Spam sur PunBB, peut etre une solution ?

memphisto · 25-03-2007 05:57:20

-aat- a écrit :

Juste un conseil simple pour éviter les robots-spameurs, c'est tout bête mais ca marche trés bien chez moi, et sur tous mes sites:
Il faut se demander comment le robot repere le script du forum, et lui enlever les indices necessaires: Pour arriver jusqu'a votre forum punbb, le robot fait une requete sur un moteur du style: http://www.google.fr/search?hl=fr&q=%22 … r+punbb%22 . Ensuite avec les pages récupérées, il suffit de visiter la page register.php et de remplir les formulaires (Le captcha n'est pas vraiment efficace, car arrivé à ce stade, on peut trés bien remplir les formulaires à la main, c'est trés rapide).
Moralité: Pour avoir un forum non spammé, changez légerement le copyright (par exemple "Un forum Punbb!"), et renommez lapage register.php!

C'est tout simple effectivement mais je pense que c'est une bonne solution de départ.

vin100 · 25-03-2007 11:24:10

Je le disais sur le forum admin pour moi la meilleure façon de limiter le spam c'est d'activer la vérification par email. Jusqu'à preuve du contraire les bots ne savent pas lire les emails pour cliquer sur le lien de validation. En conséquence même s'ils peuvent s'inscrire ils restent non-vérifiés, reste à faire une purge régulière des non-vérifiés et c'est réglé.

Kynerion · 25-03-2007 11:41:04

vin100 a écrit :

Je le disais sur le forum admin pour moi la meilleure façon de limiter le spam c'est d'activer la vérification par email. Jusqu'à preuve du contraire les bots ne savent pas lire les emails pour cliquer sur le lien de validation. En conséquence même s'ils peuvent s'inscrire ils restent non-vérifiés, reste à faire une purge régulière des non-vérifiés et c'est réglé.

C'est un fait mais avec l'auto-increment de la base de données ça fait un gruyère de la liste utilisateurs. Pas très propre. Mais c'est un moindre mal sans doute. J'espère qu'il y aura un captcha dans la 1.3.

vin100 · 25-03-2007 11:50:32

Cela n'a aucune incidence, c'est conçu pour, c'est une idée d'humain dont la machine n'en as que peu faire.

Bin moi j'espère pas qu'il y aura de captcha, et au vu des dernières news comme quoi PunBB 1.3 satisfera les règles WAI-AA y'a aucune chance qu'il y en ai.

memphisto · 25-03-2007 13:42:12

vin100 a écrit :

Je le disais sur le forum admin pour moi la meilleure façon de limiter le spam c'est d'activer la vérification par email. Jusqu'à preuve du contraire les bots ne savent pas lire les emails pour cliquer sur le lien de validation. En conséquence même s'ils peuvent s'inscrire ils restent non-vérifiés, reste à faire une purge régulière des non-vérifiés et c'est réglé.

Bonjour,
je ne suis pas d'accord; ils savent lire les mails de confirmation, et ensuite viennent poster leur pub sur le forum, et activer le suivi de tous les topics sur leur email de registration; en tout cas ils le faisaient sur mon phpbb.
Sur phpbb, on ne peut pas interdire l'inscription, donc il y a toujours au moins un mail qui est envoyé, au moins lors de l'inscription. Enfin on peut mettre une mod pour avoir la fonctionnalité, encore un de plus ...
Mais au fond, je suis persuadé que la cible des spammeurs n'est pas nos forums, mais ils les utilisent pour faire du mailing de masse. Il faudrait déja commencer par faire le ménage dans les systèmes de mail, et les robots spammeurs disparaitrons de nos forums comme ils sont apparus ...
ça me fait penser à cette petite question que j'ai entendu hier:
"mais où vont les mirages quand ils s'en vont ?" happy

yemgi · 25-03-2007 13:56:33

sur phpbb peut-etre, ca fait plus de 2 ans que mon forum tourne sur punbb avec vérification des emails et je n'ai aucun spam

vin100 · 26-03-2007 08:26:34

je me trompe sans doute mais il me semble que sur phpBB il n'y a pas de vérification par email, il y'en as un qui est envoyé lors de l'inscription, mais on choisi son mot de passe et il suffit de s'inscrire sans passer par l'email de vérification

c'est bien ça ou je me trompe complètement ?

je ne comprend pas "Il faudrait déja commencer par faire le ménage dans les systèmes de mail"

Morph1er · 26-03-2007 09:32:01

Non, il y a bien une vérification avec un lien de confirmation.

