drupal.hu spamek? Lehet tudni, milyen biztonsági rést találtak,van-e rá javítás?

Sk8erPeter képe

Sziasztok!

Mostanában elég sok spam érkezik a drupal.hu-ra (pl. http://i.imgur.com/vUHp6.png), és máshol is jelezték, hogy még CAPTCHA használata esetén is érkezik spam a kommentek közé Drupal 7-esnél, pl.: http://prohardver.hu/tema/drupal_portal_fejlesztes/hsz_311-311.html.

Gondolom valami célzott támadásról van szó (mondjuk tudtommal Joomlát és WordPress-t gyakrabban támadják sikeresen (vagy csak ezzel próbálkoznak jobban), legalábbis az ezzel kapcsolatos hírek gyakorisága ezt jelzi, nem olyan rég volt ilyen: https://www.facebook.com/permalink.php?id=150639758327604&story_fbid=456... itt jelezte egy srác, hogy ő érintett volt: http://prohardver.hu/tema/weblap_keszites/hsz_6329-6329.html), egy valakik által kiderített biztonsági rést kihasználva (játszanának inkább azzal, ami velük egyidős), de lehet tudni, vagy legalább tippelgetni, hogy mi az, és dolgoznak-e a biztonsági rés befoltozásán? Vagy még ismeretlen, melyik modul(ok) okozhat(nak) konkrétan ilyet?

Azért is kérdezem, mert ki tudja, hátha engem is érint majd, és akkor legalább legyek felkészülve.

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
Fórum: 
szantog képe

Semmi különös nem történik, csak kici kinai jómunkásemberek darabonként kb 0.0034 dollárért 7/24 fejtik a captchákat, amiket kidob eléjük egy rendszer. Amiket megfejtettek, azt a kombinációt, illetve képet meg már felismeri a robot.
Sajna nincs 100%os védelem.

2
0

----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.

Sk8erPeter képe

ja, hogy ennyi? Ilyen bizniszről már hallottam, hogy nagyüzemben foglalkoztatnak ilyesmire embereket (vagy lehet, hogy a kvázi-rabszolga kifejezés itt helytállóbb), sőt, állítólag van olyan szolgáltató, akin keresztül ilyen böngészőpluginre is elő lehet fizetni, ami elvileg annyit csinál, hogy épp a kici occó kínai jómunkásembereknek továbbítja a CAPTCHA-t, azok meg jól megfejtik helyetted, és visszakapod készen, hiszen nyilván elképesztő nagy meló beírni egy ilyet. :) De nyilván naivitás lenne elhinni, hogy átlagjúzerek használják, és nem inkább nagyüzemi spammerk×csögök.

Amúgy én úgy tudom, hogy az alábbi jellegű CAPTCHA-t (Mollom) nem nehéz akár automatizáltan (kici occó kínai munkász keze munkája nélkül) is megfejteni, mert nincs igazán elbonyolítva:

drupal.hu CAPTCHA
legalábbis voltam egy előadáson, ahol erről volt szó, és ott az volt a konklúzió, hogy manapság az ilyesmi már nem annyira probléma, mert nincs NAGYON "elmaszatolva", "összekoszolva", csíkozva, stb.
Persze ha meg nagyon össze van kuszálva, akkor meg már a felhasználói élmény rovására mehet (ha még Te sem tudod elolvasni, akkor lehet, hogy elmegy a kedved a dologtól).

Amúgy igazából biztos sok lóvé van ebben, ha már ekkora biznisz, de sok esetben nem értem, hogy éri meg, mert annyi idő alatt, amennyi idő alatt leszeditek általában (szerencsére, köszi nektek), még a Google sem tudja beindexelni ezeket a tartalmakat, pedig gondolom épp a cross-linkelés lenne a céljuk. Mondjuk feltételezem, nem nagyon tesztelik a dolog hatékonyságát, csak szétszórják a weben, hogy ****** [CENZÚRA HELYE] meg. Az is igaz, hogy biztos vannak oldalak, ahol sokáig nem veszik észre, az az idő meg éppen elég a reklám szétszórására (hogy legalább a Google lássa).

