Хак ANTIBOT №2 + баг фиксы

[LARK]

ANTIBOT №2 (v 1.0.0) для RUNCMS 2.2.2 / обновлено


Пакет хаков для борьбы со спам-ботами + фикс безопасности от 2012.06.20 + баг фикс админ-панели


Включает в себя:

1) Text Captcha hack by LARK
2) KCAPTCHA 2.0 hack by ZlydenGL (измененный)
3) Хак редиректа ссылок - скрываем внешние ссылки (LARK)
4) Коррекция автоматического преобразование URL в HTML ссылки (LARK)
5) Баг фикс от 2012.06.20 (LARK)
6) Баг-фикс админ-панели (LARK)

Более подробно:

1) Хак, добавляющий KCAPTCHA 2.0 (_http://www.captcha.ru), от ZlydenGL (слегка измененный)

2) Хак добавляет текстовую капчу (проверочный вопрос) в форму регистрации нового пользователя.

3) Хак добавляет редирект для внешних ссылок размещенных посредством BB–кода и для внешней ссылки на сайт пользователя, которую он указал в профиле (ссылка будет показана в разделе информации о пользователе в комментариях, на форуме, и на странице пользователя). Т.е. мы скрываем внешние ссылки делая редирект на внутреннюю страницу, с которой уже и перенаправляем на нужный сайт. Плюс в код ссылки добавляются <noindex> и nofollow

Добавлена возможность вносить сайты в "белый список", на которые редирект ставиться не будет.

4) В RUNCMS при обработке текста производится автоматическое преобразование URL и почтовых адресов в HTML ссылку. Причем это действует и тогда, когда HTML запрещен (а разрешен, например, BB-код). Соответственно этим пользуются спамеры. Данный хак позволяет исправить эту проблему

Добавлена возможность опционально включать/отключать автоматическое преобразование URL, для всего сайта

5) Уязвимость заключается в том, что при некоторых обстоятельствах встроенный фильтр от SQL инъекций не действует.

6) Баг-фикс исправляет баг, возникающий при добавлении и удалении пользователей в группы, а так же исправляет ошибку при постраничной навигации на странице списка пользователей

Инсталляция:

1) Скопируйте содержимое папки /runcms/ из прилагаемого дистрибутива в корневую директорию вашего сайта.

ВНИМАНИЕ! Если вы вносили в ниже перечисленные файлы, какие либо изменения, то они будут потеряны, поэтому перед установкой хака, обязательно сделайте резервные копии изменяемых файлов!

Будут заменены следующие файлы:

/robots.txt
/register.php
/userinfo.php
/include/common.php
/include/registerform.php
/class/kcaptcha/kcaptcha.php
/class/module.textsanitizer.php
/class/rcxcomments.php
/class/class_sql_inject.php
/modules/galleri/rateimg.php
/modules/forum/class/class.forumposts.php
/modules/system/admin/filter/filter.php
/modules/system/admin/preferences/main.php
/modules/system/admin/preferences/preferences.php
/modules/system/admin/captcha/main.php
/modules/system/cache/kcaptcha.php
/modules/system/admin/findusers/main.php
/modules/system/admin/groups/groups.php

Будут заменены следующие языковые файлы:

/language/russian/user.php
/language/russian/global.php
/modules/system/admin/filter/language/russian/filter.php
/modules/system/admin/captcha/language/russian/captcha.php
/modules/system/admin/preferences/language/russian/preferences.php

Будут добавлен новые файлы:

/go.php
/modules/system/cache/tcaptcha.php
/modules/system/cache/goodurl.php

Будет добавлена новая директория:

/class/kcaptcha/fonts2/


ОБЯЗАТЕЛЬНО УДАЛИТЕ ДИРЕКТОРИЮ /class/kcaptcha/fonts/


2) ОБЯЗАТЕЛЬНО ! установите значение chmod равное 666 для файлов:

chmod 666 (-rw-rw-rw-) : /modules/system/cache/tcaptcha.php
chmod 666 (-rw-rw-rw-) : /modules/system/cache/goodurl.php


3) После этого зайти в админ-панель в раздел "Настройка CAPTCHA"

3.1) настройте параметры капчи по вашему усмотрению.

