Autore Topic: SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha  (Letto 12892 volte)

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Ciao a tutti!
Col mio sito joomla, ho un problema, chiedo delucidazioni a voi; siamo una 50ina di utenti veri, e abilitati, ogni tanto però nel backend di joomla risultano spambot non abilitati: li riconosco dall'indirizzo e mail sospetto che cerco con google e che risulta tra gli indirizzi di spam bot.

Un paio di utenti spam però si sono anche abilitati (sempre stranieri provenienti da chissà dove) e risultavano anche nel mio forum kunena...e io ho provveduto a cancellarli sempre, ovviamente.

Mi chiedevo per favore come fosse possibile, dato che ho un captcha per registrarsi; in più com'è possibile che gli SpamBot si abilitino se è necessario rispondere a email di attivazione?
Posso fare qualcosa?

Scusate se per voi sono domande ovvie, ma io sono la solita novellina ;) !

Grazie tante e saluto.
Per fare tutto ci vuole un fiore

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
Ciao anemone,
anche io tempo fa ho aperto un post identico e secondo me questa è una vulnerabilità di joomla che ancora non è stata risolta.
Io me ne trovo una ventina al giorno e mi scoccia abbastanza andare ocni volta a fare pulizia di rumenta.
Il captcha non serve a nulla visto che la registrazione avviene presumibilmente attraverso un SQL injection per cui i filtri non servono a nulla.
Chissà, forse un giorno qualcuno risolverà anche questo problema.
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

Offline ilvanni

  • Global Moderator
  • Instancabile
  • ********
  • Post: 7012
  • Sesso: Maschio
  • Giovanni Vacca
    • Mostra profilo
Prova anche ad usare un re-captcha.

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
significa inserire 2 volte il captcha?
Comunque penso che non serva a nulla visto che ritengo più plausibile la teoria del sql injection ma proverò il re-captcha
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

Offline atlpaperino

  • Appassionato
  • ***
  • Post: 249
    • Mostra profilo
Salve , anche io mi trovo con lo stesso problema , 3/4 utenti registrati ( ovviamente sconosciuti) alcuni abilitati altri no  ( tutti senza nessun accesso e tutti Registred) . Volevo sapere se questo può portare alla diminuizione della sicurezza o si limita solo al fastidio di doverli cancellare ? Eè possibile che qualcuno riesca a regsitrarsi anche Author /Editor o solamente registrered??

Soluzioni ??

Ciao Marco

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
in effetti per ora è solo un fastidio, anche se grande. Io me ne trovo più di 20/30 al giorno.
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

mau_develop

  • Visitatore
ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
ma hai joomla con installato kunena?

la registrazione a kunena è la stessa di joomla?

M.

Ciao si, per registrarsi nel forum devono passare comunque per la registrazione in joomla, non so se è chiaro perchè mi spiego come una scatola da scarpe... ;D
Si in effetti non è piacevole  >:( >:( >:( soprattutto con quelli che risultano anche abilitati....:(

Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie.
Ciao ciao...
ps comunque tutto ciò non causa danni al sito, l'unico problema potrebbe essere lo spam attraverso messaggi sul forum o mp? ma è possibile lo spam se sono robot spammers e non persone fisiche? scusate ma io non capisco molte molte cose  :P
Per fare tutto ci vuole un fiore

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.
La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.
ma è possibile lo spam se sono robot spammers e non persone fisiche?
è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me.
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Anemone, non c'entra nulla ne kunena ne il re-captcha. Ti ritroverai sempre utenti spam registrati. Il sito che mi crea di questi problemi ha il captcha e non ha kunena.
uh ok :)

La registrazione di quegli utenti non avviene attraverso la normale procedura di login ma direttamente nelle tabelle.è vero, sono robot-spammers ma se l'autore si accorge che hai kunena, ti ritrovi il forum invaso di post spam come è successo a me.

Beh, ma non c'è nulla da fare affinchè non possano più inserirsi neppure in queste tabelle? (di che tabelle stiamo parlando? ;D 8) neofita, ricordo :))
Visto che l'argomento interessa a tanti e mi sembra piuttosto importante perchè non si trova una soluzione?

