imagine de securitate

posturi automate de la boti: phpBB este foarte vulnerabil

imagine de securitate

Mesajde danadmin » 26 Feb 2007, 06:08

Datorita popularitatii sale, phpBB este constant supus asaltului postarilor spam, de tot felul, de la magicele pilule care transforma un barbat in masina de facut sex, pana la tot soiul de scheme de castiguri imediate.
Autorii forumului au creta o serie de praguri menite sa mai stavileasca asaltul spammerilor.
Iata ce puteti face in mod decent:
1. In panoul de control al administratorului, la categoria Administrare generala alegeti configurare generala (aceste denumiri pot varia in functie de traducerea de care dispuneti, dar ati inteles in principiu despre ce este vorba). Alegeti validarea contului activata de .... Daca doriti o protectie totala alageti administrator. Acest lucru are marele dezavantaj ca daca un utilizator doreste sa raspunda la un subiect de discutie si se trezeste in fata unei asemenea restrictii, in principiu ii va piere cheful sa mai intre pe forumul dvs. O filtrare decenta este activarea contului de catre utilizator. Un utilizator care arde de dorinta de a raspunde la un subiect, va fi nevoit mai intai sa se inscrie, urmand ca dupa parcurgerea tuturor pasilor sa primeasca un email la adresa indicata cu un cod de validare. Dupa validarea inscrierii utilizatorul poate participa la discutii.
2. Din pacate sunt muti roboti care fac inscrieri si validari automate, asa ca desi pasul 1 pare un fitru suficient, in realitate nu este si va veti trezi cu subiecte despre marirea penisului, poze cu staruri porno in actiune, etc. Un alt prag este folosirea unei imagini care sa contina un cod de securitate aleator, cre trebuie introdus intr-un camp al formularului de inscriere. Un robotel nu poate citi o imagine si va fi asadar necesar un ochi uman ca sa desluseasca ce e acolo.
Ei bine, nu e chiar asa: imaginea in format png produsa de phpBB este in realitate usor de spart.
http://blog.phpbb.cc/articles/captcha
Asa se face ca in fiecare zi ma trezeam cu solicitari de inscriere de la utilizatori din aceia de mai sus. Zeci pe saptamana. O clienta s-a plans ca dupa ce i-am solicitat sa activeze imaginea de securitate a avut inca si mai multe posturi xxx...
Asa ca m-am hotarat sa iau taurul de corne si sa studiez problema.
Am instalat un font truetype pe server (arial.ttf) si am schimbati codul imaginii de securitate.
Am umblat un pic si la tabelul care stocheaza incercarile de validare a codului de securitate.
Iata ce trebuie facut:
a) aveti nevoie de libraria gd. Aceasta este foarte comuna in instalarile php si cred ca este implicita la php5 daca nu ma insel.
b) pentru libraria gd aveti nevoie de suport ttf (freetype trebuie instalat pe server). Si acesta este un lucru comun la configuratiile de pe web. Daca nu sunteti sigur in privinta a cestor 2 componente puteti vedea cu phpinfo() daca sunt instalate. In randul Configure Command trebuie sa aveti ceva de genul: '--with-ttf' '--with-freetype-dir=/usr' '--enable-gd-native-ttf' '. Daca nu va descurcati prea bine intrebati adminul.
Cautati fisierul usercp_confirm din directorul includes si inlocuti cu ce am atasat eu. In interiroul fisierului aveti de modificat calea catre font, in functie de unde v-ati decis sa il puneti pe server. La mine este /usr/local/fonts/ttf/arial.ttf.

Dupa ce am facut asta nu au mai fost pilule, castiguri de milioana, si poze fierbinti. Slava Domnului.

Succes!

Atentie: nu va pot garanta ca pentru versiuena dvs. de phpBB va functiona, nu uitati sa va faceti un backup dupa fisierul original, in caz ca ...
danadmin
Site Admin
 
Mesaje: 22
Membru din: 26 Apr 2003, 21:33
Localitate: Bucuresti

Detalii?

Mesajde serbans » 22 Sep 2008, 01:55

Salut!
Faci menţiune la un anume fel de fişier. Unde poate fi găsit? Despre ce fişier e vorba? "fişierul ataşat".
Am acest fel de probleme. Versiunea este 2.0.21. Am şi 3.0, dar importul la BD e mai complicat şi sunt începător. Rularea backup-ului e simplă, dar problema compatibilităţii BD e rezolvabilă doar manual şi structura BD e destul de stufoasă.
Am si update-ul la el, dar a face backup cu mizeriile alea în BD, e o porcărie. Pe de altă parte, aşa nu mai merge. Am stopat posturile libere, dar înscrierile automate?
O posibilă soluţie auxiliară, e şi robots.txt, dar e una dintre cele necesare. am descoperit târziu, urmărind stats...
Fii te rog amabil şi trimite-mi şi mie fişierul sau un link. E cumva vorba de fontul arial.ttf?
Dacă da, îl am oricum pe sistem, versiunea RO parcă. Dacă e vorba de font, sunt destule locuri de unde poate fi dat jos un font. Un search cu "fre ttf fonts" ar rezolva. Am scris asta pentru cine are nevoie de ttf-uri, care acuma merg şi pe UX-uri. Cel puţin din ce ştiu eu, Knoppix, Mandriva, Fedora, Debian, SuSe, Ubuntu, ştiu că merg cu ttf, trebuie doar puse. Mai sunt şi altele care ştiu că merg.
Toate cele bune!
"Ceea ce nu te ucide, te întăreşte"
Şerban Stănescu
www.serbans.com
www.mediafctory.com
www.negative-audio.eu
www.estagroteh.ro
serbans
 
Mesaje: 3
Membru din: 07 Aug 2008, 17:57
Localitate: Alexandria

Mesajde alypopa » 04 Mar 2010, 21:50

puteti da mai multe informatii referitoare la securitate? ce probleme ati intampinat?
alypopa
 

Re: imagine de securitate

Mesajde danadmin » 12 Mar 2010, 00:27

Acest topic era valabil pentru phpBB2.
La phpBB3 imaginea de securitate este mult îmbunătăţită şi înscrierile sălbatice sunt deja imposbile.
Pentru cine mai are îmcă phpBB2: trecerea la phpBB3 este absolut necesară.
Cum? Voi posta în curând intr-un subiect nou.
danadmin
Site Admin
 
Mesaje: 22
Membru din: 26 Apr 2003, 21:33
Localitate: Bucuresti


Înapoi la vulnerabilitati phpBB

Cine este conectat

Utilizatorii ce navighează pe acest forum: Niciun utilizator înregistrat şi 3 vizitatori

cron