Autore Topic: Troppi spambot!  (Letto 4756 volte)

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Troppi spambot!
« il: 19 Gennaio 2012, 17:38:58 »
Ragazzi, credo che ve ne siate già accorti: siamo invasi dagli spambot.

Ogni giorno cancelliamo in media 20 spambot, molti dei quali non fanno in tempo a sporcare la board.

Ho provato a cambiare più volte il tipo di captcha usato durante la registrazione, ma senza successo.
Presumo che ci sia qualche bug in phpBB3 che consente di bypassare il controllo.

Attualmente usiamo la versione 3.0.8, che è un po' vecchia a dire il vero. Non mi sono messo ad aggiornare alla 3.0.10 perchè volevo pianificare direttamente la migrazione su SMF quanto prima.

Qualcuno di voi sa per caso se esiste un modo per blindare sto cesso di CMS?
Ripeto: attualmente usiamo phpBB3 v. 3.0.8.

Help us!  :(
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re: Troppi spambot!
« Risposta #1 il: 19 Gennaio 2012, 17:48:41 »
non funzionerebbe... quasi tutti questi spambot usano email random con caratteri casuali, basati su gmail e yahoo -_-''
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re: Troppi spambot!
« Risposta #2 il: 19 Gennaio 2012, 17:59:57 »
speriamo bene allora, appena ho un po' di tempo lo carico sul server.
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

AmigaCori

  • Visitatore
Re: Troppi spambot!
« Risposta #3 il: 19 Gennaio 2012, 18:06:05 »
@dsar
Il captcha e' come se non esistesse  :cry:  , da una diecina di giorni ci troviamo a cancellare a testa 5 bot ogni volta che ci logghiamo, siamo davvero sui 20 al giorno...c'e' qualche mega bug uscito di recente  :roll:

@TheKaneB
Ci vogliono mandare per forza su SMF :lol:
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re: Troppi spambot!
« Risposta #4 il: 19 Gennaio 2012, 18:22:05 »
Ho visto siti cinesi dove ragazzini si inscrivono e guadagnano pochi centesimi al giorno risolvendo i captcha.
Pensateci: decine di migliaia di cervelli di Homo Sapiens Sapiens in parallelo che processano migliaia di captcha al secondo, indipendentemente dalla complessità degli stessi.

Credo che questi nuovi bot non facciano altro che scattare uno screenshot del captcha, inviarlo a questi siti, attendere la risoluzione (immagino pochi secondi) e inserire il risultato. Alla faccia di qualsiasi sofisticatissimo algoritmo di AI  :lol:

La nuova unità di misura per il calcolo numerico è il "cinese/secondo"  :lol:
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re: Troppi spambot!
« Risposta #5 il: 19 Gennaio 2012, 18:57:59 »
Se la siatuazione è veramente quella che descrive Antonio (ossia esseri umani che risolvono i captcha) non esiste altra soluzione se non validare a mano l'iscrizione degli utenti, in pratica quello che sto facendo io sul forum di AMC.
Io ricevo una mail di attivazione per i nuovi iscritti che automaticamente prendono lo stato di utente inattivo, poi io verifico e se non sono bot li attivo a manina.
Ricevo una ventina di attivazioni al giorno e mi basta vedere il nome utente, generalmente random, per capire se devo ignorare o attivare l'utente.
Direi che momentaneamente potrebbe essere una soluzione per bloccare questa immondizia telematica...
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline cdimauro

  • Human Debugger
  • *****
  • Post: 4291
  • Karma: +7/-95
    • Mostra profilo
Re: Troppi spambot!
« Risposta #6 il: 19 Gennaio 2012, 19:41:45 »
Mi sembra una buona soluzione.

Altrimenti come captcha possiamo mettere un po' domande schifosamente nerdo-amigose, che chi ha intenzione di frequentare questo forum non dovrebbe avere molta difficoltà a evadere.

Al limite si mette un pulsante con scritto: "Non sei (abbastanza) nerd ma vuoi registrarti lo stesso? Clicca qui e aspetta di essere attivato dagli amministratori".

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re: Troppi spambot!
« Risposta #7 il: 19 Gennaio 2012, 19:57:54 »
Citazione da: "cdimauro"
Mi sembra una buona soluzione.

Altrimenti come captcha possiamo mettere un po' domande schifosamente nerdo-amigose, che chi ha intenzione di frequentare questo forum non dovrebbe avere molta difficoltà a evadere.

