<a href="http://wbte.xshourt.net/Viagra-Use-For-Women">viagra use for women</a> <a href="http://wbte.xshourt.net/Viagra-Use-Women">viagra use women</a>
ezt beszúrták a felhasználó létrehozásakor ésutána a weboldalam lett a spam küldője az ismeretlen betörőnek. Hogy lehet ezt kivédeni?
Fórum:
linkek
A linkeket szerkeszd ki légyszives, anélkül is értjük a problémádat.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
De mégis hová szúrták
De mégis hová szúrták be? Amúgy meg a regisztráló minimum /24-es hálózatát kitiltani, rendes captcha alkalmazását, esetleg egyéb spam ellen védő technikát alkalmazni. Mailezést szigorítani (milyen leveleket lehet küldeni és milyen gyakran, stb.) Rengeteg védekezési módszer van.
Viszont talán nem kellett volna beszúrnod ide ezt a sok nofollow nélküli linket, elhittük volna, a néhány kulcsszóval leírod, hogy mit kaptál.
Kivettem
Kivettem a sok felesleges linket. Legalább a tagok ne szemeteljenek!
Üdv, Pali
--
Palócz Paal Pál, a drupal.hu admin csoportjának tagja
Ajánlott olvasmány: Eric Steven Raymond - Hogyan kérdezzünk okosan
Azt gondoltam elég gáz ha így jár valaki , köszönöm a lecseszést
tamoca
szóval mit lehet tenni ellene, hogy regisztrációkor a szöveges mezőbe az ilyen beírt html kódsor ne küldjön 200 viagra levelet szanaszét a saját emailünkről. Mert ez spam ágyú nagy égés annak aki ezen a tréfán rajtaveszt.
Az hogy csak az elfogadott felhasználók legyenek aktívak nagyon egyszerű lenne de én nem akarom a regisztrációt elfogadáshoz kötni, most egyesével nézegetem a regisztrálókat és nem egyből tudnak belépni, lehet vissza se térnek.
tamoca
melyik mező?
Melyik szöveges mezőről van szó? Próbálj meg egy kicsit világosabban fogalmazni, nem értjük, miről beszélsz. Felhasználónév, email cím,....?
Szoktál te fórumot olvasni?
Vagy csak a saját kérdéseidre vársz választ?
Az utóbbi időben másról sincs szó, hogy VEGYÉTEK MÁR A FÁRADSÁGOT ÉS OLVASSÁTOK EL A MEGLÉVŐ DOKUMENTÁCIÓT + HASZNÁLJÁTOK MÁR A KERESŐT!!!!
Ha TE is vetted volna a fáradságot, és beírtad volna a Drupal.hu keresőjébe azt a szót, hogy spam akkor legalább 2 olyan témát is találtál volna, ahol van erről írás.
Mindkettőben van utalás arra (link), hogyan lehet az ilyet elkerülni, kivédeni.
Kellemes olvasást és jó gyakorlást!
Üdv, Pali
--
Palócz Paal Pál, a drupal.hu admin csoportjának tagja
Ajánlott olvasmány: Eric Steven Raymond - Hogyan kérdezzünk okosan
Még azt sem...
Mondjuk még ezt sem, mert akkor megtetted volna azt, amire kértek...
Amúgy nem csökkent értelműek használják ezt a fórumot, értünk mi 2 sorból is, nem kell beidézni 100-at!
--
Palócz Paal Pál, a drupal.hu admin csoportjának tagja
Ajánlott olvasmány: Eric Steven Raymond - Hogyan kérdezzünk okosan
Bocs de nem ülök egész nap a gép előtt.
tamoca
amúgy a múlkor írtam , hogy valamiért kitiltódtam az oldalamról mi a megoldás senki se segített, aztán címoldalon látom hogy milyen biztonsági probléma van.
NEM KELLENE LE...SZNI AZT AKI íR mert nem biztos hogy hülyeség.
tamoca
Szoktam olvasni fórumot...remélem olvassa valaki ezt is
tamoca
köszönöm a két linket.
Mielőtt írsz és ha nem érted a problémát legalább ne baltázz le.
Amiket küldtél az a tartalom beküldése okán fordul elő amikor nincs regisztrációhoz kötve a tartalom beküldése.
NÁLAM NEM IS TUDSZ BEKÜLDENI TARTALMAT. SEHOGYAN SE.CSAK ÉN KÜLDÖK BE TARTALMAT.
a PROBLÉMA A KÖVETKEZŐ:
kattints rá a felhasználó létrehozása menüre.