Na, visszatérve a konkrét problémára:
ilyesmi nem lehet hatékonyabb?
Honeypot
http://drupal.org/project/honeypot

2
0
szantog képe

Ez a honeypot ígéretesnek tűnik, érdemes kipróbálni. Főleg az időzítés tetszik benne, az ilyen rejtett form elemes vuduk már elég régen nem működnek elég hatékonyan, a botok simán kiszúrják. Mondjuk egy login/register oldalon velem, mint lastpass userrel ki tudnak szúrni, mert bőven 5 sec alatt elérek a submitig, remélem a visszajelzés része is rendesen meg van csinálva, hogy észrevegyem, hogy ne kapkodjak annyira.

1
0

----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.

Sk8erPeter képe

Igen, nekem is tetszett, élesben még nem próbáltam, de nagyon ajánlották több helyen is.

0
0
Sk8erPeter képe

Jelentem, kipróbáltam a Honeypotot élesben is, és eddig hatékonynak tűnik.
Meguntam, hogy egy még fejlesztési fázisban lévő oldalról hirtelen valamiért naponta jön több regisztrációs kérés e-mailben, ami pedig adminisztrátori engedélyhez van kötve, és ezek automatizált, fake regisztrációnak tűntek (pl. e-mail-címek, a hülye felhasználónevek alapján, meg azért, mert egyelőre az oldal címét elvileg csak páran tudjuk, akik megbízhatók), és a Honeypot logolását bekapcsolását követően igazoltnak is látszik, hogy ezek mögött valóban nem valós felhasználók állnak. A Honeypot tehát megakadályozta ezeket a felesleges regisztrációkat.

A naplóban ez látszik többször is:

"Blocked submission of user_register_form due to submission of the form in less than minimum required time."

1
0
Robert Petras képe

Köszi a visszajelzést Péter! Úgy tűnik, hogy hasznos lesz ez a kis modul számomra is, mert éppen tegnap botlottam bele hasonló szituációba.

Eszement dolognak tűnik, de azért megosztom veletek is, hogy mi történt. Tegnap Drush-t használva sikeresen telepítettem távoli szerveren egy alap Drupal weblapot. Örültem, mint majom a banánnak, mert korábban gondjaim voltak a távoli adatbázis eléréssel, de nem ezúttal. Habár rendszeresen használom a Drusht távolról elérve a weblapokat, nekem mégiscsak ez volt az első sikeres Drupal telepítésem nem lokális környezetben. Sok-sok változót is megadtam a telepítő parancsnak ami 2-3 sornyira duzzadt, de gond nélkül lefutott minden.

Ezután nekiálltam a modulok letöltésének és telepítésének. Mire végeztem a nagyjával átváltottam a webes felületre, hogy ott folytassam a beállításokat. Csak néhány perc telhetett el, de már valaki elindított egy regisztrációt a weblapon. Persze hamis levélcímet adott meg és valamilyen hülye nevet magának ahogy ez lenni szokott, de azt hittem, hogy az agyam eldobom, mert eszem ágában sem volt "tagokat" toborozni az oldalon.

Azt nem tudom, hogy csak egy szemfüles unatkozó látogató kérvényezte a regisztrációját vagy egy robot, mert azonnal blokkoltam/töröltem a lapról.

Kérdés: lehetséges, hogy egy robot elindítsa a regisztrációs folyamatot, azután az elküldött emailt is visszaigazolja, netalán be is lépjen a weboldalra vagy erre csak egy humán képes?

0
0
nevergone képe

„Kérdés: lehetséges, hogy egy robot elindítsa a regisztrációs folyamatot, azután az elküldött emailt is visszaigazolja, netalán be is lépjen a weboldalra vagy erre csak egy humán képes?”

Igen, lehetséges.
Még a Drupal 5 idején kíváncsiságból magam is írtam egy kis kódot, ami végigvisz egy regisztrációt, majd beküld egy tartalmat.