Fortunatamente per ora niente spam sul forum...ma in che senso se si accorgono che hai kunena? non capisco? attira gli spammers ;D?
Approfondiamo per favore.
Anche oggi altri di cui uno abilitato :( .
Come fare?
Grazie.
Per fare tutto ci vuole un fiore

Offline ErikaB

  • Appassionato
  • ***
  • Post: 218
  • Sesso: Femmina
    • Mostra profilo
non vi posso aiutare a risolvere il problema, visto che anche io sono una novellina sempre in cerca di aiuto, ma mi associo a voi per sapere se esistono dei modi per prevenire tale problema.
l'unione fa la forza..
domandare è lecito, rispondere è cortesia..

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
Salve anemone,
non vorrei scrivere delle regole con ciò che ho detto nel mio precedente post, ho solo detto quello che è capitato a me su un sito in cui ho (avevo) kunena.
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
Penso che il captcha e il re-captcha servano a poco perché nei miei siti utilizzo cb con il captcha, richiedendo agli utenti la compilazione del campo nome e cognome in due campi distinti, ma nonostante questa "forzatura", questi account incriminati, hanno tutti il nome utente identico al campo nominativo quindi bypassano evidentemente le procedure di registrazione utilizzate dal sito sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
Per esempio, se Mario Rossi volesse registrarsi al mio sito, dovrei trovarmi una situazione del genere:
Nominativo: Mario Rossi
Username: spippolo
invece mi ritrovo situazioni del tipo
Nominativo; mariedelexz
username: mariedelexz
Ho provato anche ad impedire la registrazione al sito se non accettata dall'amministratore ma gli spam entravano lo stesso.
Questo è quanto. Speriamo che prima o poi si possa risolvere questo fastidioso problema che finora però, a parte il mio problema avuto con kunena, sembra non creare ulteriori danni.
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

mau_develop

  • Visitatore
sfruttando evidentemente una probabile vulnerabilità del componente di registrazione del core nativo di joomla.
----------------------------------------------------------------------------------------------------
no, solitamente sfruttano proprio le malconfigurazioni, quando vi sono più form di login come nel caso di un forum su joomla una delle due viene disabilitata.... ma i files restano ed è possibile richiamarli...
Inoltre se non ricordo male kunena aveva avuto un po di problemi ultimamente.

M.

Offline keyascii

  • Appassionato
  • ***
  • Post: 494
  • Sesso: Maschio
    • Mostra profilo
Ciao mau_develop,
nella mia più profonda ignoranza in materia, rispetto alla tua, debbo dissentire in quanto, il problema, anche se in misura molto ridotta, si presenta anche in un sito che ha solo il form di login del sito. Senza forum esterni o componenti interni.
Se io e te abbiamo una cosa e ce la scambiamo, io e te abbiamo ancora una cosa, ma se io e te abbiamo un'idea e ce la scambiamo, tu hai 2 idee e io ho due idee!

mau_develop

  • Visitatore
allora, facciamo un po di chiarezza di quanto detto, perchè i problemi sono 2

1) Utenti che si registrano e rimangono NON abilitati
... è endemico, ...spam, capiterà sempre, il captcha recaptcha limita il problema ma non lo risolve, gli "umani" riusciranno sempre a farlo.

2) utenti registrati e approvati.
Se hai l'approvazione semplicemente cliccando sul link che ti arriva per mail,... beh disabilitalo!

Se invece deve essere assolutamente l'admin ad abilitare (perchè avete settato così) e loro riescono comunque a farlo ... allora c'è qualcosa che non va, ma deve essere oscura anche a joomla altrimenti saremmo alla .22.
Prova a segnalarlo sul loro forum di segnalazione bug.

M.

Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
Ciao a tutti, io sono allo stremo delle forze. Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva. La mia situazione è tra le più complicate. Ho joomla, phpbb3 e coppermine (tutti alle ultime versioni) collegate con i bridge di Medhi. Non sono proprio acerbo di questioni di sicurezza (studio ing inf) ma non sono nemmeno un esperto. Gli attacchi avvengono ad ondate. In 10-20 minuti si registrano anche 5 o 6 utenti. Molti con email .ru, altri dalla cina, ma la stragrande maggioranza con email gmail (che sono le più semplici da farsi... maledetta Google)

Il Re-captcha l'ho installato ma non serve a niente (lo lascio lo stesso). Ora l'ultima prova che sto facendo è bloccare dalle impostazioni le registrazioni di nuovi utenti su Joomla. Se questo procedimento va a buon termine significherà che non si tratta di accessi diretti al db ma di qualche vulnerabilità del cms.

