התראת אבטחה למנהלי פורומים מבוססים PHPBB 3.0.X

אלו שמנהלים פורומים המבוססים PHPBB 3 (עד, כולל, גירסה 3.0.4) אולי שמו לב בזמן האחרון למשהו מעניין: נרשמים בכל יום מס’ אנשים בשמות משתמשים באנגלית, עם כתובת אימייל רוסית. הם עדיין לא כותבים הודעות אלא רק נרשמים.

אלו אינם אנשים רגילים אלא סקריפט שרץ מרחוק ויודע “לקרוא” את  ה-CAPTCHA מייצר את המשתמשים האלו, כך שבעתיד הסיכוי גבוה שאותם “משתמשים” יתחילו להפציץ לכם את הפורום בזבל.

בשלב זה אין פתרון מצד מפתחי PHPBB. יהיה פתרון בגירסה 3.0.5 אך היא עדיין לא קיימת.

מה אפשר לעשות? עבודה ידנית שהיא די פשוטה:

  • היכנסו לתפריט הניהול הראשי ובחרו את שם המשתמש שאינכם בטוחים אם המשתמש אמיתי או פרי יצירת סקריפט. העתיקו את כתובת ה-IP שלו
  • כנסו לאתר הזה והדביקו את כתובת ה-IP
  • אם הכתובת מופיעה בבסיס הנתונים שם, תוכלו לראות ממתי יש חסימה, את שמות המשתמש שנוצרו ע”י הסקריפט שרץ במכונה עם הכתובת הנ”ל (הנה דוגמא).
  • מחקו את המשתמש והודעותיו.
  • כנסו במסך הניהול הראשי ל”משתמשים וקבוצות” ובחרו בתפריט מימין “חסימת כתובות IP”. הזינו את הכתובת ורישמו הערה (תרגישו חופשי גם לקלל בהערה 🙂 )
  • זהו. לעת עתה הסקריפט שיורץ שוב מאותה מכונה לא יוכל ליצור משתמשים אוטומטית.

לאלו המעוניינים ממש להקפיד, אפשר להפעיל את האופציה שמייל ישלח עם לינק אקטיבציה ורק לאחר מכן שהמשתמש יאושר, אולם לצערי הסקריפט המפצח את ה-CAPTCHA עוקף גם את זה, ולכן כדאי לחסום כתובות עד שתופיע גירסה המתקנת את הפריצה הזו.

Comments

comments

7 תגובות בנושא “התראת אבטחה למנהלי פורומים מבוססים PHPBB 3.0.X

  1. אני תוהה האם שמעת על מנגנון מתוחכם כזה, שקוראים לו anonymous proxy. הוא יכול קצת לדפוק את התוכניות שלך לעצור ספאם באמצעי הספציפי הזה.

  2. בהחלט שמעתי על זה, אבל הסקטור שכתבתי לו את הפוסט זה דווקא הסקטור שלא הכי בקי בתכנות. אלו שבקיאים, ויודעים PHP טוב, יכולים בזמנם הפנוי לעשות משימת קמיקזה ולהיכנס לקוד של PHPBB ולהחליף את גירסת ה-CAPTCHA או לשנות את ה-CAPTCHA שם למשהו אחר.. כמו אותיות עברית? 🙂

  3. הבעייה הזו תקפה אותי גם בפורום שלי (האמת גם בשני שאני חושב על זה) ב-PHPBB2 אני התקנתי CAPTCHA. והאמת זו לא בעייה יחודית ל-PHPBB.

    , אבל נראה שבגדול הבעייה נובעת מגנרת (generic) של האתרים. הם דומים מדיי, אז קל לפרוץ.

    נראה לי הסיבה שעושים את זה היא בשביל לקבל spam-indexing בפרופילים, תראה שלכולם יש אתר בפרופיל.

  4. אההמ, הלינק שלך מוביל לבלוג שלי 🙂
    ולא, כמעט לאף אחד מהמשתמשים שנוצרו ע"י הסקריפטים אין אתר בפרופיל.

  5. ב־mozilla.org.il אנחנו נתקלים בבעיה הזו כבר כמה שנים, ותופעה דומה מופיעה גם בפורומים אחרים, בהנחה והם מספיק "מוכרים" כדי שהתוכנות האוטומטיות של הספאמרים הצליחו לקרוא אותם – הם חודרים בקלות פורומים מבוססי phpbb2 ולקח להם מספר חודשים לפצח את ההגנות של phpbb3 ולגרום גם לאלו להיות חשופים בפניהם. אני לא בטוח שמדובר באנשים שמעוניינים לפרוץ את ההתקנות הקיימות, אלא יותר להשתמש בפורומים למטרות SEO וקידום אתרים מפוקפקים. אותם ספאמרים מצליחים לעקוף את הגנת ה־Captcha המובנת של phpbb וגם את ההגנה של אימות כתובת דוא"ל הם מצליחים לעקוף בקלות.

    מה שאני עשיתי עם mozilla.org.il היה לכתוב תסריט קצר שמסבך להם את החיים אבל מספיק שקוף לגולשים רגילים. מאחר ולא מדובר בהגנה סטנדרטית אלא משהו שלא דומה לאתרים אחרים (שימו לב – הסיסמה אפילו לא מוצפנת בקובץ שמוגש לדפדפן!), והספאם נעצר לחלוטין.

סגור לתגובות.