Majd mikor kitöltöd a felhasználói adataidat , és beílleszted a már kitörölt fent említett szemeteket, akkor azok szépen elkezdenek dolgozni.
Na ezt én nem tartom megfelelőnek, hogy ez lehetséges.
Hogy pontosan értsd:4.7.3.verzió,
adminisztráció
beállítások
profilok
itt ha létrehozol egy szövegbeviteli mezőt ahol bekérsz valami adatot a frissen regisztrálótól, pl cím, vagy a rendes neve, vagy cége neve, szóval egy űrlapod van ahool van sima szöveg beírási lehetőség.
Ha a regisztráló új felhasználó ide beteszi a "szemetét" akkor vége az oldalnak spam ágyú lesz belőle. Én így jártam ahogy észleltem azonnal feltettem. Aki olvasta az remélem tesz ellene ne járjon így.
A kérdés mit lehet tenni.
1. megoldás én jelenleg kikapcsoltam az elfogadás nélküli regisztrációt.
Ez nem jó mert bár a probléma megoldva, de nem akarok a gép előtt ülni és engedélyezni egyfolytában a felhasználók regisztrációját.Lehet ki se várják, vissza se jönnek az oldalra.
Megkérek mindenkit aki erre a levélre ír megfelelő megoldást, megfelelő hangnemben azt megköszönöm, és elég sok embert érinthet. Ha valaki élvezkedik a másik leba...án az inkább ne írjon, mert még válaszolok.
P.S.: a MÚLTKOR írtam , hogy az egyik oldalon elvesztettem a jogaimat, beenged az oldal de aztán jogosultság hiányában kidob. Senki nem válaszolt rá semmit, most olvasom a biztonsági hibát.
a VÉLEMÉNYEM A KÖVETKEZŐ.
Ha a settings.php-ből lazán kiolvashatja a felhasználó nevemet, az adatbázis nevét, a jelszavamat akkor az véresen , brutálisan nagy balhé. Nem akkora mint ez a spamágyú, de marhanagy. KB EGY HÓNAP MÚLVA jelent meg a címlapon a frissítésre való felhívás. Ha nem írok akkor a drupálon röhöghetne a világ.
Ha valaki egyszerű ember feltesz egy drupált és csinál egy regisztrációs űrlapot és semmilyen modult az alapokon kívűl nem tesz fel, akkor azzal így ki lehet szúrni az szerintem igen nagy baj!!!!!!!!!!!!!!!!!!!
És hogy ezt megírtam azért páran le... sztak hát kibírom.
tamoca
vége az oldalnak és spam ágyú lesz belőle
Nézzük szépen sorban (visszafelé :)
Ezt hol is írtad? Ha ez megtehető lenne, mármint a settings.php-t szépen tudná valaki olvasni, az eléggé nagy biztonsági rés lenne, kétségtelen. Hol írtad, hogy ez nálad így működik? Érdekelne, hogyan tudom reprodukálni az állítólag biztonsági frissítés előtti Drupal verzióval. Az ezelőtti bekezdésben írt jogosultságok kapcsolatát nem értem.
Tehát akkor itt a "vége van az oldalnak" kifejezést nem úgy kell értelmeznünk, mint például kifagy, letörlődik, vagy elvesznek az adataid, hanem hogy "megszentségtelenítik". Azért ez a különbség nem mindegy, jó tudni.
Namost az a kérdés, hogy milyen típusú mezőkbe írják be a profil űrlapon ezeket az adatokat. Például egysoros szövegmezőbe beírt HTML kódot nem fog a profil modul megjeleníteni HTML kódként (linkként). Megpróbáltam például itt a drupal.hu-n erre módosítani a "Valódi név" mező értékét:
Hojtsy Gábor<strong>abc</strong>, és ugyanez (nem a vastag abc) jelent meg a profil lapomon. A webcím mező nyilván linkként jelenik meg, mert annak az a célja, de annak a szövegét nem lehet a fent idézett módon befolyásolni, tehát az is kizárva. Marad maximum a többsoros szövegmező, mint beviteli megoldás, amibe a webhelyed megengedhet HTML kódot. Ha ilyet megengedsz a felhasználóidnak, akkor persze abba azt írnak, amit akarnak (amit a beviteli formátum, amit joguk van használni megenged), az lehet politikailag sértő, gyalázkodó vagy antiszemita, ugyanannyira "vége az oldalnak", mintha spam lenne.A felhasználókat nyilván anoním látogatók hozzák létre, máshonnan nem lehet indulni, ha felhasználót akar valaki létrehozni (és nincs elérése az admin felülethez). Tehát az, hogy az esetedben nem arról van szó, hogy anoním látogatók küldenek be spam tartalmat, nem igazán állja meg a helyét. A Paal által is linkelt oldalakon több ezellen harcoló modul szerepel. Például a captcha modul a felhasználó létrehozásakor is egy captcha ellenőrzést végezhet (ha úgy állítod be), így a spam tartalmú profilokkal regisztráló felhasználók könnyen elkerülhetőek (feltéve, hogy azt automata regisztrálja, nem ember). A Drupal.hu is ilyen captcha megoldást használ, bár nem pont az aktuális captcha modult. (Az nemrég eléggé megjavult és megújult!).
Mindezek után még azzal is kellene foglalkozni, hogy azt hogyan sikerült levezetni, hogy a fenti profil mező beírással a weboldalad spam küldővé vált. Ezt nem értem. Abból, hogy valaki a weboldaladra spamet küld be, hogyan jutunk el oda, hogy a weboldalad spamet küld be máshova, vagy ahogy fent fogalmaztál: spam ágyú lesz belőle? Miből gondolod, hogy ez történik, mi utal erre?
biztonságos
A 4.7.3 verzió nagyon régi. Frissíts az aktuális 4.7.7-esre, vagy ne csodálkozz, ha feltörik a honlapodat.
A legutóbbi verzióban felfedezett biztonsági hibának semmi köze ahhoz, ha te kizárod magad a saját honlapodról. Olvasd el a hivatalos bejelentést. Ha a szervereden olvasható a settings.php, az nem a Drupal hibája, hanem a fájlrendszered jogosultságai nincsenek megfelelően beállítva.
Neked fogalmad sincs, miről beszélsz, és nem is értesz a szóból – én pont ezért nem nagyon szoktam a kérdéseidre válaszolni. De ezt most nem lehet szó nélkül hagyni, mert az ideérkező tájékozatlan látogató a hozzászólásodat olvasva esetleg félrevezetődik. Tehát szögezzük le, hogy a Drupal nagyon biztonságos, emberemlékezet óta nem hallottunk olyan esetről, hogy jól karbantartott, rendszeresen frissített Drupal honlapot feltörtek volna. A webmesterek felelőtlenségére, felkészületlenségére és sületlenségeire sajnos nincs gyógyír, de ez nem a Drupal hibája.
Jó a lejrás amit a frissítési útmutatónak küldtél be!
tamoca
ennek alapján az egyik oldalon sikerült is 5.2 -re frissítenem. A többit is most már merem frissíteni.
Az Ön kizárás, durva, a jelszavam nem írták át, be tudtam vele lépni, csak éppen a jogaimat vonták meg a saját lapomhoz.
a settings.php csak a tulajdonos számára volt elérhető , akkor hogy látott bele , hogy a mysql-ben a jogom átjrja?
Nem tudom. De elég vicces dolog.Kárt nem okozott az oldal működött csak nélkülem. Más is járt így és írtál is neki tippet, aztán senki se foglalkozott vele tovább. a link http://drupal.hu/node/2173
tamoca
mysql jogosultság változtatás
mysql jogosultság változtatást csak mysql root felhasználó vagy egyéb kiemelt jogokkal felruházott mysql felhasználó tud véghez vinni. ezt senki más nem tudja megtenni a felhasználóddal még akkor sem, ha tudja a felhasználó neved és jelszavad. ha mégis ilyen dolog történt akkor inkább a host szervert törték meg és onnan erednek a gubancok, nem pedig a drupal hibájából.
a settings.php telepítés után 744 re volt állítva
tamoca
adrewnek a válasz
A host szervert valóban megtörték a settings.php ben megadott felhasználónévvel meg jelszóval.És nem fordítva, csak nem tudom hogyan.
tamoca
fura
hát ez elég furán hangzik...
a félreértések elkerülése véget megjegyezném, hogy ha bármilyen módon olvasható volt külső fél számára a settings.php (értsd: szövegesen információ volt belőle kinyerhető és nem csak lefutott nulla kimenettel mint php file) akkor
1: vagy át akarták terelni a gyanút és bepaliztak, h így törték meg a szervert
2: valami iszonyatosan el volt kurva a szolgáltatónál (értsd pl: mysql root felhasználóval és jelszóval csatlakoztál és a host rendszeren magán a szerveren is ugyan ez a felhasználó/jelszó páros volt használva) és így valóban megtörhető volt az itt szerzett infókkal
ez utóbbit nagyon nem tartom valószínünek.