Con i bridge che ho installato, quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms). Sono passate due ore da quando ho bloccato le iscrizioni e ancora nessuno si è registrato. Vediamo fra un paio d'ore e poi cerchiamo di capire quali altri provvedimenti si devono prendere. A fra due ore :-D
Lorenzo

mau_develop

  • Visitatore
Ogni santo giorno almeno 20-30 bot si registrano al sito e il 90% si attiva
------------------------------------------------------------------------------------------------------
... come deve avvenire l'attivazione? devi confermarla tu o basta che confermino il codice inviato al momento della registrazione??
se ti può far felice in un forum che gestisco ce ne sono almeno 200 al gg

quando si accede alle pagine di registrazione del forum o della galleria, si viene reindirizzati alla form di joomla (quindi per il momento escluderei gli altri cms)
--------------------------------------------------------------------------------------------------------------------------------------------------
..mah... io invece li considererei, magari mi offrono qualche comodo passaggio verso joomla... sono sullo stesso server/dominio?

puoi anche duplicare il modulo di auth e personalizzarlo, se ti registri con una certa mail vai in prigione senza passare dal via.

M.


Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
ciao mau_develop, stamattina ho dato una rapida occhiata al log di accesso. Tutte le richieste di registrazione facevano riferimento al componente com_user. Cmq vorrei aggiungere altri dettagli. Dopo che il mio sito http://www.sancostantinocalabro.net/ è stato segnalato come malevolo, mi sono dedicato ad aggiornare tutti i cms e anche i componenti degli stessi all'ultima versione e visto che c'ero anche la grafica. E' stata una faticaccia. Tutti i cms con mod che inevitabilmente ho perso, alcune delle quali sostituite con plugin alternativi.

Cmq prima dell'aggiornamento usavo RokBridge per joomla e phpbb3 e il bridge incluso in coppermine per collegare phpbb3 e la galleria. Ora siccome RokBridge consente una condivisione di utenti completamente trasparente, per induzione anche gli utenti della galleria potevano accedere a joomla (e viceversa). Questo sistema mi soddisfava parecchio ed è per questo motivo che non ho mai aggiornato, perchè non volevo scombinare le configurazioni (molto stupidamente aggiungerei io). L'unico problema di questa configurazione era l'interfaccia grafica. Per ogni cms ho dovuto impostare a mano lo steso template. Il risultato raggiunto era di tutto rispetto, ma ogni piccola modifica alla grafica andava ripetuta per tre (joomla, forum e galleria).

Una volta aggiornato, ho scoperto scoperto i bridge di Medhi che oltre alla condivisione degli utenti consentono di visualizzare coppermine e phpbb3 nella stessa grafica di joomla in maniera automatica. Al momento sembrano funzionare abbastanza bene (non benissimissimo) e sperò di risolvere alcuni problemini per i quali ho già individuato una possibile soluzione.

Tanto per aggravare ulteriormente la situazione, prima dell'ultimo aggiornamento/modifica, avevo anche OpenX che credo sia stata la causa della segnalazione come sito malevolo. Infatti, avendolo eliminato e fatto la segnalazione, il sito risulta pulito (a dire la verità ora che scrivo mi rendo conto che l'ho lasciato nella stessa cartella ma non l'ho ancora eliminato del tutto... corro a cancellare la cartella e le cartelle dal db...)

Ulteriore dettaglio. Con RokBridge la registrazione poteva essere fatta da entrambe le piattaforme (joomla e phpbb3). Infatti fino a 2 settimane fa mi arrivavano le notifiche via email di chi si registrava su joomla e di chi lo faceva su phpbb3 (il mio sito era una donnaccia, l'accesso era multiplo). Da notare quindi che in qualche modo le registrazioni sembravano avvenire in maniera pseudo-normale  e che quindi il sistema le riconosceva come reali registrazioni e me le notificava. Ora che ho aggiornato le segnalazioni arrivano solo fronte joomla. Questo particolare delle mail non è da sottovalutare, perchè se le registrazioni fossero avvenute come "insert" via sql, il cms non me le avrebbe potute notificare.
Lorenzo

Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
ah dimenticavo: naturalmente tutto si trova sullo stesso server, e sullo stesso db (stesse credenziali per accedervi)
Lorenzo

Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
Codice: [Seleziona]
Line 11926: 91.201.66.90 - - [04/Nov/2010:18:15:42 -0500] "GET /component/user/?task=register HTTP/1.0" 200 40230 "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11942: 91.201.66.90 - - [04/Nov/2010:18:15:49 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11968: 91.201.66.90 - - [04/Nov/2010:18:15:50 -0500] "GET /index.php HTTP/1.0" 200 37398 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 11991: 91.201.66.90 - - [04/Nov/2010:18:15:51 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33335 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12010: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12025: 91.201.66.90 - - [04/Nov/2010:18:15:54 -0500] "GET /forum/ HTTP/1.0" 200 72659 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12028: 91.201.66.90 - - [04/Nov/2010:18:15:56 -0500] "GET /forum/index.php HTTP/1.0" 200 68431 "http://www.sancostantinocalabro.net/forum/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12031: 91.201.66.90 - - [04/Nov/2010:18:15:57 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12034: 91.201.66.90 - - [04/Nov/2010:18:15:59 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33313 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12037: 91.201.66.90 - - [04/Nov/2010:18:16:00 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33318 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12040: 91.201.66.90 - - [04/Nov/2010:18:16:02 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51397 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12041: 91.201.66.90 - - [04/Nov/2010:18:16:05 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbooki&id=1&Itemid=64&phocasid=6c99d6fb10ff2282a3921c5fee1dd034 HTTP/1.0" 200 4029 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"
Line 12044: 91.201.66.90 - - [04/Nov/2010:18:16:06 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 54194 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)"

Ho lasciato per l'intero pomeriggio le registrazioni sul sito bloccate. Verso mezzanotte dalle impostazioni consento a nuovi utenti di registrarsi. Nemmeno 10 minuti che mi arriva subito la prima mail di un nuovo utente. Sono sicuro che l'ip è quello indicato nel log. Intorno alle 00.15 un host di origine russa (visto sulla mappa) si collega al sito e quelle che vedete sono le tracce che ha lasciato.
Questi sono i suoi dati:

Nome - Mynccrinymn
E-mail - bostvost@mail.ru
Nome utente - Mynccrinymn

Addirittura guardando nel log mi accorgo che il geustbook è bucabile e provvedo subito ad aggiornare. Ho trovato pubblicità sul ***! Questo maledetto in meno di 25 secondi si è registrato, loggato e mi ha sporcato il sito...
Lorenzo

Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
E qui ci sono altri due esempi. Stessa tecnica...

Codice: [Seleziona]
Line 61: 91.201.66.4 - - [04/Nov/2010:18:57:43 -0500] "GET /component/user/?task=register HTTP/1.0" 200 39518 "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 62: 91.201.66.4 - - [04/Nov/2010:18:57:55 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 65: 91.201.66.4 - - [04/Nov/2010:18:57:56 -0500] "GET /index.php HTTP/1.0" 200 37394 "http://www.sancostantinocalabro.net/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 68: 91.201.66.4 - - [04/Nov/2010:18:57:58 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33328 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 69: 91.201.66.4 - - [04/Nov/2010:18:58:00 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 72: 91.201.66.4 - - [04/Nov/2010:18:58:01 -0500] "GET /forum/ HTTP/1.0" 200 72532 "http://www.sancostantinocalabro.net/forum/" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 75: 91.201.66.4 - - [04/Nov/2010:18:58:03 -0500] "GET /forum/index.php HTTP/1.0" 200 68409 "http://www.sancostantinocalabro.net/forum/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 78: 91.201.66.4 - - [04/Nov/2010:18:58:05 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 81: 91.201.66.4 - - [04/Nov/2010:18:58:07 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33269 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 84: 91.201.66.4 - - [04/Nov/2010:18:58:08 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33266 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 87: 91.201.66.4 - - [04/Nov/2010:18:58:10 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51050 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 90: 91.201.66.4 - - [04/Nov/2010:18:58:12 -0500] "GET /component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a HTTP/1.0" 200 48874 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 93: 91.201.66.4 - - [04/Nov/2010:18:58:14 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 56250 "http://www.sancostantinocalabro.net/component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a" "Opera/9.0 (Windows NT 5.1; U; en)"


