Астрал и осознанные сновидения. Форум практиков

Мне вот интересно знать кому могло понадобится?
Конкурентам - шизотерикам?

Когда выходит свежий эксплойт, то пионеры ломают "лишь бы было", перед бабами понтоваться - "А я-то Радугу ломанул!"

ПРИЗНАВАЙТЕСЬ КАКОЙ МУДАГ СЛОМАЛ РАДУГЕ САЙТ??

Астрально покараем.

На каком то сайте видел такую фишку: чтобы зарегистрироваться надо прослушать аудиозапись в которой записан код. Например нажимаю плей и слышу 1234 потом ввожу 1234 и только тогда зарегистрируюсь. Против ботов самое то!

DerKater писал(а):ПРИЗНАВАЙТЕСЬ КАКОЙ МУДАГ СЛОМАЛ РАДУГЕ САЙТ??

Ага, быстро!)))

Smart писал(а):На каком то сайте видел такую фишку: чтобы зарегистрироваться надо прослушать аудиозапись в которой записан код. Например нажимаю плей и слышу 1234 потом ввожу 1234 и только тогда зарегистрируюсь. Против ботов самое то!

Все сложнее. Я вчера изменил код на 777777, но надпись оставил про 666666. Боты прошли запросто в первые же минуты. Видимо, взломана система форумов phpBB в самом корне. Буду придумывать что-то прнципиально новое.

Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/

scriptin писал(а):Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/

Это все боты ломают давным давно и легко. Разновидности таких защит стояли, но все равно некоторые боты прорывались. Когда я оставил всего один вариант кода и вообще удалил картинку, написав вместо нее вопрос - 2 года ни одного робота.

Распространенные защиты ставить нет смысла. Под них программы делаются отдельно. А когда сам что-то делаешь - никто под тебя не будет пограммы создавать. Поэтому доверяю только своим рукам, хотя все знаю поверхностно.

Так может просто спамер посмотрел код, а раз код один - то и всех ботов он научил его вводить?

Михаил РАДУГА писал(а):А когда сам что-то делаешь - никто под тебя не будет пограммы создавать.

Распространённое заблуждение. Большинство взломов уникальны и бОльшая часть хакерского ПО пишется под какой-то конкретный случай.

Каптча, на которую я дал ссылку, не распознаётся роботами, в отличие от той, что в phpBB стоит стандартно (http://captcha.ru/breakings/phpbb/). Именно поэтому я порекомендовал поставить kcaptcha. Я интересуюсь вопросами информационной безопасности (в связи с тем, что я будущий специалист по защите информации), а также теорией распознавания образов. Я уверяю вас, что современные боты не научились распознавать такие каптчи, как та, что я порекомендовал (за реальное время, конечно).

"Некоторые боты" прорывались потому, что старая защита была ненадёжна и по теории вероятности они часто угадывали код с картинки. Когда вы убрали эту защиту, старым ботам нечего стало атаковать. Но только до тех пор, пока какой-то хакер не заинтересовался сайтом и не написал новых ботов, заточенных под новую защиту.

Лондо писал(а):Так может просто спамер посмотрел код, а раз код один - то и всех ботов он научил его вводить?

Бинго! Что может быть проще?

Только что взглянул на форму регистрации. Крутой бот может прочитать текст и посчитать ответ. Т.е. защиты от ботов практически нет. Текст ведь даже не меняется! Оценка такой защиты будет 2 по 10-балльной шкале. Единицу я ставил движку, который мой друг написал - там был ответ прямо в коде страницы. Ноль - это когда защиты нет.

Кстати, каптча - это самый продвинутый способ защиты. Даже звук проще распознаётся, зачастую.

Альтернативный способ: пользователю показывают картинки и просят отметить те, на которых изображён, к примеру, самолёт.
Недостаток: бот может составить базу всех картинок.
Решение: чаще обновлять базу картинок.

Ещё способ: генерируется (именно генерируется) картинка с кучей маленьких рисуночков. На других картинках эти рисуночки отдельно. Нужно указать, например, какой из маленьких рисуночков отсутствует на большой картинке.
Недостаток: бот может распознавать картинки, т.к. они шаблонны и их число ограничено.
Решение: использовать зашумление изображения.

Кстати, вот тут: http://captcha.ru/captchas/multiwave/ - описан алгоритм "MultiWave", который, на мой взгляд, является лучшим среди всех алгоритмов генерации каптчи. Такие картинки легко распознаются человеком, но практически не по зубам ботам. Плюс к тому не требуется дополнительных библиотек. Нужна только GD, которая в большинстве случаев сразу есть в базе PHP на любом сервере.

