Autore Topic: SpamBot che risultano registrati, per lo+ nn sono abilitati? -ho già il captcha  (Letto 12894 volte)

Offline bistick

  • Nuovo arrivato
  • *
  • Post: 10
  • Sesso: Maschio
    • Mostra profilo
E qui ci sono altri due esempi. Stessa tecnica...

Codice: [Seleziona]
Line 61: 91.201.66.4 - - [04/Nov/2010:18:57:43 -0500] "GET /component/user/?task=register HTTP/1.0" 200 39518 "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 62: 91.201.66.4 - - [04/Nov/2010:18:57:55 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/component/user/?task=register" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 65: 91.201.66.4 - - [04/Nov/2010:18:57:56 -0500] "GET /index.php HTTP/1.0" 200 37394 "http://www.sancostantinocalabro.net/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 68: 91.201.66.4 - - [04/Nov/2010:18:57:58 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33328 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 69: 91.201.66.4 - - [04/Nov/2010:18:58:00 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 72: 91.201.66.4 - - [04/Nov/2010:18:58:01 -0500] "GET /forum/ HTTP/1.0" 200 72532 "http://www.sancostantinocalabro.net/forum/" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 75: 91.201.66.4 - - [04/Nov/2010:18:58:03 -0500] "GET /forum/index.php HTTP/1.0" 200 68409 "http://www.sancostantinocalabro.net/forum/index.php" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 78: 91.201.66.4 - - [04/Nov/2010:18:58:05 -0500] "GET /forum/posting.php?mode=post&f=12 HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/posting.php?mode=post&f=12" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 81: 91.201.66.4 - - [04/Nov/2010:18:58:07 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33269 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 84: 91.201.66.4 - - [04/Nov/2010:18:58:08 -0500] "GET /index.php?option=com_user&view=login&return=L2ZvcnVtLw== HTTP/1.0" 200 33266 "http://www.sancostantinocalabro.net/index.php?option=com_user&view=login&return=L2ZvcnVtLw==" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 87: 91.201.66.4 - - [04/Nov/2010:18:58:10 -0500] "GET /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 51050 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 90: 91.201.66.4 - - [04/Nov/2010:18:58:12 -0500] "GET /component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a HTTP/1.0" 200 48874 "http://www.sancostantinocalabro.net/index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64" "Opera/9.0 (Windows NT 5.1; U; en)"
Line 93: 91.201.66.4 - - [04/Nov/2010:18:58:14 -0500] "POST /index.php?option=com_phocaguestbook&view=phocaguestbook&id=1&Itemid=64 HTTP/1.0" 200 56250 "http://www.sancostantinocalabro.net/component/phocaguestbook/1.html?phocasid=41e42e48c49b912e24d3ed52202b621a" "Opera/9.0 (Windows NT 5.1; U; en)"


Line 37: 67.20.57.148 - - [04/Nov/2010:18:55:30 -0500] "GET /forum/ HTTP/1.0" 200 72536 "http://www.sancostantinocalabro.net/forum/" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 40: 67.20.57.148 - - [04/Nov/2010:18:55:33 -0500] "GET /forum/index.php HTTP/1.0" 200 68401 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 41: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /forum/ucp.php?mode=register HTTP/1.0" 302 - "http://www.sancostantinocalabro.net/forum/ucp.php?mode=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 44: 67.20.57.148 - - [04/Nov/2010:18:55:38 -0500] "GET /index.php?option=com_user&task=register HTTP/1.0" 200 39504 "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 48: 67.20.57.148 - - [04/Nov/2010:18:56:31 -0500] "POST /component/user/ HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php?option=com_user&task=register" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 51: 67.20.57.148 - - [04/Nov/2010:18:56:32 -0500] "GET /index.php HTTP/1.0" 200 37332 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 52: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "POST /index.php HTTP/1.0" 303 - "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Line 55: 67.20.57.148 - - [04/Nov/2010:18:56:34 -0500] "GET /index.php HTTP/1.0" 200 37278 "http://www.sancostantinocalabro.net/index.php" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
Lorenzo

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
...Però per installare un re-captcha come faccio per favore? mi spiegate? io uso OSOL, grazie....
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...
« Ultima modifica: 05 Nov 2010, 01:43:39 da Npaquito »
web design, web mobile

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
...
Le tabelle che joomla utilizza per la registrazione degli utenti, sono jos_core_acl_aro e jos_users (e non mi sembra siano interessate altre).
...
Hola