Al limite si mette un pulsante con scritto: "Non sei (abbastanza) nerd ma vuoi registrarti lo stesso? Clicca qui e aspetta di essere attivato dagli amministratori".

Mi hai fatto venire un'idea malvagia...
Scommetto che questi bot lavorano sulla "quantità", cioè sono dei crawler automatici che riconoscono i tipi di forum in base ai tag HTML del form di registrazione. Se riprogrammo il form di registrazione in modo da stravolgerlo, il crawler non sarebbe in grado di compiere la registrazione in automatico e solo un essere umano sarebbe in grado di farlo.
In particolare, forse sarebbe sufficiente cambiare gli ID dei campi della pagina da riempire, chiamandoli "pino", "pippo", "giacomo", invece di "nickname", "email", "password". L'utente umano non si accorge di nulla, ma per un bot i campi sono diversi e non saprebbe che scriverci dentro :-D
La richiesta POST del form conterrebbe infatti ID completamente diversi da quelli standard di phpBB3 e manderebbe a farsi benedire il bot di turno.

Devo fare un tentativo, appena ho un po' di tempo...
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re: Troppi spambot!
« Risposta #8 il: 19 Gennaio 2012, 20:31:08 »
si' ma se sono cinesi sei fregato :-)
sempre ai tempi di quando giocavo a World of Warcraft c'erano i cinesi che facevano farming per conto dei player, tu gli versavi 10$, gli passavi utente e psw e loro ti facevano trovare gold facendo farming sfrenato o ti livellavano il personaggio in un paio di giorni...
Questo per dire che potrebbero essere umani aiutati da spambot...
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline cdimauro

  • Human Debugger
  • *****
  • Post: 4291
  • Karma: +7/-95
    • Mostra profilo
Re: Troppi spambot!
« Risposta #9 il: 19 Gennaio 2012, 21:04:56 »
Citazione da: "TheKaneB"
Citazione da: "cdimauro"
Mi sembra una buona soluzione.

Altrimenti come captcha possiamo mettere un po' domande schifosamente nerdo-amigose, che chi ha intenzione di frequentare questo forum non dovrebbe avere molta difficoltà a evadere.

Al limite si mette un pulsante con scritto: "Non sei (abbastanza) nerd ma vuoi registrarti lo stesso? Clicca qui e aspetta di essere attivato dagli amministratori".

Mi hai fatto venire un'idea malvagia...
Scommetto che questi bot lavorano sulla "quantità", cioè sono dei crawler automatici che riconoscono i tipi di forum in base ai tag HTML del form di registrazione. Se riprogrammo il form di registrazione in modo da stravolgerlo, il crawler non sarebbe in grado di compiere la registrazione in automatico e solo un essere umano sarebbe in grado di farlo.
In particolare, forse sarebbe sufficiente cambiare gli ID dei campi della pagina da riempire, chiamandoli "pino", "pippo", "giacomo", invece di "nickname", "email", "password". L'utente umano non si accorge di nulla, ma per un bot i campi sono diversi e non saprebbe che scriverci dentro :-D
La richiesta POST del form conterrebbe infatti ID completamente diversi da quelli standard di phpBB3 e manderebbe a farsi benedire il bot di turno.

Devo fare un tentativo, appena ho un po' di tempo...
Hai ragione, potrebbe funzionare (se non ci sono i cinesi di mezzo :D), e dovrebbe essere pure molto semplice da implementare.

AmigaCori

  • Visitatore
Re: Troppi spambot!
« Risposta #10 il: 19 Gennaio 2012, 21:07:14 »
Pero' sti bot rispondevano bene alle domande tipo "quanto fa tre piu' due", quindi mi verrebbe da pensare che ci sia una falla a livello superiore, cioe' questi bypassano proprio il sistema di controllo domanda o captcha che sia...altrimenti non si spiegherebbe perche' improvissamente da 10 giorni a sta parte stanno sempre qui' a bussare  :?

magari e' una falla che hanno trovato recentemente in questa versione di phpbb3.

http://www.phpbb.com/community/viewtopi ... #p12983293

We have 2 months old forum. No actual users have been registered, but about 30-40 spambots register every day, ignoring Q&A, re-captcha and any other built in security measures. ...