Меня посетила мысль. А что если боты цифры угадывают тупым перебором? Допустим, бот может отправлять запрос раз в секунду. Тогда, при 6-значном коде, он будет угадывать его примерно раз в 1000000 секунд, т.е. около 11 суток. Т.о., даже 6-значная каптча не даёт страховки от ботов. Вот отсюда те самые "некоторые боты".
Выход: использовать лат. буквы и цифры. 36 вариантов - это даже для 4-символьной каптчи даёт 1679616 комбинаций. А в phpBB стандартно используются длинные каптчи из цифр - воодить дольше, а защита всё равно меньше.

Вторая мысль: А не могли ли сайт поломать сектанты? Им ведь больше всего невыгодно распространение правдивой информации о феномене ВТО.

Михаил РАДУГА писал(а):scriptin, каптча не поможет.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...

Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.

Взомална вся регистрационная система phpBB, как я понимаю.

Пора менять движок форума и его тип?Как-то давно уже шла речь об этом, как о недалкой перспективе, но насколько я понимаю это будет не бессплатно.

А может нужно задавать контрольный вопрос? К примеру "Сколько лап у кошки?" Ответ должен читать ЧЕЛОВЕК (или его астральная проекция))), Но ни как не прога!!!

Михаил РАДУГА писал(а):Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.

3 раза с одного IP. Кто сказал, что они работают с одного? Он может хоть каждый раз с нового заходить (гипотетически).

Комбинации а-ля "111111" перебираются в первую очередь. Кстати, есть ещё перебор по словарю. Попробуйте поставить совершенно случайную последовательность.

Каптчу надо ставить в любом случае. Если кто-то узнал пароли, их следует поменять.

Кстати, пароль (т.е. те самые "666666") хранится в php-скрипте регистрации? Если так, то всё однохначно - кто-то может этот файл смотреть. И преимущество каптчи в данном случае заключается в том, что генерируемая последовательность хранится не в файле, а в памяти на сервере (в сессии).

Поэтому я настоятельно рекомендую поставить каптчу! Я уверен на 80%, что после этого боты перестанут проходить.

Smart писал(а):А может нужно задавать контрольный вопрос?

Нет, это не поможет. Разве что, если вопрос будет каждый раз уникальным. И опять же - можно составить базу ответов. Плюс пользователям будет лень это воодить.

Вообще, phpBB - вещь высьма дырявая. Самая "неуязвимая" версия, которую я знаю - 2.0.22. Как-то искал на неё дырки - нашёл всего две каких-то некритичных уязвимости.

Хуже, если взлом вообще в обход уязвимостей движка идёт.

Это йа сламал сайт! Больша не буду! Абещаю

-ПОЭТ-
Предлагаю астрально гильотинировать!

На время перекрыл ботам допуск, а те что уже успели зарегестрироваться уничтожаются, за вчера и сегодя из БД было удаленно более 800 акаунтов=).
Если боты пролезут опять, придётся ужесточать правила регистрации на форуме, через потверждение по e-mail например.

Полностью поддерживаю walkera. Пора ужесточить правила регистрации на форуме. Не дадим в обиду любимый форум:)!

Вроде всё, всех зарегившихся ботов удалил из БД.Всего за месяц на сайт пролезло более 1300 спам-ботов.

А меня расстраивает, что все подобные форумы скатываются к какой-то полной хренотне (посмотрите на весь флуд в соседних ветках), а зерно - обсуждение ОСОЗНАННЫХ СНОВИДЕНИЙ (методик, техник, совершенствования и проч), становится продуктом редким и почти лишенным смысла и внятности(((
Может быть вообще имеет смысл закрывать "общие открытые разделы" и обсуждать только предметные вещи...Пусть лучше ничего, чем куча мусора.
И уж во всяком случае, надо отсекать при регистрации как предложил walker!

Йа пошутил! Йа еще раз взламаю сайт! Абещаю! Это я так люблю их ламать патаму чта я очемь уный!

Да какой ты нахрен умный? Ошибок больше чем у первокласника!
Чтобы было меньше спам ботов надо запретить постить ссылку, а ещё лучше создавать тему, до тех пор, пока не наберётся 10 сообщений. Тогда спам боты не смогут фигачить рекламму.