En tout cas, il y a bien un domaine ou les développeurs sont balèzes, ce sont bien dans les robots spammeurs.

memphisto · 27-03-2007 17:34:11

vin100 a écrit :

je me trompe sans doute mais il me semble que sur phpBB il n'y a pas de vérification par email, il y'en as un qui est envoyé lors de l'inscription, mais on choisi son mot de passe et il suffit de s'inscrire sans passer par l'email de vérification
c'est bien ça ou je me trompe complètement ?
je ne comprend pas "Il faudrait déja commencer par faire le ménage dans les systèmes de mail"

sisi il y a l'inscription par email sur phpbb; et c'est encore pire que s'il n'y avait rien d'ailleurs, car il suffit de faire un robot qui s'inscrit sur tous les forums avec l'email d'une personne qu'on veut spammer pour lui pourrir son adresse mail; j'ai certaines inscriptions douteuses qui sont, j'en suis sur, de ce type.
Ensuite, j'ai des inscriptions de robots spammeurs qui valident l'inscription de phpbb hmm ... c'est pourquoi je suis passé en mod autorisation par admin, car ceux là, une fois inscrits, mettaient en notification par mail tous les sujets (et là je pense que c'est pour spammer une adresse mail avec leur pub (genre viagra) dans les mails envoyés à la cible).
Et meme en mode autorisation par admin, je reçois encore une dizaine de demande d'inscription par jour. Evidement, un mail de confirmation est envoyé à la boite mail définie, ce qui au fond, ne résoud pas le pb du spamm, puisque c'est avec mon nom de domaine que cela est fait.

MT · 27-03-2007 18:09:40

On n'a pas encore observé le problème dans punbb.
Peut-être qu'une "erreur" de création de phpbb permet aux bots de trouver le code de validation sur le page d'inscription, sans avoir à regarder leur mail...
C'est une supposition, à vérifier évidemment.

memphisto · 28-03-2007 00:25:58

Certes MT, mais ce n'était pas pour faire la comparaison entre les forums que je disais cela, mais juste pour répondre au post de vin100; Il faut bien évidement éviter de sortir du sujet du topic. C'etait uniquement dans ce but que j'ai dans les précédents posts exprimé mon expérience du spam (bien sûr avec phpbb).

Cependant, je comptais depuis un moment changer de forum, sans m'être vraiment décidé; ce problème de spam a remis le sujet d'actualité. Je verrai bien l'impact du changement de forum sur ces attaques là.

Enfin, j'avais oublié de répondre à la deuxième question de vin100:

je ne comprend pas "Il faudrait déja commencer par faire le ménage dans les systèmes de mail"

Donc je précise ma pensée: le support (le médium utilisé) est le système e-mail, le but est le spam sur des adresses e-mail cible; et le spam de forum n'est qu'un des nombreux moyens pour accomplir ce but. Le spam sur blog que l'on commence à rencontrer aussi en est un autre.
Améliorer sans cesse l'antispamming sur ces médias ne règlera pas le problème de base, c'est à dire les nombreux serveurs de mails de part le monde qui ne sont pas sécurisés comme il se doit; tous ceux qui relaient automatiquement; et meme ceux qui sont délibérément lancés pour le spam (on achète un nom de domaine @viagra_moncul.net et tant qu'on est pas blacklisté on peut spammer; apres on en achète un autre).
Les listes noires existent pour ceux qui veulent contribuer à l'éradication du problème, mais comme tout le monde ne le fait pas, l'effort des uns est anéanti par l'inaction des autres; cela génère une inertie qui ouvre la brèche dans laquelle le spam prends racine. C'est dans ce sens que je disais cela vin100.

En attendant, le spam ne cesse d'augmenter, et nos médias de communications alternatifs, comme les forums, les blogs, sont sujets à ce fléau juste parce qu'il utilisent le système de mails pour l'authentification, pour l'indication de suivi des sujets d'un forum, ou d'un commentaire sur un blog, etc.