Line 37: 67.20.57.148 - - [04/Nov/2010:18:55:30 -0500] "GET /forum/ HTTP/1.0" 200 72536 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 40: 67.20.57.148 - - [04/Nov/2010:18:55:33 -0500] "GET /forum/index.php HTTP/1.0" 200 68401 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 41: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /forum/ucp.php?mode=register HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/ucp.php?mode=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 44: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /index.php?option=com_user&task=register HTTP/1.0" 200 39504 "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 48: 67.20.57.148 - - [04/Nov/2010:18:56:31 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 51: 67.20.57.148 - - [04/Nov/2010:18:56:32 -0500] "GET /index.php HTTP/1.0" 200 37332 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 52: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "POST /index.php HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 55: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "GET /index.php HTTP/1.0" 200 37278 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Lorenzo

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
...Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie....
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...
« Ultima modifica: 05 Nov 2010, 01:43:39 da Npaquito »
web design, web mobile

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
...
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
...
Hola

Correzione: Le tabelle che joomla utilizza per la registrazione degli utenti, sono xxx_core_acl_aro e xxx_users, il jos lo scegli te nel tuo database perche non vuoi cambiarlo e, nel caso del quale stiamo parlando, non mi sembra un dettaglio di poco conto
« Ultima modifica: 05 Nov 2010, 01:45:56 da Npaquito »
web design, web mobile

mau_develop

  • Visitatore
E qui ci sono altri due esempi. Stessa tecnica...
---------------------------------------------------------------
ti sei accorto che "mirano" tutti al forum? ...ammesso che la cosa riesca (non ho un forum per provare e nn mi va di rompere le scatoe ad altri) riesce sfruttando la registrazione al forum.

la stringa sul return che vedi ripetuta spesso L2ZvcnVtLw non è altro che un base64 di /forum/

Io comunque non ho ancora capito come avete la registrazione... chi la conferma? l'utente col link spedito per posta alla registrazione? l'administrator?

M.

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...

uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :) non avevo messo alcun recaptcha cmq, avevo capito nella mia ignoranza che non serviva...invece guardo subito il plugin per il BAN :)

Per rispondere a Maudevelop io ho lasciato la registrazione con mail che invia link che basta attivare perchè  per ora che ho pochi iscritti e non sono sempre on-line, per controllare le mail, la mancata registrazione automatica istantanea al ricevimento mail potrebbe far indispettire gli iscritti, o no? è meglio attivarla secondo te da parte dell'amminitratore, vero? i grossi forum non lo fanno, in genere bsta attivare il link e non attendere conferma dall'admin, perchè uno si iscrive, controlla subito la mail e si registra...almeno in genere io faccio così ;)
Che dite?
GRAZTE (che discussione interessante comunque ;))
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
..invece guardo subito il plugin per il BAN
--------------------------------------------------------
questa è una cosa da fare con molta moderazione e solitamente quando il problema viene da due o tre ip, se ogni volta è uno diverso hai voglia a bannare... vuoi bannare tutti gli user di Tor? ... tutti i proxi che ci sono in rete?

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

M.

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :)...
Hola guapa

Grazieee ricambio il bacio, non dar troppa retta a mau, è geloso perche non lo hai baciato ;D ;D ;D
web design, web mobile

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
ih ih

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

questo l'avevo capito mau grazie a te, ma mi chiedevo cosa è meglio o no fare...lasciare l'attivazione via link oppure mettere il blocco admin...se può influenzare le registrazione dei veri utenti o meno, visto il tempo esiguo e l'impossibilità di essere online tutto il giorno (notte compresa ;) ) e quindi attivare al più presto gli utenti ...
che ne dici/te?

baciotto anche a te  ;D
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.
Lo spam delle caselle mail e dei moduli di registrazione è assimilabile alla casella della posta condominiale, come puoi evitare che venga infilato un volantino e permettere che invece ti arrivi il giornale?
Ho visto mille trucchi o presunti tali, ma non ho mai visto soluzioni, così come per lo spam nei forum.

Anche quì potrebbe esistere lo stesso problema, nessuno ti evita di registrarti come gbkxz e riempire il forum di post su medicinali... rimarrebbe finchè un buon mod non cancella tutto.

Tutto ciò che ci offre la tecnologia è il captcha, ovvero non puoi scavallarti la fatica di far la tua registrazione a manina... ti stancherai prima o poi...

M.