http://www.phpbb.com/community/viewtopi ... #p12992252

Up until recently I had 30 - 40 spambots a day bombarding my site. I installed captcha (no good), Textual Confirmation (no good) and Administrator only registration which meant I got the emails . However, I realised that the spambots were ignoring the front screen entirely and just submitting a long registration string directly to the main php program. Of course, the filename is available and will receive the info directly!! So, someone, I forget where, came up with a very ingenious one line of code fix. In my list of fields to be passed to the registration program is one for Timezone. The top or first one on the list is GMT-12 which is actually a totally uninhabited region. The other timezones are selected from a drop-down box. It appears that the spambots only select the top entry in a dropdown box so in this case, they will send the Timezone as GMT-12 in the registration string. All you have to do in the main .php registration program is to add a line to check for the Timezone being GMT-12 and if so, exit the process. Since I installed the single line, about 2 months ago, I haven't had a single spambot registration and everyone else can register normally. All Kudos to the person who figured this one out, I forgot where I read it but it does work, for now!
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re: Troppi spambot!
« Risposta #11 il: 19 Gennaio 2012, 21:32:49 »
Se avessi la possibilità di leggere questa famosa stringa di registrazione, potrei fixare il bug.
Il problema, ragazzi, è che veramente non ci arrivo col tempo   :cry:
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline clros

  • ASM Lover
  • *****
  • Post: 457
  • Karma: +3/-1
    • Mostra profilo
Re: Troppi spambot!
« Risposta #12 il: 19 Gennaio 2012, 22:17:53 »
Citazione da: "TheKaneB"

Credo che questi nuovi bot non facciano altro che scattare uno screenshot del captcha, inviarlo a questi siti, attendere la risoluzione (immagino pochi secondi) e inserire il risultato. Alla faccia di qualsiasi sofisticatissimo algoritmo di AI  :lol:


 :shock:  :shock:  :shock:
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »
Claudio CP La Rosa

Menanna

  • Visitatore
Re: Troppi spambot!
« Risposta #13 il: 19 Gennaio 2012, 22:28:29 »
Buona sera... sono "a nanna ri Antoniuzzu"...

Se dopo di me non si registra manco un bot, voddiri 'ca funziona :-D

PS: Antoniuzzu rici ca la pagina di registrazione è tutta sminchiata. Iddu rici...
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »

Offline divina

  • Synthetic Voodoo
  • *****
  • Post: 2051
  • Karma: +1/-7
    • Mostra profilo
Re: Troppi spambot!
« Risposta #14 il: 19 Gennaio 2012, 22:31:51 »
Citazione da: "TheKaneB"
Citazione da: "cdimauro"
Mi sembra una buona soluzione.

Altrimenti come captcha possiamo mettere un po' domande schifosamente nerdo-amigose, che chi ha intenzione di frequentare questo forum non dovrebbe avere molta difficoltà a evadere.

Al limite si mette un pulsante con scritto: "Non sei (abbastanza) nerd ma vuoi registrarti lo stesso? Clicca qui e aspetta di essere attivato dagli amministratori".

Mi hai fatto venire un'idea malvagia...
Scommetto che questi bot lavorano sulla "quantità", cioè sono dei crawler automatici che riconoscono i tipi di forum in base ai tag HTML del form di registrazione. Se riprogrammo il form di registrazione in modo da stravolgerlo, il crawler non sarebbe in grado di compiere la registrazione in automatico e solo un essere umano sarebbe in grado di farlo.
In particolare, forse sarebbe sufficiente cambiare gli ID dei campi della pagina da riempire, chiamandoli "pino", "pippo", "giacomo", invece di "nickname", "email", "password". L'utente umano non si accorge di nulla, ma per un bot i campi sono diversi e non saprebbe che scriverci dentro :-D
La richiesta POST del form conterrebbe infatti ID completamente diversi da quelli standard di phpBB3 e manderebbe a farsi benedire il bot di turno.

Devo fare un tentativo, appena ho un po' di tempo...

è una ottima idea, la prima che proverei, semplice e con buona probabilità efficace da subito
« Ultima modifica: 01 Gennaio 1970, 02:00:00 da Guest »
MorphOS 3.9-PowerMac G5 && PowerMac G4 FW800 && PowerBook G4 && Pegasos2 G4 //AmigaOS4.x //IcAROS x86 //- A4k 060- MacIntel/powerpc - x86/x64/powerpc servers -

Tags: