po aktualizacji masowy atak spambotów

[sabfor]

Witam. Kilka dni temu zdecydowałem sie zaktualizowac swoje forum z dotychczas używanej 3.0.8 do najnowszej wersji 3.0.10. W początkach roku miałem spore problemy z bootami spamującymi (do 10 rejestracji dziennie, bzdurne post itp) jednak poradziłem sobie z problemem ustawiając potwierdzenie rejestracji na email oraz instalując reCachpte. Problem praktycznie przestał istnieć (maks dwie aktywowane rejestracje na tydzien + kilka nieaktywowanych). Wszystko było ok do czasu zainstalowania aktualizacji kilka dni temu... Już godzine po jej "wejściu w życie" na forum pojawiły sie dwa nowe konta spamujące. Ogólnie powróciła sytuacja sprzed ok. pół roku - ~7rejestracji dziennie + posty. Problem się nasila w związku z czym kilka pytań:
1. czy ktoś w ogóle zgłosił taki błąd? jest to ewidentna dziura w skrypcie ponieważ nie sądze aby wciągu 20 min w trakcie których instalowałem aktualizacjie booty osiągnęły "kolejny poziom cywilizacyjny"
2. ogólnie nie zrobiłem kopii zapasowej skryptu 3.0.8, nie zrobiłem raportu z procesu aktualizacji... wiem że chyba z 5 plików zostało tylko zmienionch... może lamerskie pytanie ale w jaki sposób cofnąc aktualizacje?

Pozdrawiam
Sabfor

[Aviator]

Lepiej się zabezpiecz przed botami, a nie chcesz cofać aktualizacje.
http://www.phpbb.pl/mod/sortables_captcha_plugin

[sabfor]

Ale do momentu gdy używałem 3.0.8 byłem zabezpieczony przed bootami i wtym właśnie sedno sprawy tkwi. NIe chcę obciążać użytkowników instalując coraz to wymyslniejsze systemy które i tak są do obejscia..

[Sammael]

1. czy ktoś w ogóle zgłosił taki błąd? jest to ewidentna dziura w skrypcie ponieważ nie sądze aby wciągu 20 min w trakcie których instalowałem aktualizacjie booty osiągnęły "kolejny poziom cywilizacyjny"

Raczej wątpię.

Włącz i skonfiguruj system pytań (Q&A). Działa najskuteczniej ze wszystkich. Boty nie mają praktycznie żadnych szans. Do tego nie obciąża użytkowników. Jak ktoś ma chociaż IQ powyżej 50 na pewno sobie poradzi. Do tego szybka - ani nie obciąża po stronie użytkownika, bo nie korzysta z JS, ani po stronie serwera.
Ewentualnie sprawdź "daroPL Anty-Spam" i włącz zwykłą Captchę (tę najprostszą). Ale ogólnie polecam bardziej pytania.

[Aviator]

Ale do momentu gdy używałem 3.0.8 byłem zabezpieczony przed bootami i wtym właśnie sedno sprawy tkwi. NIe chcę obciążać użytkowników instalując coraz to wymyslniejsze systemy które i tak są do obejscia..

Każde zabezpieczenie prędzej czy później zostanie złamane.
Pytania zostały juz dawno złamane. U mnie było pytanie, zmieniane co jakiś czas a boty i tak się rejestrowały.
Zainstalowaliśmy w/w modyfikacje ustaliliśmy dwa pytania do tego aktywacja przez maila i zero botów.

[Sammael]

Pytania zostały juz dawno złamane. U mnie było pytanie, zmieniane co jakiś czas a boty i tak się rejestrowały.

Dziwne, ja od kilku lat korzystam i jest w porządku...

[Aviator]

Pytania zostały juz dawno złamane. U mnie było pytanie, zmieniane co jakiś czas a boty i tak się rejestrowały.

Dziwne, ja od kilku lat korzystam i jest w porządku...

To że ci nie spamują po forum to nie znaczy, że to nie boty.
U mnie też nie spamowały, no może dwa spamy na miecha, ale się rejestrowały, co było widać po nie aktywnych kontach.

[sabfor]

naprawdze dziwi mnie fakt że zamiast skupic się na problemie dziurawej aktualizacji sugerujecie ustawianie nowych zabezpieczeń... Po co skoro aktualne działały? Problemem nie są booty a samo phpBB 3.0.10 w którym jest luka która pozwala omijać reCachpte (która tez nie jest problemem bo spełniała swoja rolę do momentu gdy nie zainstalowałem 3.0.10). Skoro skrypt jest dziurawy w tej kwestii jaką mam gwarancje na to że nie jest dziurawy w innej, znacznie istotniejszej? W zwiazku z tym ponawaiem pytanie -w jaki sposób cofnąc aktualizacje?

[jaroslw]

Po pierwsze: gdyby w phpBB 3.0.10 była poważna luka ta wersja nie ukazałaby się albo 3.0.11 pojawiła się znacznie wcześniej. Nad kodem i bezpieczeństwem czuwa teraz znacznie więcej osób. Nie podałeś szczegółów. Jakiego pakietu do aktualizacji używałeś? Jeśli nie masz modyfikacji, sugeruję nadpisać plikami z najnowszego pakietu 3.0.10. Pakiety aktualizacji nie są idealne, mógł powstać jakiś błąd. Swoją drogą reCAPTCHa już dawno przestała być skuteczną obroną przed botami.

Wracając do downgrade'u. Nikt nie przygotowuje takich paczek, bo nie mają najmniejszego sensu. Nie zrobiłeś kopii, więc pozostaje Ci ściągnięcie archiwalnej wersji 3.0.8 i wgranie jej na serwer.
https://download.phpbb.com/pub/release/3.0/

Downgrade bazy musisz wykonać na własną rękę. Zmiany są zapisane w pliku database_update.php (pakiet automatycznej aktualizacji), w postaci bardzo podobnej UMIL - biblioteka służąca do tworzenia instalatorów modyfikacji. Jeśli po wgraniu starszych plików nie byłoby problemów, zmiany w bazie nie byłyby konieczne.

[Sammael]

To że ci nie spamują po forum to nie znaczy, że to nie boty.
U mnie też nie spamowały, no może dwa spamy na miecha, ale się rejestrowały, co było widać po nie aktywnych kontach.

Nie zaobserwowałem żadnych dziwnych kont z zagranicznymi IP, e-mailami, etc.

Jest skuteczne - jest. Może źle ułożyłeś pytania :].

naprawdze dziwi mnie fakt że zamiast skupic się na problemie dziurawej aktualizacji sugerujecie ustawianie nowych zabezpieczeń... Po co skoro aktualne działały? Problemem nie są booty a samo phpBB 3.0.10 w którym jest luka która pozwala omijać reCachpte (która tez nie jest problemem bo spełniała swoja rolę do momentu gdy nie zainstalowałem 3.0.10). Skoro skrypt jest dziurawy w tej kwestii jaką mam gwarancje na to że nie jest dziurawy w innej, znacznie istotniejszej? W zwiazku z tym ponawaiem pytanie -w jaki sposób cofnąc aktualizacje?

Mam nadzieję, że weeb Ci już wytłumaczył dlaczego nie powinieneś robić downgraedu. Mówisz o lukach w 3.0.10, a wiesz dlaczego została ta wersja wydana, a 3.0.8 już nie jest ostatnią stabilną? Zastanów się.

[Aviator]

To że ci nie spamują po forum to nie znaczy, że to nie boty.
U mnie też nie spamowały, no może dwa spamy na miecha, ale się rejestrowały, co było widać po nie aktywnych kontach.

Nie zaobserwowałem żadnych dziwnych kont z zagranicznymi IP, e-mailami, etc.

Jest skuteczne - jest. Może źle ułożyłeś pytania :].

Skoro jest takie skuteczne to na złe ułożone pytanie też powinno zabezpieczać. Zresztą co znaczy źle ułożone pytania?

[jaroslw]

Odchodząc trochę od tematu: Q&A już też nie jest do końca bezpieczne. Wszystko zależy od popularności witryny. Na jednym moim forum (trochę większym od tego) tego typu zabezpieczenie sprawuje się cały czas. Na kilku innych forach, przy których miałem okazję pracować, tego typu zabezpieczenie już się nie sprawdziło. Do tej porty działa na nich z powodzeniem Sortables CAPTCHA.

[Aviator]

To tak jak u mnie, na jednym forum globalu zabezpieczenie zostało złamane, a na innym forum nawet gdzie jest możliwość pisania dla gości zabezpieczone pytaniem (stolica polski) od ponad roku nawet jeden bot się nie prześliznął.

Sammael, wystarczy spojrzeć na to forum, jest zabezpieczone pytaniem pisanie dla gości?-, jest, są co jakiś czas boty?-, są.
Przecież nikt nie będzie dawał ilości pytań jak w teście na iQ, żeby zabezpieczyć forum

[Sammael]

Przecież nikt nie będzie dawał ilości pytań jak w teście na iQ, żeby zabezpieczyć forum

Łe, ja mam tematyczne pytania i kto jest zainteresowany tematyką ten odpowiedź na pewno będzie znał. Jak ktoś czasem daje pytania typu "Ile to 2+2" to się nie dziwie, że mu boty się rejestrują.
Dobrze sprawuje się też daroPL Anti-Spam. Wtedy można włączyć zwykłą, prostą, domyślną Captchę, a boty i tak się nie rejestrują. Z tego co pamiętam zmienia on pola formularzy. Ja nie lubię JSowych zabezpieczeń i ich jak najbardziej unikam.

[sabfor]

Mam nadzieję, że weeb Ci już wytłumaczył dlaczego nie powinieneś robić downgraedu. Mówisz o lukach w 3.0.10, a wiesz dlaczego została ta wersja wydana, a 3.0.8 już nie jest ostatnią stabilną? Zastanów się.

widze że 3.0.10 juz też nie jest aktualne