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Beh grazie Mau non potevi scrivere miglior risposta ;)

A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.


in fondo è come hai detto tu, se si tratta solo di fastidi e non di danni, pace :) si fa quel che si può :)
Grazie e alla prossima ;D
Per fare tutto ci vuole un fiore

Offline MITdesign

  • Nuovo arrivato
  • *
  • Post: 18
    • Mostra profilo
Che io sappia Joomla per l'anti Spam non è il massimo, ma rimanendo su una linea generale quoto mau. Puoi prendere una Ferrari come una Cinquecento, magari la Ferrari si romperà di meno, ma comunque si romperà. Penso sia lo stesso con Internet.
E.
Realizzazione Siti Internet Roma per WEB e MOBILE

Offline daniele0

  • Nuovo arrivato
  • *
  • Post: 1
    • Mostra profilo
Mi aggiungo anche io con lo stesso problema di registrazioni spam

Ho notato pure io che non ricevendo nessuna vista (cosi almeno mi dice ) dalle 2 alle 5 di notte, ho avuto nuove e sempre piu numerose registrazioni spam(ps continuano tutt'ora).
Sembra anche a me quindi che siano create direttamente dal database.
Adesso sto cercando vulnerabilità nelle estensioni
Faccio sapere se scopro qualcosa.

se può essere di aiuto
sito in joomla versione 1.22 ita
phpbb 3.08 con bridge jfusion(master in joomla )
adsmanager 2.5
osolcaptcha attivato
register global on   :'(

Aggiornamento al 08.12
esempi di registrazione spam

Nome - 03OYilana
E-mail - ar.i.n.ochk.ave.st.e.lia.nov.a1.9.73@gmail.com
Nome utente - 03OYilana

Nome - 09GGmelody
E-mail - arin.o.ch.k.a.vest.e.li.a.n.ova.1973@gmail.com
Nome utente - 09GGmelody

Nome - 02OBgil
E-mail - ari.n.oc.h.ka.v.es.t.e.li.a.nova.1973@gmail.com
Nome utente - 02OBgil

Nome - 09FSmarlana
E-mail - a.r.i.n.ochkav.e.st.elia.n.ov.a.1.973@gmail.com
Nome utente - 09FSmarlana

Nome - 04DPsherri
E-mail - ar.i.noch.ka.ve.st.e.l.i.a.n.o.v.a.19.7 3@gmail.com
Nome utente - 04DPsherri

Nome - 01LVcharla
E-mail - ar.i.n.o.ch.k.a.ves.teli.anova19.73@gmail.com
Nome utente - 01LVcharla


Non ho trovato estensioni affette da vulnerabilità e, posso ipotizzare che vengono creati direttamente dal database.

Possibili soluzioni che pensavo:
1 installare plugin come Registration Validator Plugin
2 Cambiare il suffisso delle tabelle  (magari se è un attacco mysql injection forse si risolve )
3 Marco sql injection (non lo conosco ma magari aiuta a risolvere sempre se è un attacco mysql tra cui poò difendere )
4 quelli come me che hanno  jfusion o bridge in generale , provare a disattivare i dual login e registration magari è proprio li che cè una brutta configurazione che viene sfruttata





« Ultima modifica: 11 Dic 2010, 01:05:05 da daniele0 »

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Ripeto che io sono ignorantissima in materia, ma ho il sito ai minimi termini pochissimi componenti e plugin, quelli già presenti in joomla + kunena e basta, praticamente. Sito semplice e facile da gestire, così come da fruire per chi si iscrive :)
Tornando al problema sono secondo me persone fisiche quelle che si loggano e normali spam bot quelli che si registrano, ma poi non risultano abilitati. Ho visto che se li cancellavo dalla lista utenti dopo un po' me li trovavo registrati di nuovo così molto semplicemente vado nella lista utenti dal backend, cambio il loro nome utente, ma lascio mail e blocco utente, così quel determinato spammer non può più perlomeno iscriversi con la stessa mail, percè è già iscritto, una sorta di ban senza avere alcun plugin!? E' un'idea stupida?, che ne pensate?
Ciao ciao :)
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
le mail sono generate da uno script non sono mail reali

M.

Offline Tasto Bianco

  • Nuovo arrivato
  • *
  • Post: 1
    • Mostra profilo
Volevo fare una domanda....un sito bucato come si riconosce?
Grazie

mau_develop

  • Visitatore
beh... non sei molto in topic col post..
cmq http://forum.joomla.it/index.php/topic,117151.0.html , punto1.

Secondo me un sito bucato ... non si dovrebbe riconoscere :) ...altrimenti finisce il gioco.

M.

 

Host

Torna su