PHPBB 3.0.10 vulnerabile agli spambot anche se protetto ?

[GizMo]

le protezioni anti registrazione a quanto pare non servono mi si e' registrato giusto adesso uno spambot, grazie cmq all'attivazione da parte dell'admin l'ho sgamato visto che non puo' postare in teoria... per adesso non lo cancello voglio vedere se riesce a fare qualcosa di piu', tipo postare lo stesso.

Cmq ho notato una chiave comune tra tutti gli spambot che mi si sono registrati fin'ora, nel profilo di tutti l'email indicata e': @yahoo.fr

L'ip e' di provenienza dell'ucraina, il sistema attaccante e' una macchina windows server 2003 (microsoft ci tengo a sottolineare hihi). ip attaccante 91.207.8.62

[Tiger]

Per fortuna di questi problemi nel mio forum,fino ad ora non c'e traccia,forse perche' uso un recaphta impegnativo?
Forse perche' ho l'attivazione con e-mail di ritorno?
Chissa...

[umby]

Gli attacchi avvengono nei forum con molta visibilità e con molti accessi.

I contini attacchi sono prevalentemente di origine russa,
da me ne fanno oltre 30 al giorno,

mi difendo avendo configurato attivazione tramite admin e
togliendo TUTTI i permessi ai nuovi utenti,
inoltre ho dato il solo uso esclusivo di scrittura nella sola area benvenuti.
Ma i messaggi non vengono visualizzati se non approvati da admin.
Con tutto cio’, continuano a fare oltre 30 iscrizioni al giorno, anche se inutili, si divertono i lamer.

un difetto in realta' nel php bb 3.0.x c'è, ma è vecchio:
togliendo tutti i permessi ai nuovi iscritti, rimane comunque la possibilita' di configurare dal pannello di controllo la parte riguardante il profilo e l’unica cosa che possono fare e mettere i link verso vari siti

Questa è una cosa che potrebbero eliminare sulle prossime versioni, dando la possibilità dal pannello di controllo admin, di negare l’accesso alla voce Profili, in Pannello di Controllo Utente.

Ad esempio, se provate a fare la registrazione nel mio forum: http://umbyweb.altervista.org/forum
Vi accorgete che:
1) i nuovi registrati visualizzano solo l’area benvenuti e regolamento.
2) i nuovi registrati possono scrivere solo nell’area benvenuti.
3) i nuovi registrati scrivono ma i post non si vedono, perche’ rimangono nascosti, in attesa di approvazione admin.
4) Nel regolamento forum ho inserito: Chi non si presenta non verra’ abilitato. In questa maniera si selezionano gli utenti comuni dagli spammatori.

In questa maniera, per chi fa spam, diventa praticamente inutile, tanto i post non li vede nessuno.
Poi semplicemente, dal PCA, si abilitano gli utenti comuni che si presentano e si cancellano tutti gli altri.

[Angolo]

Sì, ma è praticamente inutile, se consenti l'accesso al profilo solo ai registrati....

L'importante, è configurare correttamente il gruppo nuovi utenti registrati, come è stato detto.

Consiglio di usare la MOD con il set di domande intelligenti, in luogo di quella nativa, che unita al recaptha, diventa molto impegnativa da superare... Cercando sul forum, trovate info.

[umby]

da me non risulta come opzione,
io ho tolto tutto sia ai nuovi utenti che ai nuovi utenti registrati, inserendo l'opzione MAI a tutto,
ma si puo' ugualmente accedere alla voce profilo nel pannello di controllo utenti.

Sì, ma è praticamente inutile, se consenti l'accesso al profilo solo ai registrati....

[Angolo]

Al proprio, non a quello degli altri.
Ora, se la massa non può accedere al mio profilo, il mio spammare, è assolutamente inutile. Questo è il senso. Se invece accedono, allora il mio spammare ha senso. È fallimentare una "pubblicità" accessibile solo a chi la crea.

[Silver Surfer]

io ho aggiornato 10 minuti dopo il rilascio della nuova versione, aggiornando ovviamente anche lo stile e non ho rilevato affatto aumento, anche minimo di spambot (praticamente zero erano... e zero son rimasti).
Ho una Board con una infinità di MOD, tra le altre cose.
Però qualche bug deve esserci, anche se da quel poco che ho letto parrebbe legato all'uso del Q&A CAPTCHA, cosa che io non ho mai preso in considerazione.
Saluti

[Angolo]

Grazie per il tuo intervento Silver. In effetti il Q&A nativo, non mi ha mai convinto, se non altro, perché non può coesistere con altro; e per questo utilizzo una MOD che combina le due cose...
Il recaptcha, sappiamo che viene da una parte sistematicamente violato, e dall'altra, sistematicamente potenziato, appartenendo a Google.

Se con l'installazione della MOD più volte segnalata:

[RC1] Prime Anti-bot - Anti-spambot Text Verification 1.0.6

risolvete, allora è una cosa legata al Q&A nativo. Circa il recaptcha, da solo, non basta.. questo è appurato. Ma non da ora.

Del resto, se qualcuno riesce a leggere nel database (Q&A nativo)... non ci vuole niente superarlo.
La MOD citata, non scrive nel database le risposte.. questa a mio avviso è la sua forza.

[Micogian]

Probabilmente il mio forum è tra quelli presi di mira.
Anch'io non avevo la funzione Q&A, l'ho messa oggi a pranzo, ho già avuto due registrazioni successive.
Le registrazioni devono essere attivate dall'amministratore ma avere 5-6 spammer al giorno è stressante.
Questo non succede con il forum che è ancora in versione 3.0.9.

EDIT:
no, rettifico, avevo inserito la Q&A ma ho fatto una prova e non compare in registrazione, può darsi che abbia sbagliato qualcosa.
In locale funzionava, adesso vedo perchè non inserisce la domanda
Mi stavo preoccupando.

[Tiger]

Probabilmente la funzione Q&A, sta dando problemi e' evidente,...ripeto anch'io come silver siamo stati credo tra i prmi ad aggiornare,non usiamo funzione Q&A,aspettiamo e vediamo che succede.
Cmq e' mia abitudine installare piu' di un recaptcha nella board,e cambiarla mensilmente.