Registračný spam na PHPBB

Doslova šialené, kto do toho spadol. Zrejme každé PHPBB fórum. SPAM na PHPBB fórach nie je ničím zvlášť špecifický, cieľ je rovnaký. Musím na rovinu povedať, že na PHPBB.com sa SPAM preberá roky a ich team akoby stále neprišiel na účinné riešenie. Spamuje sa dvomi metódami, ktoré sú horedole previazané-


Prvá: pridáva nové diskusné vlákna, predtým sa zaregistruje. Takže viditeľne otravuje aj používateľov.
Druhá: skončí pri registrácii. Zmysel je v tom, že aj tak nakoniec URL figuruje medzi registrovanými používateľmi. Naviac je to k*****á metóda a tej sa budem venovať.
Registrovanie spamerov na PHPBB je nočná mora. Oni využívajú fakt, že upgrade PHPBB je často zhola nemožný. Automaticky sa updatne len čisté fórum bez modifikácií, bez hackov, bez vlastných šablón.
Takzvaná ochrana proti spamu, ktorú od začiatkov verzie PHPBB predvádzalo bola len simulátor ochrany. CAPTCHA je náročná na procesor servera už pri malom fóre. Naviac ju nejako zázračne obchádzajú. V panike v nastavení zakážeš registrácie. Ľuďom sa na webe zobrazuje hlásenie ale skripty v pohode injektujú registrácie. Katastrofa. To všetko na starších PHPBB.
Po upgrade si rozmrvíte celý web a zachraňujete, čo sa dá. Popritom zisťujete, že vaše prácne vyrobené šablóny môžete zahodiť a vyrobiť znova, lebo fórum s nimi blbne a spameri preliezajú aj tak.
Akonáhle aktualizujete šablóny, tak začnú fungovať aj nové veci okolo antispamu. S nadšením odskúšate nové typy CAPTCHA a obratom ich zrušíte (reCaptcha je snáď jediná bez likvidácie procesora).
Nakoniec malá rada: prejdite na systém otázok a odpovedí pri registrácii. Je tam síce vysoká šanca, že aj toto Vám zlomia ale môžete sa pokúsiť formulovať otázky, ktoré nejdú preložiť Google Translatorom a odpovede sú aj silne závislé na lokálnych vedomostiach.
Pri riešení spamu na PHPBB sa ako prvé ukľudnite, skúste zablokovať možnosť registrovania, aby ste mali pokoj. Nastavte trebárs nevyhnutnosť nových ľudí, aby sa museli zaradiť do skupiny používateľov, ktorej umožníte prispievať. Registrovaným to celé zakážte. Tým vám zaniknú spamy vkladané priamo do fóra. Nová verzia PHPBB už vie túto funkciu – novoregistrovaní sú v skupine „novoregistrovaní“ a tak zlyhajú spameri, ktorí po registrácii vložia jeden príspevok.
Ďalšie kroky si naplánujte:
* naplánujte odstávku fóra,
* nedajte sa zmiasť sľubami o automatickom update – nefunguje,
* stiahnite si balíček PHPBB a začnite upravovať svoju terajšiu šablónu podľa pôvodných, pokiaľ ste šablónu robili úplne od základu, úprimne vás ľutujem,
* nainštalujte si ďalšiu kópiu PHPBB ako testovacie pracovisko a tam odlaďte svoju šablónu,
* spravte kompletnú zálohu súborov aj SQL databázy,
* zvoľte radšej niektorý z postupov manuálneho upgrade,
* vložte svoju novú šablónu,
* prejdite si nastavenia v admine a zvoľte pri registrácii systém otázok a odpovedí, nastavte ho.
* zvoľte potvrdzovanie registrácii mailom.
Podľa zložitosti šablóny by vám to malo trvať minimálne pol dňa.
Nakoniec zistíte, že napriek registračným otázkam, ktoré sú slovensky, tak nimi prelezie hocijaký Nigerijec či Ind a nainjektuje vám registrácie do fóra.
Prečo? Tím PHPBB stále nepochopiteľne trvá na tom, že si neviem zmeniť URL k skriptom prijímajúcim dáta formulárov. Takže spamerský skript zavolá danú adresu, nasype jej dáta a vôbec ho netrápi, že máte kdesi akúsi otázku s odpoveďou.
Ako by som to robil ja? V prvom rade ako základné antispam opatrenie by som celý proces registrácii „otvoril“. Počnúc možnosťou zvoliť vlastné názvy PHP skriptom. Plne meniteľné formuláre pre registráciu a hlavne odolné upgradu PHPBB. Pridávanie vlastných položiek, ktoré viem kontrolovať vlastným PHP skriptom (ktorý zavolá registračný skript). Všetko, čo ide umožniť silne individualizovať, aby sa moje fórum nezaradilo k identickým inštaláciam, ktoré stačí obísť jedným skriptom.
Dnes však bude jediný rozdiel v zmenšení lavíny registrácii na fóre. A to je od tímu PHPBB málo.

Written by rony