1
0
Robert Petras képe

Csak egy élő példa arra, hogy nem csak a robotok érik el az oldalt:

Nemrég teszteltem online környezetben egy Drupal Commerce webáruházat. Ha jól emlékszem, akkor a PayPal-tól kapott Developer fiók (test, seller/buyer, email, stb) miatt kellett, hogy online legyen, mert csak így tudtam tesztelni rendesen a checkout-ot.

Szóval az történt, hogy beüzemeltem egy Captcha-t és miközpben pár napig teszteltem a vásárlás menetét, 10 új vásárló jelentkezett be és regisztrált a weblapra. Mondanom sem kell, hogy mindegyik hamis adatokat adott meg úgyhogy nem volt nehéz kiszúrni ezeket.

Ekkor merült fel bennem a kérdés, hogy kell-e nekem ezzel foglalkoznom és az időm/energiám 20%-át azzal töltenem, hogy kiszűrjem a saját online boltomból az ilyen férgeket?

Több más tényezőt is figyelembe vettem és arra az álláspontra jutottam, hogy a Commerce helyett egy külső szolgáltatót bízok meg azzal, hogy közvetítsen a digitális termékek eladásában.

Köszi a tippet, a hasznos könyvjelzők közé mentettem a Honeypot modult!

1
0
Sk8erPeter képe

Szívesen! Kíváncsi lennék, ilyen esetben, amit említettél, mennyire hatékony vajon a Honeypot modul. Amit olvastam róla, az alapján van sansz rá, hogy beválhat. Persze ahogy szantog is írta, 100%-os megoldás nincs.

0
0
pp képe

Nem biztonsági rés.

Ezek a spam robotok nem biztonsági rést használnak ki, hanem a lehetőséget, hogy bárki regisztrálhat az oldalon. Mert hozzászólni névtelenül már rég nem lehet, pont emiatt.

Amit lehetne még tenni, hogy:

  • qq.com -os mail címeket tiltjuk (kb. az utóbbi időben jövő robotok onnan jöttek.)
  • Aznos három hozzászólás body után lockoljuk a felhasználót és elrejtjük a hozzászólásait. (azért három, mert néha előfordul a duplázás, ha lassú a szájt)

Szerintem e kettővel jelentősen lehetne csökkenteni a spam-ek számát. (ami most se olyan iszonyatosan sok heti 1-2, csak zavaró)

pp

4
0
Sk8erPeter képe

Köszi a reakciót!

Azért néha eléggé szétbombázzák a topicokat, tegnap hajnali 3 körül is felnéztem drupal.hu-ra (fanatizmus rulez :D), és rengeteg korábban követettnek jelölt topicban láttam új hozzászólásról értesítést ("1 új"), meg amikor a "Friss tartalom" fülre kattintottam, rengeteg piros (újnak jelölt) topic volt. Szóval azért tudnak aktívkodni, de mondjuk Ti ezt jobban tudjátok, mert sajna nektek kell irtani. :(

Az ötletek nekem tetszenek :)
Még esetleg az említett Honeypot modulnak adhatnátok egy esélyt, ha egyetértetek a modul céljával: rejtett field PLUSZ időzítős módszer a regisztrációra. A kettő azért együtt már szerintem elég hatékony.

1
0
Sk8erPeter képe

Érdemes tudni róla:
honeypot 7.x-1.13
http://drupal.org/node/1786336

This module (the 6.x-1.x version) is now in use on Drupal.org; special thanks to killes for all his helpfulness in making Honeypot more extensible and resilient against persistent and pernicious spammers!

Itt olvashattok erről bővebben:
http://drupal.org/node/1759272
Ebben a kommentben pedig arról számolnak be, hogy közel 5000 regisztrációs kísérletet sikerült megfogniuk rövid időn belül. Ezután még a modul fejlesztője tovább csiszolgatta a modult, így ez az issue lezárható állapotba került, és véglegesítették a modul használatát több form esetében is a drupal.org-on.

4
0
Robert Petras képe

Köszi Péter! Újabb hasznos visszajelzés a részedről, ahogy már megszokhattuk. ;-)

1
0
Sk8erPeter képe

Upolnám a dolgot: drupal.hu-n a Honeypotot nem tudnátok élesben is bevetni?

