Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Опен Ресурс > Разработчикам > Готовые хаки

Ответ
 
Опции темы Опции просмотра
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #1 10-22-2012, 11:18

ANTIBOT №2 (v 1.0.0) для RUNCMS 2.2.2 / обновлено


Пакет хаков для борьбы со спам-ботами + фикс безопасности от 2012.06.20 + баг фикс админ-панели


Включает в себя:

1) Text Captcha hack by LARK
2) KCAPTCHA 2.0 hack by ZlydenGL (измененный)
3) Хак редиректа ссылок - скрываем внешние ссылки (LARK)
4) Коррекция автоматического преобразование URL в HTML ссылки (LARK)
5) Баг фикс от 2012.06.20 (LARK)
6) Баг-фикс админ-панели (LARK)

Более подробно:

1) Хак, добавляющий KCAPTCHA 2.0 (_http://www.captcha.ru), от ZlydenGL (слегка измененный)

2) Хак добавляет текстовую капчу (проверочный вопрос) в форму регистрации нового пользователя.

3) Хак добавляет редирект для внешних ссылок размещенных посредством BB–кода и для внешней ссылки на сайт пользователя, которую он указал в профиле (ссылка будет показана в разделе информации о пользователе в комментариях, на форуме, и на странице пользователя). Т.е. мы скрываем внешние ссылки делая редирект на внутреннюю страницу, с которой уже и перенаправляем на нужный сайт. Плюс в код ссылки добавляются <noindex> и nofollow

Добавлена возможность вносить сайты в "белый список", на которые редирект ставиться не будет.

4) В RUNCMS при обработке текста производится автоматическое преобразование URL и почтовых адресов в HTML ссылку. Причем это действует и тогда, когда HTML запрещен (а разрешен, например, BB-код). Соответственно этим пользуются спамеры. Данный хак позволяет исправить эту проблему

Добавлена возможность опционально включать/отключать автоматическое преобразование URL, для всего сайта

5) Уязвимость заключается в том, что при некоторых обстоятельствах встроенный фильтр от SQL инъекций не действует.

6) Баг-фикс исправляет баг, возникающий при добавлении и удалении пользователей в группы, а так же исправляет ошибку при постраничной навигации на странице списка пользователей

Инсталляция:

1) Скопируйте содержимое папки /runcms/ из прилагаемого дистрибутива в корневую директорию вашего сайта.

ВНИМАНИЕ! Если вы вносили в ниже перечисленные файлы, какие либо изменения, то они будут потеряны, поэтому перед установкой хака, обязательно сделайте резервные копии изменяемых файлов!

Будут заменены следующие файлы:

/robots.txt
/register.php
/userinfo.php
/include/common.php
/include/registerform.php
/class/kcaptcha/kcaptcha.php
/class/module.textsanitizer.php
/class/rcxcomments.php
/class/class_sql_inject.php
/modules/galleri/rateimg.php
/modules/forum/class/class.forumposts.php
/modules/system/admin/filter/filter.php
/modules/system/admin/preferences/main.php
/modules/system/admin/preferences/preferences.php
/modules/system/admin/captcha/main.php
/modules/system/cache/kcaptcha.php
/modules/system/admin/findusers/main.php
/modules/system/admin/groups/groups.php

Будут заменены следующие языковые файлы:

/language/russian/user.php
/language/russian/global.php
/modules/system/admin/filter/language/russian/filter.php
/modules/system/admin/captcha/language/russian/captcha.php
/modules/system/admin/preferences/language/russian/preferences.php

Будут добавлен новые файлы:

/go.php
/modules/system/cache/tcaptcha.php
/modules/system/cache/goodurl.php

Будет добавлена новая директория:

/class/kcaptcha/fonts2/


ОБЯЗАТЕЛЬНО УДАЛИТЕ ДИРЕКТОРИЮ /class/kcaptcha/fonts/


2) ОБЯЗАТЕЛЬНО ! установите значение chmod равное 666 для файлов:

chmod 666 (-rw-rw-rw-) : /modules/system/cache/tcaptcha.php
chmod 666 (-rw-rw-rw-) : /modules/system/cache/goodurl.php


3) После этого зайти в админ-панель в раздел "Настройка CAPTCHA"

3.1) настройте параметры капчи по вашему усмотрению.

3.2) добавьте нужные проверочные вопросы для текстовой капчи (можете ее вообще отключить)

4) ОБЯЗАТЕЛЬНО ! заходим в админ-панель сайта в основные настройки и настраиваем опцию «Включить автоматическое преобразование URL в HTML ссылку:» («да» или «нет»), сохраняем результат.

5) заходим в админ-панель в настройки фильтров в раздел «Дружественные URL» и заносим сайты, на которые редирект добавляться не будет.

---

6) ОБЯЗАТЕЛЬНО! Не забудьте проверить, чтобы в robots.txt было прописано

Код:
Disallow: /go.php
Модифицированные файлы взяты из дистрибутива RUNCMS версии 2.2.2, поэтому ставится данный хак только на RUNCMS 2.2.2

Отказ от гарантий:
-----------
Хак распространяется `as is', что подразумевает полное отсутствие каких-либо обязательств и гарантий со стороны автора. Автор не несет никакой ответственности за последствия использования предоставленной модификации.
Вложения
Тип файла: zip h_runcms-b2.2.2_antibot_№2-v1.0.1.zip (121.1 Кбайт, 1 просмотров)

Последний раз редактировалось LARK, 10-22-2012 в 23:01


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,183 c 20.09.2003 | Репутация: 223
ZlydenGL вне форума ZlydenGL
Напильникъ - наше все

Аватар для ZlydenGL

| Цитировать Старый #2 10-22-2012, 16:36

Еще бы переупрямить этих ботов, что ломиться смысла нет... А то ведь лезут и лезут! Фигня, что на выходе ничего не получают, нагружать скрипты все равно пытаются. Но это уже надо на другом уровне (того же nginx) рубить.


