phpBB [Thảo luận] Bàn về việc bảo mật cho PhpBB

Thảo luận trong 'Hỗ trợ về mã nguồn làm Forum' bắt đầu bởi bungbu84, 4/7/09.

  1. bungbu84

    bungbu84 Đang làm quen

    Tham gia ngày:
    25/6/09
    Bài viết:
    36
    Đã được thích:
    0
    Điểm thành tích:
    6
    Giai đoạn ban đầu thiết lập web tui cũng rất ngỡ ngàng, khi mà website mình đang xây dựng, chưa cho hoạt động, tức là k ai biết đường link đến site là gì. Vậy mà chỉ chưa đầy 2 ngày tui không onl, onl để tiếp tục công việc cao cả thì phát hiện đến 5 thành viên khó hiểu. Tìm hiểu thêm thông tin tui biết đến bài viết này PHPBB3 bị tấn công bởi sâu XRumer có rất nhiều khi search trên google.com.vn

    Sau khi lượn qua 1 vòng các website sử dụng mã nguồn phpbb đều thấy có tình trạng bị loại sâu này phá hoại (nói chính xác là bọn khốn nạn hacker ngoại quốc). Điều buồn hơn nữa là vinabb.com là thủ phủ phpbb tại Việt Nam cũng không tranh khỏi tham họa thảm khốc này.

    Hôm nay lập topic này mong rằng sẽ có những thảo luận tìm ra hướng khắc phục cho phpbb Việt chúng ta. Hy vọng những người giỏi lập trình sẽ để ý đến vấn đề này và hăng say đón nhận topic, sôi nổi thảo luận.
     
  2. babyinternet

    babyinternet Administrator

    Tham gia ngày:
    4/7/08
    Bài viết:
    4,655
    Đã được thích:
    1,583
    Điểm thành tích:
    113
    Nơi ở:
    [}{]e[][]
    thực ta đó ko phải là sâu XRumer mà là một phần mềm tự động post bài có cơ chế vượt qua CATCHA của phpBB bạn ah. Hiện nay phiên bản mới nhất phpBB 3.0.5 đã nâng cấp CATCHA nhằm tránh trường hợp này. Theo quan sát của mình và tham khảo một số forum thì hiện tượng này chỉ xảy ra đối với các forum không có bài viết mới thường xuyên. Không chỉ phpBB mà cả vbullentin cũng xảy ra hiện tượng này.
     
  3. bungbu84

    bungbu84 Đang làm quen

    Tham gia ngày:
    25/6/09
    Bài viết:
    36
    Đã được thích:
    0
    Điểm thành tích:
    6
    Nói như bác có nghĩa là phpbb tự tạo ra 1 lập trình đăng ký tự động và post bài tự động? Nếu thế thì khác gì xóa sổ thằng phpbb đi cho rồi. Ai đời tự tạo spam thế thì mấy mà data thành hàng khủng.
     
  4. babyinternet

    babyinternet Administrator

    Tham gia ngày:
    4/7/08
    Bài viết:
    4,655
    Đã được thích:
    1,583
    Điểm thành tích:
    113
    Nơi ở:
    [}{]e[][]
    Xin lỗi nếu làm bác hiểu sai ý mình.
    Xrummer là dạng phần mềm tự động đăng tin được cài đặt trên máy có nhiệm vụ đăng tin vào các forum trong danh sách được chỉ định chứ không phải do phpBB tại ra. Ở phía trên, ý mình có nghĩa là Xrummer có khả năng vượt qua cơ chế CAPTCHA - dạng bảo mật bằng một mã hiển thị bằng hình ảnh trong quá trình đăng bài viết chứ ko phải là phpBB cố tình tạo ra nó. Ở câu trên nghĩa là phpBB nâng cấp CAPTCHA lên để tránh XRummer vượt qua.
     
  5. onlove_ol

    onlove_ol H5N1 VNW

    Tham gia ngày:
    27/7/09
    Bài viết:
    1,181
    Đã được thích:
    1
    Điểm thành tích:
    38
    Nơi ở:
    Hà Nội
    Bạn nên bật chức năng kích hoạt tài khoản qua e-mails để giảm mức độ spam vào phá hoai :hug:
     
  6. dtrhiep

    dtrhiep Đang làm quen

    Tham gia ngày:
    3/6/09
    Bài viết:
    545
    Đã được thích:
    1
    Điểm thành tích:
    18
    Nơi ở:
    Hà Nội
    Mình thử bật chức năng kích hoạt qua email thành viên thì vẫn cứ dính như thường. Bí quá, bật chức năng Admin kích hoạt. Nhưng cũng chẳng hay ho gì vì cách này là kiểu: Xóa nhầm còn hơn bỏ sót, thành viên nào đăng ký nick tên tây tây tý là del luôn.

    Có ngày đến chục cái register mới ý chứ, bực mình. Mà site chẳng phát triển lên tý nào để đỡ bị spambot để ý đến
     
  7. lonelywolf

    lonelywolf Đang làm quen

    Tham gia ngày:
    30/11/08
    Bài viết:
    180
    Đã được thích:
    0
    Điểm thành tích:
    16
    Nơi ở:
    Ho Chi Minh
    post tự động là cuộc chiến trong lĩnh vực CAPTCHA, ta có captcha thì địch sẽ tìm cách phá, địch phá xong thì ta tiếp tiệp nghiên cứu..trừ phi ta làm nhanh hơn địch, thấy mùi captcha bị phá rồi thì phải lo mà tìm captcha dự phòng.

    captcha thì nhiều, captcha khó qua mặt cũng nhiều lắm. chỉ cần tìm hiểu và customize cái hệ thống captcha của hệ thống hiện có thì mí cái script của tụi spammer đó đi đời thôi.

    Cứ theo nguyên lý "Lấy của xã hội, phải customize lại, không thì chết theo xã hội"
     
  8. onlove_ol

    onlove_ol H5N1 VNW

    Tham gia ngày:
    27/7/09
    Bài viết:
    1,181
    Đã được thích:
    1
    Điểm thành tích:
    38
    Nơi ở:
    Hà Nội
    :) Đây chỉ là 1 cách giảm bớt tạm thời chứ ko hẳn là chống đc. Không có cái gì là hoàn hảo hết cả
     
Đang tải...

Chia sẻ trang này