SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha

[bistick]

E qui ci sono altri due esempi. Stessa tecnica...

Codice: [Seleziona]

Line 61: 91.201.66.4 - - [04/Nov/2010:18:57:43 -0500] "GET /component/user/?task=register HTTP/1.0" 200 39518 "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 62: 91.201.66.4 - - [04/Nov/2010:18:57:55 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 65: 91.201.66.4 - - [04/Nov/2010:18:57:56 -0500] "GET /index.php HTTP/1.0" 200 37394 "http://www.sancostantinocalabro.net/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 68: 91.201.66.4 - - [04/Nov/2010:18:57:58 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33328 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 69: 91.201.66.4 - - [04/Nov/2010:18:58:00 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 72: 91.201.66.4 - - [04/Nov/2010:18:58:01 -0500] "GET /forum/ HTTP/1.0" 200 72532 "http://www.sancostantinocalabro.net/forum/" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 75: 91.201.66.4 - - [04/Nov/2010:18:58:03 -0500] "GET /forum/index.php HTTP/1.0" 200 68409 "http://www.sancostantinocalabro.net/forum/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 78: 91.201.66.4 - - [04/Nov/2010:18:58:05 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 81: 91.201.66.4 - - [04/Nov/2010:18:58:07 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33269 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 84: 91.201.66.4 - - [04/Nov/2010:18:58:08 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33266 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 87: 91.201.66.4 - - [04/Nov/2010:18:58:10 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51050 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 90: 91.201.66.4 - - [04/Nov/2010:18:58:12 -0500] "GET /component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a HTTP/1.0" 200 48874 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 93: 91.201.66.4 - - [04/Nov/2010:18:58:14 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 56250 "http://www.sancostantinocalabro.net/component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a" "Opera/9.0 (Windows NT 5.1; U; en)"


Line 37: 67.20.57.148 - - [04/Nov/2010:18:55:30 -0500] "GET /forum/ HTTP/1.0" 200 72536 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 40: 67.20.57.148 - - [04/Nov/2010:18:55:33 -0500] "GET /forum/index.php HTTP/1.0" 200 68401 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 41: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /forum/ucp.php?mode=register HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/ucp.php?mode=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 44: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /index.php?option=com_user&task=register HTTP/1.0" 200 39504 "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 48: 67.20.57.148 - - [04/Nov/2010:18:56:31 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 51: 67.20.57.148 - - [04/Nov/2010:18:56:32 -0500] "GET /index.php HTTP/1.0" 200 37332 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 52: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "POST /index.php HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 55: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "GET /index.php HTTP/1.0" 200 37278 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"


[Npaquito]

...Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie....

Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...

[Npaquito]

...
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
...

Hola

Correzione: Le tabelle che joomla utilizza per la registrazione degli utenti, sono xxx_core_acl_aro e xxx_users, il jos lo scegli te nel tuo database perche non vuoi cambiarlo e, nel caso del quale stiamo parlando, non mi sembra un dettaglio di poco conto

[mau_develop]

E qui ci sono altri due esempi. Stessa tecnica...
---------------------------------------------------------------
ti sei accorto che "mirano" tutti al forum? ...ammesso che la cosa riesca (non ho un forum per provare e nn mi va di rompere le scatoe ad altri) riesce sfruttando la registrazione al forum.

la stringa sul return che vedi ripetuta spesso L2ZvcnVtLw non è altro che un base64 di /forum/

Io comunque non ho ancora capito come avete la registrazione... chi la conferma? l'utente col link spedito per posta alla registrazione? l'administrator?

M.

[anemone]

Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...

uh grazissimo  Npaquito un bacio te lo meriti per questa dritta non avevo messo alcun recaptcha cmq, avevo capito nella mia ignoranza che non serviva...invece guardo subito il plugin per il BAN

Per rispondere a Maudevelop io ho lasciato la registrazione con mail che invia link che basta attivare perchè  per ora che ho pochi iscritti e non sono sempre on-line, per controllare le mail, la mancata registrazione automatica istantanea al ricevimento mail potrebbe far indispettire gli iscritti, o no? è meglio attivarla secondo te da parte dell'amminitratore, vero? i grossi forum non lo fanno, in genere bsta attivare il link e non attendere conferma dall'admin, perchè uno si iscrive, controlla subito la mail e si registra...almeno in genere io faccio così
Che dite?
GRAZTE (che discussione interessante comunque )

[mau_develop]

..invece guardo subito il plugin per il BAN
--------------------------------------------------------
questa è una cosa da fare con molta moderazione e solitamente quando il problema viene da due o tre ip, se ogni volta è uno diverso hai voglia a bannare... vuoi bannare tutti gli user di Tor? ... tutti i proxi che ci sono in rete?

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

M.

[Npaquito]

uh grazissimo  Npaquito un bacio te lo meriti per questa dritta ...