Correzione: Le tabelle che joomla utilizza per la registrazione degli utenti, sono xxx_core_acl_aro e xxx_users, il jos lo scegli te nel tuo database perche non vuoi cambiarlo e, nel caso del quale stiamo parlando, non mi sembra un dettaglio di poco conto
« Ultima modifica: 05 Nov 2010, 01:45:56 da Npaquito »
web design, web mobile

mau_develop

  • Visitatore
E qui ci sono altri due esempi. Stessa tecnica...
---------------------------------------------------------------
ti sei accorto che "mirano" tutti al forum? ...ammesso che la cosa riesca (non ho un forum per provare e nn mi va di rompere le scatoe ad altri) riesce sfruttando la registrazione al forum.

la stringa sul return che vedi ripetuta spesso L2ZvcnVtLw non è altro che un base64 di /forum/

Io comunque non ho ancora capito come avete la registrazione... chi la conferma? l'utente col link spedito per posta alla registrazione? l'administrator?

M.

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Hola

Opinione personale: non cambiare, non soluzionerai il problema che hai e, inoltre, a ogni registrazione il tuo sito si dovrá collegare alla web di recaptcha, se vuoi guarda il plugin Ban IP Adress, almeno potrai bannarli (a posteriori) definitivamente dal tuo sito...

uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :) non avevo messo alcun recaptcha cmq, avevo capito nella mia ignoranza che non serviva...invece guardo subito il plugin per il BAN :)

Per rispondere a Maudevelop io ho lasciato la registrazione con mail che invia link che basta attivare perchè  per ora che ho pochi iscritti e non sono sempre on-line, per controllare le mail, la mancata registrazione automatica istantanea al ricevimento mail potrebbe far indispettire gli iscritti, o no? è meglio attivarla secondo te da parte dell'amminitratore, vero? i grossi forum non lo fanno, in genere bsta attivare il link e non attendere conferma dall'admin, perchè uno si iscrive, controlla subito la mail e si registra...almeno in genere io faccio così ;)
Che dite?
GRAZTE (che discussione interessante comunque ;))
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
..invece guardo subito il plugin per il BAN
--------------------------------------------------------
questa è una cosa da fare con molta moderazione e solitamente quando il problema viene da due o tre ip, se ogni volta è uno diverso hai voglia a bannare... vuoi bannare tutti gli user di Tor? ... tutti i proxi che ci sono in rete?

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

M.

Offline Npaquito

  • Abituale
  • ****
  • Post: 1832
    • Mostra profilo
uh grazissimo  ;D Npaquito un bacio te lo meriti per questa dritta :)...
Hola guapa

Grazieee ricambio il bacio, non dar troppa retta a mau, è geloso perche non lo hai baciato ;D ;D ;D
web design, web mobile

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
ih ih

ho lasciato la registrazione con mail che invia link che basta attivare
---------------------------------------------------------------------------------------------
quindi non c'è un mistero sul perchè gli user sono attivati e nemmeno una vulnerabilità di joomla come qualcuno diceva....
Semplicemente è una tua scelta che chiunque possa fare tutto da solo, un po' come lasciare un bel quaderno bianco e una penna fuori dalla porta di casa, tanti ti lasceranno i loro saluti e molti robe indecenti.

questo l'avevo capito mau grazie a te, ma mi chiedevo cosa è meglio o no fare...lasciare l'attivazione via link oppure mettere il blocco admin...se può influenzare le registrazione dei veri utenti o meno, visto il tempo esiguo e l'impossibilità di essere online tutto il giorno (notte compresa ;) ) e quindi attivare al più presto gli utenti ...
che ne dici/te?

baciotto anche a te  ;D
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.
Lo spam delle caselle mail e dei moduli di registrazione è assimilabile alla casella della posta condominiale, come puoi evitare che venga infilato un volantino e permettere che invece ti arrivi il giornale?
Ho visto mille trucchi o presunti tali, ma non ho mai visto soluzioni, così come per lo spam nei forum.

Anche quì potrebbe esistere lo stesso problema, nessuno ti evita di registrarti come gbkxz e riempire il forum di post su medicinali... rimarrebbe finchè un buon mod non cancella tutto.

Tutto ciò che ci offre la tecnologia è il captcha, ovvero non puoi scavallarti la fatica di far la tua registrazione a manina... ti stancherai prima o poi...

M.