A jelenlegi Mollom CAPTCHA-s megoldás valami rettentő zavaró, éjszaka még oké, értem, mert akkor szokott érkezni a legtöbb spam (vagy legalábbis én akkor láttam eddig a legtöbbet, amikor feljöttem drupal.hu-ra), de így délután 13h környékén egyszerűen csak idegesítő, ráadásul az embernek elveszi a segítőkedvét, amikor ezt látja:

Mollom, drupal.hu

Így is meglehetősen zavaró a hsz.-eknél a KÖTELEZŐ kétlépcsős folyamat (megírom, 1. "Előnézet", 2. "Mentés"), de így már nem kétlépcsős, hanem HÁROMlépcsős a hozzászólás folyamata (megírom, 1. "Előnézet", 2. CAPTCHA kitölt, MEGINT "Előnézet" 3. "Mentés"), ami erős túlzás.
Egyébként is következetlen az egész kötelező kétlépcsős hozzászólási folyamat, mert teljesen új fórumtéma hozzáadásakor NEM kötelező az előnézet, DE cserébe nem lehet szerkeszteni utólag... (Mi ebben a logika? Nem sok, mert ha nyitni akarom egy új fórumtémát, és tök véletlenül (vagy szándékosan, csak utólag változtatni akarok) előbb elküldöm, mint szerettem volna, és PONT ITT nem kötelező az előnézet, akkor tényleg egyből el tudom küldeni, de ezt aztán szerkeszteni pont nem tudom... A témához való hozzászólást viszont NEM tudom egyből elküldeni, DE azt bezzeg tudom szerkeszteni. :D Őszintén szólva semmi értelme.) Nem beszélve arról, hogy le kell ilyenkor tekerni, megfejteni a kis CAPTCHA-t, egy "csomó" plusz ideje elmegy vele az embernek, és ilyenkor egy idő után már felmerül bennem, hogy biztos végig akarom-e játszani ezt a folyamatot, még ha épp nagyon segítőkész kedvemben is vagyok. Magyarul elveszi az ember kedvét a hozzászólástól. Ha másnál is felmerül ilyen gondolat, aki épp segítene, az a fórumnak meg nem tesz túl jót.

Amúgy talán még azzal is megkerülhető lenne a probléma, hogy amennyiben valakinek már nem tudom, mennyi kommentárja volt (ami nem került mondjuk törlésre), az valószínűleg nem egy spammer, ergo kaphatna egy ennek megfelelő szerepkört... bár mondom, én megpróbálkoznék a Honeypottal, hogy milyen hatékonyságú nálatok. Valószínűleg nem lehet rossz, ha a drupal.org-on is alkalmazzák. Bár a kettő egyébként nem zárja ki egymást.

Előre is köszönöm, ha változtattok valamit a kissé akadozó hozzászólási folyamaton, szerintem legalábbis sokat lendíthetne az emberek hozzászólási kedvén.

====================

SZERK.:

Ez a Twitter-bejegyzés, meg a linkelt cikk pont egybevág ezzel:
https://twitter.com/drupalplanet/status/389362799526174720
http://running-on-drupal8.co.uk/blog/honeypot-fight-drupal8-spam

Mollom is not the only game in town

:)

1
0
MIJO képe

Ugyan ez a jelenség volt nálam is, még a kapcsolati űrlapon levelek is jöttek.
Szerintem egy "Xrumer" nevű szoftver, vagy ehhez hasonló okozza a galibát. A Wikipedia ír is róla.
modulok: captcha, hidden_captcha, honeypot aktiválva
Lekopogom, most rádiócsend van.

0
0
chx képe

A kínai már régen túl drága ehhez. A NowPublic-nál amikor meguntuk (jó pár éve annak) akkor ország szinten bannoltuk a különböző -isztánokat tűzfalból, szó szerint egy nap alatt huszadára esett vissza a spam. Mivel olvasótáborunk "jelentős" része volt tádzsik, üzbég és ki tudja még ki, ez üzletileg teljesen védhető.

0
0