Hola guapa

Grazieee ricambio il bacio, non dar troppa retta a mau, è geloso perche non lo hai baciato

[anemone]

ih ih

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

questo l'avevo capito mau grazie a te, ma mi chiedevo cosa è meglio o no fare...lasciare l'attivazione via link oppure mettere il blocco admin...se può influenzare le registrazione dei veri utenti o meno, visto il tempo esiguo e l'impossibilità di essere online tutto il giorno (notte compresa ) e quindi attivare al più presto gli utenti ...
che ne dici/te?

baciotto anche a te 

[mau_develop]

A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.
Lo spam delle caselle mail e dei moduli di registrazione è assimilabile alla casella della posta condominiale, come puoi evitare che venga infilato un volantino e permettere che invece ti arrivi il giornale?
Ho visto mille trucchi o presunti tali, ma non ho mai visto soluzioni, così come per lo spam nei forum.

Anche quì potrebbe esistere lo stesso problema, nessuno ti evita di registrarti come gbkxz e riempire il forum di post su medicinali... rimarrebbe finchè un buon mod non cancella tutto.

Tutto ciò che ci offre la tecnologia è il captcha, ovvero non puoi scavallarti la fatica di far la tua registrazione a manina... ti stancherai prima o poi...

M.

[anemone]

Beh grazie Mau non potevi scrivere miglior risposta

A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.

in fondo è come hai detto tu, se si tratta solo di fastidi e non di danni, pace si fa quel che si può
Grazie e alla prossima

[MITdesign]

Che io sappia Joomla per l'anti Spam non è il massimo, ma rimanendo su una linea generale quoto mau. Puoi prendere una Ferrari come una Cinquecento, magari la Ferrari si romperà di meno, ma comunque si romperà. Penso sia lo stesso con Internet.
E.

[daniele0]

Mi aggiungo anche io con lo stesso problema di registrazioni spam

Ho notato pure io che non ricevendo nessuna vista (cosi almeno mi dice ) dalle 2 alle 5 di notte, ho avuto nuove e sempre piu numerose registrazioni spam(ps continuano tutt'ora).
Sembra anche a me quindi che siano create direttamente dal database.
Adesso sto cercando vulnerabilità nelle estensioni
Faccio sapere se scopro qualcosa.

se può essere di aiuto
sito in joomla versione 1.22 ita
phpbb 3.08 con bridge jfusion(master in joomla )
adsmanager 2.5
osolcaptcha attivato
register global on   

Aggiornamento al 08.12
esempi di registrazione spam

Nome - 03OYilana
E-mail - ar.i.n.ochk.ave.st.e.lia.nov.a1.9.73@gmail.com
Nome utente - 03OYilana

Nome - 09GGmelody
E-mail - arin.o.ch.k.a.vest.e.li.a.n.ova.1973@gmail.com
Nome utente - 09GGmelody

Nome - 02OBgil
E-mail - ari.n.oc.h.ka.v.es.t.e.li.a.nova.1973@gmail.com
Nome utente - 02OBgil

Nome - 09FSmarlana
E-mail - a.r.i.n.ochkav.e.st.elia.n.ov.a.1.973@gmail.com
Nome utente - 09FSmarlana

Nome - 04DPsherri
E-mail - ar.i.noch.ka.ve.st.e.l.i.a.n.o.v.a.19.7 3@gmail.com
Nome utente - 04DPsherri

Nome - 01LVcharla
E-mail - ar.i.n.o.ch.k.a.ves.teli.anova19.73@gmail.com
Nome utente - 01LVcharla


Non ho trovato estensioni affette da vulnerabilità e, posso ipotizzare che vengono creati direttamente dal database.

Possibili soluzioni che pensavo:
1 installare plugin come Registration Validator Plugin
2 Cambiare il suffisso delle tabelle  (magari se è un attacco mysql injection forse si risolve )
3 Marco sql injection (non lo conosco ma magari aiuta a risolvere sempre se è un attacco mysql tra cui poò difendere )
4 quelli come me che hanno  jfusion o bridge in generale , provare a disattivare i dual login e registration magari è proprio li che cè una brutta configurazione che viene sfruttata

[anemone]

Ripeto che io sono ignorantissima in materia, ma ho il sito ai minimi termini pochissimi componenti e plugin, quelli già presenti in joomla + kunena e basta, praticamente. Sito semplice e facile da gestire, così come da fruire per chi si iscrive
Tornando al problema sono secondo me persone fisiche quelle che si loggano e normali spam bot quelli che si registrano, ma poi non risultano abilitati. Ho visto che se li cancellavo dalla lista utenti dopo un po' me li trovavo registrati di nuovo così molto semplicemente vado nella lista utenti dal backend, cambio il loro nome utente, ma lascio mail e blocco utente, così quel determinato spammer non può più perlomeno iscriversi con la stessa mail, percè è già iscritto, una sorta di ban senza avere alcun plugin!? E' un'idea stupida?, che ne pensate?
Ciao ciao

[mau_develop]

le mail sono generate da uno script non sono mail reali

M.

[Tasto Bianco]

Volevo fare una domanda....un sito bucato come si riconosce?
Grazie

[mau_develop]

beh... non sei molto in topic col post..
cmq http://forum.joomla.it/index.php/topic,117151.0.html , punto1.

Secondo me un sito bucato ... non si dovrebbe riconoscere ...altrimenti finisce il gioco.

M.