phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Przesunięty przez: lui754
13-01-2012, 23:51
[szukam] Logowanie z captch
Autor Wiadomość
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:01   

cocoban, napiszę instrukcje tylko chce wiedzieć czy działa.
_________________
;] Ebooki do pobrania
 
     
Gadatliwa Kasia 

   
cocoban

Posty: 40
Wysłany: 23-01-2011, 12:03   

centka, ale Twój log pokazuje tylko ruch na apache, nie daje stwierdzenia, że botowi udało się przebrnąć lub zablokować konto.

Sprawdź w bazie mysql, czy dla danego usera, któego podejrzewasz o wielokrotne logowanie zwiększa się liczba w kolumnie user_badlogin. Jeśli nie, to znaczy, że poprawka maminowiec działa.
 
     
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:06   

cocoban, musi działać , ponieważ po wypełnieniu pola "username" wyświetla sie error i skrypt kończy działanie.
_________________
;] Ebooki do pobrania
 
     
centka

Posty: 68
Wysłany: 23-01-2011, 12:07   

aha, troche inaczej rozpisany jest plik i sie połapać nie mogłam co gdzie jest :mrgreen:

a czy może to"niechcący" przyblokować niewinnego forumowicza?
 
     
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:08   

centka, kombinatora.

Jeśli user ma włączoną obsługę js i cookie to jest ok.
_________________
;] Ebooki do pobrania
 
     
centka

Posty: 68
Wysłany: 23-01-2011, 12:09   

cocoban napisał/a:
Sprawdź w bazie mysql, czy dla danego usera, któego podejrzewasz o wielokrotne logowanie zwiększa się liczba w kolumnie user_badlogin. Jeśli nie, to znaczy, że poprawka maminowiec działa.


aaha, ok juz sprawdzam :mrgreen:
 
     
cocoban

Posty: 40
Wysłany: 23-01-2011, 12:14   

Cytat:
ponieważ po wypełnieniu pola "username"

Tego ukrytego pola?
 
     
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:19   

cocoban napisał/a:
Cytat:
ponieważ po wypełnieniu pola "username"

Tego ukrytego pola?


tak
_________________
;] Ebooki do pobrania
 
     
cocoban

Posty: 40
Wysłany: 23-01-2011, 12:22   

Ja miałem podejrzenia, że jednak całym botnetem steruje jakiś użytkownik.
Podaje mu url forum i metody logowania... bo zmienianie pól, zmienianie nazwy plików login.php i zostawianie "oszukanego" nie dawały rezultatu.

Czekaliśmy na raport MAKu, to teraz poczekamy na pełny raport Centki :)
 
     
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:25   

cocoban, wystarczy , że bot wejdzie na główną i pobierze tekst Zaloguj sie , a zarazem odnośnik do niego.
_________________
;] Ebooki do pobrania
 
     
centka

Posty: 68
Wysłany: 23-01-2011, 12:31   

na jednym przykladzie udalo mi sie sprawdzic, ze po probie logowania przez spama, nie zmienila sie wartość blednych logowan w tabeli tego uzytkownika pod którego próbowali sie podszyć 8)
Ostatnio zmieniony przez centka 23-01-2011, 12:32, w całości zmieniany 1 raz  
 
     
cocoban

Posty: 40
Wysłany: 23-01-2011, 12:31   

To zrozumiałe, ale ja się linkiem do nowego nie zdążyłem podzielić, a on mimo to się tam dostał... Zaloguj było kierowane na stary login.php.

Przez chwilę myślałem, że to atak personalny na jedno, moje forum...
Jednak potem zaczęła się fala... Potrzeba jednak matką wynalazków i tak oto jesteśmy tutaj.

Ciekawe jak inne dystrybucje sobie z tym radzą.
Rozumiem, że Twoje rozwiązanie było zainspirowane przez eelee, która pisała o czasowym opóźnieniu dla vbuletin?

[ Dodano: 23-01-2011, 12:36 ]
Cytat:
na jednym przykladzie udalo mi sie sprawdzic, ze po probie logowania przez spama, nie zmienila sie wartość blednych logowan w tabeli tego uzytkownika pod którego próbowali sie podszyć 8)

Czyli jesteśmy w domu :)
To poczekajmy na całkowity sukces ok. tygodnia.
Jeśli się to sprawdzi, to nie potrzebne recaptche i inne takie.

W sumie i do rejestracji mógłby się przydać taki mod.
 
     
centka

Posty: 68
Wysłany: 23-01-2011, 12:40   

jeszcze poobserwuje sytuację, ale mam nadzieje ze sobie boty odpuszczą, nie będą kombinować jak to obejść i przeniosą się gdzie indziej grasować :P
 
     
cocoban

Posty: 40
Wysłany: 23-01-2011, 12:44   

Myślę, że one nie odpuszczają, tylko walą równolegle ;)
 
     
Gadatliwa Kasia 

   
maminowiec


Pomógł: 551 razy
Posty: 1729
Wysłany: 23-01-2011, 12:50   

cocoban, no skoro nikt nie znał adresu do logowania to skąd bot go znał ?

cocoban napisał/a:
W sumie i do rejestracji mógłby się przydać taki mod.

Jeśli ten sie sprawdzi to wydam podobny do rejestracji.

cocoban napisał/a:
Rozumiem, że Twoje rozwiązanie było zainspirowane przez eelee, która pisała o czasowym opóźnieniu dla vbuletin?

Nie , poprostu wiedziałem jak takie boty działają i myślałem ze zabezpieczenie w php wystarczy. Pomysł podany przez eelee jest dobry tylko w przypadku logowania by sie nie sprawdził chyba bo niektórzy mają zapisane dane w formularzu więc logowanie trwa im 2-3s , a większy czas utrudniał by użytkownikom logowanie bo konieczne było by czekanie np 10s aż pole sumbit sie uaktywni.
_________________
;] Ebooki do pobrania
 
     
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,09 sekundy. Zapytań do SQL: 12
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

mediaclick.pl

serwis laptopów

phpbb

Polisy Ubezpieczeniowe TU Europa

Design Cart - Tworzenie sklepu internetowego

dnirozwoju.pl

Ranking Hostingów HostingOnline.pl

• Zamów reklamę