email)) ||
           (eregi("^[_\.0-9a-z-]+@inmail24.com",$email)) )
      {
        JError::raiseWarning('','e-Mail domain is spam flagged');
        $this->register();
        return false;
      }
      // ##### END: SPAM DOMAIN FILTER #####
ho avuto un pò di tempo, e mi sono ricordato di questa modifica, tuttavia qualcosa non funziona...

Parse error: syntax error, unexpected '{' in xxxxxxxx/home/components/com_user/controller.php on line 341

la quale riporta questa parte di codice:

Codice: [Seleziona]

      {
         JError::raiseWarning('','e-Mail domain is spam flagged');
         $this->register();
         return false;
      }
probabilmente sarà una virgola fuori posto, ma per me che il php sembra il nome di una brutta malattia, la situzione si complica 

4

Installazione, migrazione e aggiornamento / da 1.5.10 a 1.5.11 mi è sparita la conferma di avvenuta registrazione.

« il: 22 Giu 2009, 17:22:40 »

Ciao a tutti,
l'altro giorno ho upgradato da 1.5.10 a 1.5.11 senza problemi. Ho dovuto aggiornare il captcha alla nuova versione, anche qui senza problemi.
Il problema nasce però quando un nuovo utente si registra. Tutta la procedura funziona, ma quando clicca su "Registrati" viene si regolarmente rimandato alla home page, ma non gli viene più fatto visualizzare il messaggio che avvertiva dell'avvenuta registrazione e che era necessario cliccare sul link nell'email.
L'email con il link viene tuttavia regolarmente inviata.
Ho notato che il file controller.php di com_user è stato riscritto nell'aggiornamento, potrebbe essere li il problema?

Claudio

5

Sicurezza / (sembrava risolto) Rifiutare registrazione utente, che usa email temporanea

« il: 11 Giu 2009, 09:04:10 »

rieccomi qui... 
purtroppo il problema sembrava risolto, tuttavia mi sono accorto che per com_user, yopmail.com, Yopmail.com, YOPMAIL.COM...etc sono interpretati come domini differenti.
C'è modo di fargli ignorare il case sensitive?

Claudio

6

Sicurezza / [RISOLTO] Rifiutare registrazione utente, che usa email temporanea

« il: 21 Mag 2009, 09:22:49 »

San Google... 
in components/com_user/controller.php
dopo:

Codice: [Seleziona]

      // If user activation is turned on, we need to set the activation information
      $useractivation = $usersConfig->get( 'useractivation' );
      if ($useractivation == '1')
      {
         jimport('joomla.user.helper');
         $user->set('activation', JUtility::getHash( JUserHelper::genRandomPassword()) );
         $user->set('block', '1');
      }
aggiungere:

Codice: [Seleziona]

      // ##### BEGIN: SPAM DOMAIN FILTER #####
      // Kick out spam domains
      $email = $user->get('email');
      if ( strpos($email,"gawab.com") ||
           strpos($email,"mail.ru")  ||
           strpos($email,"spambox.us")  ||
           strpos($email,"mailinator.com")  ||
           strpos($email,"dodgeit.com")  ||
           strpos($email,"mytrashmail.com")  ||
           strpos($email,"spamcero.com")  ||
           strpos($email,"jetable.org")  ||
           strpos($email,"pookmail.com")  ||
           strpos($email,"mailater.com")  ||
           strpos($email,"guerrillamail.com")  ||
           strpos($email,"spamfree24.org")  ||
           strpos($email,"nobulk.com")  ||
           strpos($email,"temporaryinbox.com")  ||
           strpos($email,"spam.la")  ||
           strpos($email,"tempemail.net")  ||
           strpos($email,"tempinbox.com")  ||
           strpos($email,"list.ru")  ||
           strpos($email,"bk.ru") ||
           strpos($email,"yahoo.co.uk") ||
           strpos($email,"gmail.com") ||
           strpos($email,"minivds.ru") ||
           strpos($email,"nakgirls.ru") ||
           strpos($email,"yandex.ru") ||
           strpos($email,"info1a.cn") ||
           strpos($email,"gooogletartsert.net") ||
           strpos($email,"freemeilaadressforall.net") ||
           strpos($email,"goodemailadressforfree.net") ||
           strpos($email,"5opicforum.cn") ||
           strpos($email,"pozitifff.com") ||
           strpos($email,"2008bases1.net") ||
           strpos($email,"nm.ru") ||
           strpos($email,"goldwoof.net") ||
           strpos($email,"megapochta.cn") ||
           strpos($email,"meta.ua") ||
           strpos($email,"fene4ek.net") ||
           strpos($email,"mail15.com") ||
           strpos($email,"googlemail.com") ||
           strpos($email,"yandex.com") ||
           strpos($email,"inmail24.com") )
      {
         JError::raiseWarning('','e-Mail domain is spam flagged');
         $this->register();
         return false;
      }
      // ##### END: SPAM DOMAIN FILTER #####
la lista nasce come antispam, infatti io ho aggiunto i più famosi siti di email temporanee.

Ciao
Claudio

7

Sicurezza / Re:Rifiutare registrazione utente, che usa email temporanea

« il: 21 Mag 2009, 08:13:57 »

ahahha
allora risolvi subito con una registrazione a pagamento...

 
sicuramente se fosse genovese, il problema sarebbe risolto.
Oggi continuerò a googlare ancora il problema, magari nel frattempo qualcuno interviene con la risposta.

8

Sicurezza / Re:Rifiutare registrazione utente, che usa email temporanea

« il: 21 Mag 2009, 00:46:30 »

riguardo ad ip non graditi ho già provveduto a bannare diverse classi direttamente a livello di .htaccess, tutta roba thai e qualche provider bulgaro e turco, tuttavia questo ultimo genere di "Scocciatore" potrebbe essere potenzialmente un italiano con ip dinamico, quindi bannare classi di ip di provider italiani mi farebbe rischiare di tagliare fuori qualche utente che non centra nulla.
Non so...pensavo qualche cosa anche a livello di smtp, magari la registrazione avviene ma il mail server non invia l'email...

...dimenticavo, sono hostato su aruba...

9

Sicurezza / [RISOLTO] Rifiutare registrazione utente, che usa email temporanea

« il: 20 Mag 2009, 18:44:00 »

Ciao a tutti,
incomincio con il ringraziare tutti gli utenti che partecipano a questo forum, grazie a loro ho risolto un sacco di problemi senza mai rompervi le balle.
Ora però il problema è un pò più complesso, e non sono riuscito a risolverlo neppure come mia consuetudine, googlando per la rete, così mi sono registrato e vi espongo il problema direttamente.
Vorrei impedire la registrazione, agli utenti che utilizzano email temporanee, tipo temporaryinbox.com, mailinator.com etc...
E' possibile inserire da qualche parte questi domini come "Non graditi"? oppure c'è in giro qualche mod che già lo faccia?

Grazie
Claudio