Przesunięty przez: lui754
13-01-2012, 23:51 |
[szukam] Logowanie z captch |
| Autor |
Wiadomość |
maminowiec
Pomógł: 551 razy
Posty: 1729
|
 Wysłany: 23-01-2011, 12:01
|
|
|
| cocoban, napiszę instrukcje tylko chce wiedzieć czy działa. |
_________________
![;]](images/smiles/icon_square.gif ";]") Ebooki do pobrania |
|
 |
|
 |
Gadatliwa Kasia 
|
|
|
|
|
cocoban
Posty: 40
|
| Wysłany: 23-01-2011, 12:03
|
|
|
centka, ale Twój log pokazuje tylko ruch na apache, nie daje stwierdzenia, że botowi udało się przebrnąć lub zablokować konto.
Sprawdź w bazie mysql, czy dla danego usera, któego podejrzewasz o wielokrotne logowanie zwiększa się liczba w kolumnie user_badlogin. Jeśli nie, to znaczy, że poprawka maminowiec działa. |
|
 |
|
|
maminowiec
Pomógł: 551 razy
Posty: 1729
|
| Wysłany: 23-01-2011, 12:06
|
|
|
| cocoban, musi działać , ponieważ po wypełnieniu pola "username" wyświetla sie error i skrypt kończy działanie. |
_________________
Ebooki do pobrania |
|
|
|
|
|
centka
Posty: 68
|
| Wysłany: 23-01-2011, 12:07
|
|
|
aha, troche inaczej rozpisany jest plik i sie połapać nie mogłam co gdzie jest 
a czy może to"niechcący" przyblokować niewinnego forumowicza? |
|
|
|
|
|
maminowiec
Pomógł: 551 razy
Posty: 1729
|
| Wysłany: 23-01-2011, 12:08
|
|
|
centka, kombinatora.
Jeśli user ma włączoną obsługę js i cookie to jest ok. |
_________________
Ebooki do pobrania |
|
|
|
|
|
centka
Posty: 68
|
| Wysłany: 23-01-2011, 12:09
|
|
|
| cocoban napisał/a: | | Sprawdź w bazie mysql, czy dla danego usera, któego podejrzewasz o wielokrotne logowanie zwiększa się liczba w kolumnie user_badlogin. Jeśli nie, to znaczy, że poprawka maminowiec działa. |
aaha, ok juz sprawdzam |
|
|
|
|
|
cocoban
Posty: 40
|
| Wysłany: 23-01-2011, 12:14
|
|
|
| Cytat: | | ponieważ po wypełnieniu pola "username" |
Tego ukrytego pola? |
|
|
|
|
|
maminowiec
Pomógł: 551 razy
Posty: 1729
|
| Wysłany: 23-01-2011, 12:19
|
|
|
| cocoban napisał/a: | Cytat:
ponieważ po wypełnieniu pola "username"
Tego ukrytego pola? |
tak |
_________________
Ebooki do pobrania |
|
|
|
|
|
cocoban
Posty: 40
|
| Wysłany: 23-01-2011, 12:22
|
|
|
Ja miałem podejrzenia, że jednak całym botnetem steruje jakiś użytkownik.
Podaje mu url forum i metody logowania... bo zmienianie pól, zmienianie nazwy plików login.php i zostawianie "oszukanego" nie dawały rezultatu.
Czekaliśmy na raport MAKu, to teraz poczekamy na pełny raport Centki  |
|
|
|
|
|
maminowiec
Pomógł: 551 razy
Posty: 1729
|
| Wysłany: 23-01-2011, 12:25
|
|
|
| cocoban, wystarczy , że bot wejdzie na główną i pobierze tekst Zaloguj sie , a zarazem odnośnik do niego. |
_________________
Ebooki do pobrania |
|
|
|
|
|
centka
Posty: 68
|
| Wysłany: 23-01-2011, 12:31
|
|
|
na jednym przykladzie udalo mi sie sprawdzic, ze po probie logowania przez spama, nie zmienila sie wartość blednych logowan w tabeli tego uzytkownika pod którego próbowali sie podszyć  |
| Ostatnio zmieniony przez centka 23-01-2011, 12:32, w całości zmieniany 1 raz |
|
|
|
|
|
cocoban
Posty: 40
|
| Wysłany: 23-01-2011, 12:31
|
|
|
To zrozumiałe, ale ja się linkiem do nowego nie zdążyłem podzielić, a on mimo to się tam dostał... Zaloguj było kierowane na stary login.php.
Przez chwilę myślałem, że to atak personalny na jedno, moje forum...
Jednak potem zaczęła się fala... Potrzeba jednak matką wynalazków i tak oto jesteśmy tutaj.
Ciekawe jak inne dystrybucje sobie z tym radzą.
Rozumiem, że Twoje rozwiązanie było zainspirowane przez eelee, która pisała o czasowym opóźnieniu dla vbuletin?
[ Dodano: 23-01-2011, 12:36 ]
| Cytat: | | na jednym przykladzie udalo mi sie sprawdzic, ze po probie logowania przez spama, nie zmienila sie wartość blednych logowan w tabeli tego uzytkownika pod którego próbowali sie podszyć |
Czyli jesteśmy w domu
To poczekajmy na całkowity sukces ok. tygodnia.
Jeśli się to sprawdzi, to nie potrzebne recaptche i inne takie.
W sumie i do rejestracji mógłby się przydać taki mod. |
|
|
|
|
|
centka
Posty: 68
|
| Wysłany: 23-01-2011, 12:40
|
|
|
jeszcze poobserwuje sytuację, ale mam nadzieje ze sobie boty odpuszczą, nie będą kombinować jak to obejść i przeniosą się gdzie indziej grasować  |
|
|
|
|
|
cocoban
Posty: 40
|
| Wysłany: 23-01-2011, 12:44
|
|
|
Myślę, że one nie odpuszczają, tylko walą równolegle  |
|
|
|
|
|
Gadatliwa Kasia
|
|
|
|
|
maminowiec
Pomógł: 551 razy
Posty: 1729
|
| Wysłany: 23-01-2011, 12:50
|
|
|
cocoban, no skoro nikt nie znał adresu do logowania to skąd bot go znał ?
| cocoban napisał/a: | | W sumie i do rejestracji mógłby się przydać taki mod. |
Jeśli ten sie sprawdzi to wydam podobny do rejestracji.
| cocoban napisał/a: | | Rozumiem, że Twoje rozwiązanie było zainspirowane przez eelee, która pisała o czasowym opóźnieniu dla vbuletin? |
Nie , poprostu wiedziałem jak takie boty działają i myślałem ze zabezpieczenie w php wystarczy. Pomysł podany przez eelee jest dobry tylko w przypadku logowania by sie nie sprawdził chyba bo niektórzy mają zapisane dane w formularzu więc logowanie trwa im 2-3s , a większy czas utrudniał by użytkownikom logowanie bo konieczne było by czekanie np 10s aż pole sumbit sie uaktywni. |
_________________
Ebooki do pobrania |
|
|
|
|
|
|
|
FAQ - PIERWSZA POMOC!!
REGULAMIN
SZUKAJ
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Download
Katalog Forów