Не ошибается только тот, кто ничего не делает. Ковчег построил любитель. Профессионалы строили Титаник.
  Сообщения: 777 c 22.09.2008 | Репутация: 92
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #3 10-22-2012, 16:55

Цитата:
Сообщение от ZlydenGL Посмотреть сообщение
Еще бы переупрямить этих ботов, что ломиться смысла нет...
Редирект ссылок и фикс преобразования сылок и предназначены для этого.

Боты лезут всегда, но если сайт попал в спам-базы "белых каталогов" - вот тут наступает ахтунг, так как идет большая волна ручных регистраций.


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,183 c 20.09.2003 | Репутация: 223
ZlydenGL вне форума ZlydenGL
Напильникъ - наше все

Аватар для ZlydenGL

| Цитировать Старый #4 10-22-2012, 16:59

Цитата:
Сообщение от LARK Посмотреть сообщение
предназначены для этого
Семантически не совсем Они ПРЕДОТВРАЩАЮТ бот-публикации, но не могут "объяснить" ботам, что им тут более не место. Обнаружил это когда случайно парсил логи и увидел, что селый сомн товарищей постоянно ломится в закрытую дверь, но вообще не реагируют на аналог фразы "дверь закрыта, вход ТАМ". А нити апача-то напрягают именно такие попытки - из-за чего собственно нормальные хуманы могут DoS в виде той же ошибки 50х ловить.


Не ошибается только тот, кто ничего не делает. Ковчег построил любитель. Профессионалы строили Титаник.
  Сообщения: 777 c 22.09.2008 | Репутация: 92
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #5 10-22-2012, 17:51

Практика показывает, что после того как, размещение ссылок на сайте становится бесполезным (редирект + <noindex>), нашествие ботов, и ручных спам регистраций через некоторое время резко сокращается, так как корректируются спам-базы.

Естественно существует постоянный фон спам-ботов.

Но все равно, это не сравнить с тем валом, когда сайт засветился в спам-базах.

---

Если же ограничиваться только капчей, без скрытия ссылок, то сайт с большей вероятностью, так и останется с базах, так как в данном случае будут просто регистрироваться вручную, благо таких сервисов полно. Но это так же сохранит громадное количество ботов пытающихся регистрироваться на сайте, которые в ином случае, просто бы с сайта ушли после обновления баз.

Последний раз редактировалось LARK, 10-22-2012 в 18:03


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,183 c 20.09.2003 | Репутация: 223
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #6 10-22-2012, 18:17

Цитата:
Сообщение от ZlydenGL Посмотреть сообщение
Семантически не совсем Они ПРЕДОТВРАЩАЮТ бот-публикации, но не могут "объяснить" ботам, что им тут более не место.
предотвращает капча, а сокрытие ссылок, как раз объясняет боту, что тут ему не место. Так как "правильный" бот обязан проверять размещенную ссылку, если же ссылка скрыта через редирект или помещена в <noindex>, то бот должен фиксировать у себя это, как ошибку добавления ссылки.

Но, как я уже написал, постоянный фон"дурных" ботов и ботов с устаревшими базами данных будет всегда.

Последний раз редактировалось LARK, 10-22-2012 в 18:21
Причина: изменил "вал" на "фон"


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,183 c 20.09.2003 | Репутация: 223
pan вне форума pan
): ǝҺɐни dиw ɐн иd⊥оwɔ

Аватар для pan

| Цитировать Старый #7 10-23-2012, 08:27

Я бы еще добавил возможность внедрять в нужные страницы (тот же профиль) метатег
<meta name="robots" content="noindex,nofollow" />


Напильник для RUNCMS
Строим помаленьку
Для гурманов
Мебель для дома
Посетить домашнюю страницу pan
  Сообщения: 4,777 c 15.03.2004 | Репутация: 121
pan вне форума pan
): ǝҺɐни dиw ɐн иd⊥оwɔ

Аватар для pan

| Цитировать Старый #8 10-24-2012, 15:04

Профайл легко закрывается
Ставим

PHP код:
$meta['index'] = "noindex"$meta['follow']="nofollow"
перед

PHP код:
include_once("header.php"); 
Получаем
<meta name="robots" content="noindex, nofollow" />


Напильник для RUNCMS
Строим помаленьку
Для гурманов
Мебель для дома
Посетить домашнюю страницу pan
  Сообщения: 4,777 c 15.03.2004 | Репутация: 121
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #9 10-24-2012, 16:14

Цитата:
Сообщение от pan Посмотреть сообщение
Я бы еще добавил возможность внедрять в нужные страницы (тот же профиль) метатег
кроме профиля, какие еще страницы?


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,183 c 20.09.2003 | Репутация: 223
pan вне форума pan
): ǝҺɐни dиw ɐн иd⊥оwɔ

Аватар для pan

| Цитировать Старый #10 10-24-2012, 19:45

user
userinfo
search
abuse
404 (ну это кто делает себе такую для ошибок)
lostpass
register
whyregister
Ну и в модулях всякую фигню типа страниц для печати и голосований


Напильник для RUNCMS
Строим помаленьку
Для гурманов
Мебель для дома
Посетить домашнюю страницу pan
  Сообщения: 4,777 c 15.03.2004 | Репутация: 121
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2018, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 94.74 Kb. compressed to 87.18 Kb. by saving 7.56 Kb. (7.98%)
Page generated in 0.08648 seconds with 13 queries