3.2) добавьте нужные проверочные вопросы для текстовой капчи (можете ее вообще отключить)

4) ОБЯЗАТЕЛЬНО ! заходим в админ-панель сайта в основные настройки и настраиваем опцию «Включить автоматическое преобразование URL в HTML ссылку:» («да» или «нет»), сохраняем результат.

5) заходим в админ-панель в настройки фильтров в раздел «Дружественные URL» и заносим сайты, на которые редирект добавляться не будет.

---

6) ОБЯЗАТЕЛЬНО! Не забудьте проверить, чтобы в robots.txt было прописано

Код:

Disallow: /go.php

Модифицированные файлы взяты из дистрибутива RUNCMS версии 2.2.2, поэтому ставится данный хак только на RUNCMS 2.2.2

Отказ от гарантий:
-----------
Хак распространяется `as is', что подразумевает полное отсутствие каких-либо обязательств и гарантий со стороны автора. Автор не несет никакой ответственности за последствия использования предоставленной модификации.

[ZlydenGL]

Еще бы переупрямить этих ботов, что ломиться смысла нет... А то ведь лезут и лезут! Фигня, что на выходе ничего не получают, нагружать скрипты все равно пытаются. Но это уже надо на другом уровне (того же nginx) рубить.

[LARK]

Цитата:

Сообщение от ZlydenGL Еще бы переупрямить этих ботов, что ломиться смысла нет...

Редирект ссылок и фикс преобразования сылок и предназначены для этого.

Боты лезут всегда, но если сайт попал в спам-базы "белых каталогов" - вот тут наступает ахтунг, так как идет большая волна ручных регистраций.

[ZlydenGL]

Цитата:

Сообщение от LARK предназначены для этого

Семантически не совсем Они ПРЕДОТВРАЩАЮТ бот-публикации, но не могут "объяснить" ботам, что им тут более не место. Обнаружил это когда случайно парсил логи и увидел, что селый сомн товарищей постоянно ломится в закрытую дверь, но вообще не реагируют на аналог фразы "дверь закрыта, вход ТАМ". А нити апача-то напрягают именно такие попытки - из-за чего собственно нормальные хуманы могут DoS в виде той же ошибки 50х ловить.

[LARK]

Практика показывает, что после того как, размещение ссылок на сайте становится бесполезным (редирект + <noindex>), нашествие ботов, и ручных спам регистраций через некоторое время резко сокращается, так как корректируются спам-базы.

Естественно существует постоянный фон спам-ботов.

Но все равно, это не сравнить с тем валом, когда сайт засветился в спам-базах.

---

Если же ограничиваться только капчей, без скрытия ссылок, то сайт с большей вероятностью, так и останется с базах, так как в данном случае будут просто регистрироваться вручную, благо таких сервисов полно. Но это так же сохранит громадное количество ботов пытающихся регистрироваться на сайте, которые в ином случае, просто бы с сайта ушли после обновления баз.

[LARK]

Цитата:

Сообщение от ZlydenGL Семантически не совсем Они ПРЕДОТВРАЩАЮТ бот-публикации, но не могут "объяснить" ботам, что им тут более не место.

предотвращает капча, а сокрытие ссылок, как раз объясняет боту, что тут ему не место. Так как "правильный" бот обязан проверять размещенную ссылку, если же ссылка скрыта через редирект или помещена в <noindex>, то бот должен фиксировать у себя это, как ошибку добавления ссылки.

Но, как я уже написал, постоянный фон"дурных" ботов и ботов с устаревшими базами данных будет всегда.

[pan]

Я бы еще добавил возможность внедрять в нужные страницы (тот же профиль) метатег
<meta name="robots" content="noindex,nofollow" />

[pan]

Профайл легко закрывается
Ставим

PHP код:

$meta['index'] = "noindex"; $meta['follow']="nofollow"; 


перед

PHP код:

include_once("header.php"); 


Получаем
<meta name="robots" content="noindex, nofollow" />

[LARK]

Цитата:

Сообщение от pan Я бы еще добавил возможность внедрять в нужные страницы (тот же профиль) метатег

кроме профиля, какие еще страницы?

[pan]

user
userinfo
search
abuse
404 (ну это кто делает себе такую для ошибок)
lostpass
register
whyregister
Ну и в модулях всякую фигню типа страниц для печати и голосований