az megint csak elég érdekes lenne ha csak úgy lehetne mindenféle fileok tartalmát megjelenítetni. ez a drupal biztonsági hiba engem is érdekelne, de szerintem megint csak
a: bepaliztak,
b: valami szerver oldali félrekonfig
továbbá ha ha valami oknál fogva bárki olvashatta a settings.php tartalmát, akkor abból CSAK olyan információkhoz juthatott amivel CSAK a te oldalad SQL adatbázisában tudhatna buherálni, a hosting gépen SEMMI mást. de még a te oldaladdal kapcsolatban is szüksége lenne arra, h külön php kódot tudjon futtatni a megszerzett sql felhasználói hozzáférést felhasználva...
komolyan érdekelne, h a feltörés mikéntjét ki állapította meg és miből?
nekem kamu szaga van.
működött nélküled?
Nono, ezt írtad a belinkelt topikban:
Itt pontosan azt írod, hogy volt jogod adminisztratív műveletekre, de bizonyos idő után kidobott a rendszer. Én nem látom, hogy itt bármi olyasmiről lenne szó, hogy megvonták volna a jogaidat, vagy a settings.php-t olvasta volna bárki is. Nem értem, hogy ez a következtetés hogyan merült fel. Mindenesetre ennek nincs köze az aktuális témához, mégpedig hogy spammelik az oldaladat, csak megpróbáltuk tisztázni, hogy alaptalan a biztonsági réssel kapcsolatos gyanúd. (Ha szerinted ez nincs így, új témában kellene megvitatni).
melyik modult használjátok itt a felhasználó létrehozásakor?
tamoca
tetszik a drupal oldalon ez a kis matematikai kérdés, ez nekem teljesen jól megoldaná az új felhasználók regisztrációját, így csak elmék tudnának regisztrálni, robot nem.
tamoca
captcha
captcha
Ui.: Amúgy én gondolkozom egy olyan kiegészítésén, ahol a műveletet szöveges formában írja ki, az eredményt pedig számmal kell megadni. Továbbá a művelet nem csak összeadás lehet, hanem szabályozhatóan akár a négy alapművelet is.
Szerintem elég hatékony lenne, legalábbis lokalizált formában, mert míg a "3" minden nyelven értelmezhető elvileg, addig a "három" kifejezéssel szerintem nem sok mindent tud kezdeni egy angol spamrobot.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Sikerült, a captcha, de kellet mégegy modul a Form Store
tamoca
http://ftp.drupal.org/files/projects/form_store-5.x-1.0.tar.gz
e nélkül nem ismeri fel a karaktereket és hibaüzenetet ad a regisztrációt beküldőnek.
Választható matematikai művelet, vagy girbe gurba karakterek amik a robotnak olvashatatlanok.Kiválasztható hol akarom alkalmazni én a regisztrációhoz választottam csak ki.
tamoca
nagyon
Nagyon köszönöm azoknak, akik érdemben és támogatólag tudtak hozzászólni a témához, én végigolvasva ezt az egészet, erre nem lettem volna képes.
Le a kalappal elöttetek, komolyan! :)
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Teljes mértékben
Teljes mértékben egyetértek.
Viszont végigolvasva a topikot sem derült ki számomra, hogy pontosan hogyan sikerült spamet küldeni a Drupalon keresztül?
sehogy?
Attól tartok, "rossz" hírem van.
Szerintem sehogy.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Hihetetlen
Ez az egész téma hihetetlen... sokszor ráncoltam a homlokom és vakargattam a fejem, amig a végére jutottam. :)
Köszi a segítséget kedves nevergone!
tamoca
5.2 re áttettem a 4.7.3 -at , remélem a chaptcha elég védelem lesz.
tamoca
kéretlen linkek ártalmatlanítása
Okosodva egy kis idő elteltével még javaslom a 6-os verzinál lévő lehetőséget:
example.com/admin/settings/filters/1/configure a beviteli formáknál a szűrt html-t érdemes választani az azonosított és azonosítatlan felhasználónak is valamint nekem egy újdonság a drupal fejlesztőktől:
Kéretlen linkek ártalmatlanítása
EZT BEPIPÁLNI
Ha engedélyezett, akkor a Drupal rel="nofollow" attribútummal egészít ki minden linket, és ezzel megakadályozza, hogy a reklámcéllal, kéretlenül beküldött linkeket a keresők figyelembe vegyék. Figyelem: az attribútum a valódi linkek értékét is csökkenti, ezért megfontolandó, hogy az ártalmatlanító csak a névtelen felhasználók által beküldött linkek esetén lépjen működésbe.
Ezt a fejlesztést nagyon szépen köszönöm, akárki is volt.
tamoca