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Beh grazie Mau non potevi scrivere miglior risposta ;)

A qs punto è difficile dare consigli perchè come vedi tutto ciò che deve funzionare funziona e come si deve, bisogna solo limitare dei "fastidi" e non dei danni.


in fondo è come hai detto tu, se si tratta solo di fastidi e non di danni, pace :) si fa quel che si può :)
Grazie e alla prossima ;D
Per fare tutto ci vuole un fiore

Offline MITdesign

  • Nuovo arrivato
  • *
  • Post: 18
    • Mostra profilo
Che io sappia Joomla per l'anti Spam non è il massimo, ma rimanendo su una linea generale quoto mau. Puoi prendere una Ferrari come una Cinquecento, magari la Ferrari si romperà di meno, ma comunque si romperà. Penso sia lo stesso con Internet.
E.
Realizzazione Siti Internet Roma per WEB e MOBILE

Offline daniele0

  • Nuovo arrivato
  • *
  • Post: 1
    • Mostra profilo
Mi aggiungo anche io con lo stesso problema di registrazioni spam

Ho notato pure io che non ricevendo nessuna vista (cosi almeno mi dice ) dalle 2 alle 5 di notte, ho avuto nuove e sempre piu numerose registrazioni spam(ps continuano tutt'ora).
Sembra anche a me quindi che siano create direttamente dal database.
Adesso sto cercando vulnerabilità nelle estensioni
Faccio sapere se scopro qualcosa.

se può essere di aiuto
sito in joomla versione 1.22 ita
phpbb 3.08 con bridge jfusion(master in joomla )
adsmanager 2.5
osolcaptcha attivato
register global on   :'(

Aggiornamento al 08.12
esempi di registrazione spam

Nome - 03OYilana
E-mail - ar.i.n.ochk.ave.st.e.lia.nov.a1.9.73@gmail.com
Nome utente - 03OYilana

Nome - 09GGmelody
E-mail - arin.o.ch.k.a.vest.e.li.a.n.ova.1973@gmail.com
Nome utente - 09GGmelody

Nome - 02OBgil
E-mail - ari.n.oc.h.ka.v.es.t.e.li.a.nova.1973@gmail.com
Nome utente - 02OBgil

Nome - 09FSmarlana
E-mail - a.r.i.n.ochkav.e.st.elia.n.ov.a.1.973@gmail.com
Nome utente - 09FSmarlana

Nome - 04DPsherri
E-mail - ar.i.noch.ka.ve.st.e.l.i.a.n.o.v.a.19.7 3@gmail.com
Nome utente - 04DPsherri

Nome - 01LVcharla
E-mail - ar.i.n.o.ch.k.a.ves.teli.anova19.73@gmail.com
Nome utente - 01LVcharla


Non ho trovato estensioni affette da vulnerabilità e, posso ipotizzare che vengono creati direttamente dal database.

Possibili soluzioni che pensavo:
1 installare plugin come Registration Validator Plugin
2 Cambiare il suffisso delle tabelle  (magari se è un attacco mysql injection forse si risolve )
3 Marco sql injection (non lo conosco ma magari aiuta a risolvere sempre se è un attacco mysql tra cui poò difendere )
4 quelli come me che hanno  jfusion o bridge in generale , provare a disattivare i dual login e registration magari è proprio li che cè una brutta configurazione che viene sfruttata





« Ultima modifica: 11 Dic 2010, 01:05:05 da daniele0 »

Offline anemone

  • Esploratore
  • **
  • Post: 125
    • Mostra profilo
Ripeto che io sono ignorantissima in materia, ma ho il sito ai minimi termini pochissimi componenti e plugin, quelli già presenti in joomla + kunena e basta, praticamente. Sito semplice e facile da gestire, così come da fruire per chi si iscrive :)
Tornando al problema sono secondo me persone fisiche quelle che si loggano e normali spam bot quelli che si registrano, ma poi non risultano abilitati. Ho visto che se li cancellavo dalla lista utenti dopo un po' me li trovavo registrati di nuovo così molto semplicemente vado nella lista utenti dal backend, cambio il loro nome utente, ma lascio mail e blocco utente, così quel determinato spammer non può più perlomeno iscriversi con la stessa mail, percè è già iscritto, una sorta di ban senza avere alcun plugin!? E' un'idea stupida?, che ne pensate?
Ciao ciao :)
Per fare tutto ci vuole un fiore

mau_develop

  • Visitatore
le mail sono generate da uno script non sono mail reali

M.

Offline Tasto Bianco

  • Nuovo arrivato
  • *
  • Post: 1
    • Mostra profilo
Volevo fare una domanda....un sito bucato come si riconosce?
Grazie

mau_develop

  • Visitatore
beh... non sei molto in topic col post..
cmq http://forum.joomla.it/index.php/topic,117151.0.html , punto1.

Secondo me un sito bucato ... non si dovrebbe riconoscere :) ...altrimenti finisce il gioco.

M.

 

Host

Torna su