Bref, un joyeu merdier.

vin100 · 28-03-2007 01:50:10

ok merci pour la précision

bon, il faut quand même préciser que même si nous sommes pour le moment épargnés par le spam sur les forums PunBB fr qui ont activés la vérification par email il y a un paquet de discussions sur les forums anglophones et rien ne dit que le phénomène ne va pas s'amplifier à l'avenir

et je suis d'accord avec toi : un beau merdier

memphisto · 28-03-2007 02:04:15

pourtant, il y a un principe tout simple pour résoudre considérablement le problème, c'est d'inverser le sens de la connexion:
Au lieu que le mail parte du serveur de l'expéditeur en se connectant pour poster de serveurs en serveurs, il suffirait que le serveur de l'expéditeur envoie au serveur du destinataire une invitation à se connecter sur lui meme pour relever un certain nombre de couriers qu'il héberge à son attention; résultat, nous aurions une boite aux lettres classée par serveurs d'origine de l'expédition, et l'on pourrait choisir pour chacun des serveurs d'aller y relever le courier, ou pas.
ça serait tellement plus simple alors pour les hébergeurs et relayeurs d'identifier les serveurs source de spam, et de les blacklister de manière efficace ...
mais je rêve je crois ...
ah ben oui, vu l'heure, je dois certainement rêver ...
bonne nuit

Dernière modification par memphisto (28-03-2007 02:07:42)

memphisto · 28-03-2007 02:06:46

oui j'ai modifié j'avais fait une ptite erreur d'expression smile

vin100 · 28-03-2007 10:50:31

si je comprend bien ton idée ça remettrais en cause tous le système email et donc des centaines de milliers d'installations qu'il faudrait changer en même temps
il s'agirait de changer un système, qui lors de sa conception, n'avais pas ce problème et est somme toute assez intuitif et efficace en dehors de ce problème particulier, bref c'est peu probable que la solution se trouve de ce côté d'un point de vue faisabilité

en même temps j'dis ça j'dis rien je suis pas calé en architecture réseau et c'est p'tete parfaitement réalisable

mais je suis confiant, autant les spameurs sont astucieux pour agir autant les spammés peuvent trouver des solutions efficaces

mangafan · 29-03-2007 01:42:54

En politique on appele ça une réforme non ?

On devrait le faire maintenant pour régler le problème mais on hésite et on attends d'être dans l'impasse et que les réseaux saturent pour de bon.

Et puis on grossit les tuyeaux donc ça permet d'atténuer l'effet...

Sinon pour les robots spammeurs, j'avais pensé à refuser les navigateurs inconnus mais c'est trop radical et j'ai peur d'oublier des gentils surfeurs ! Et puis ils peuvents aisément imiter la signature d'un navigateur connu.

Djo · 29-03-2007 07:20:05

J'avais énormement de problèmes de ce genre quand j'étais encore chez PHPbb huh .
Aucuns problèmes avec PunBB smile

audi · 29-03-2007 08:17:35

Pour ma part, aucun pb de spam depuis que je suis passé à punbb. Je n'ai pas activer la vérification non plus, et meme si un pb survenait je ne l'activerais pas.

Le robot pour spammer à besoin de connaitre chacuns des champs pour créer son post. Si chaque forum a des champs différents, fini le probleme.

Ma solution, chaque forum doit pouvoir sembler unique : Un plugin dans l'administration qui permettrai d' ajouter au fichier register ou de modifier à convenance, un champ supplémentaire obligatoire, ce champ aura le nom que le propriétaire du forum souhaitera, et devra prendre en valeur l'un des champs de base ou une valeur prédéterminée. La nouvelle condition personnalisée sera ajoutée au fichier register.

Je ne pense pas qu'aprés ca, les robots ailleent analyser le code ligne par ligne pour tenter de retrouver le bon champs. Quand bien meme, il serait encore possible d'ajouter un champ caché avec une valeur encodée de maniere différente pour chaque forums ...

En résumé le spam sur Punbb ne me fait pas peur.

Morph1er · 29-03-2007 08:49:41

Les bots google, yahoo, msn etc... lisent bien le code source de tes pages pour les référencés. Si un bot arrive à détecter un <title>toto</title> , ils arriveront à détecter sans grosse difficulté des <input... .

Enfin bon, pour le moment, punbb n'a pas eut de problèmes de spam

audi · 29-03-2007 09:10:01

Je n'aipas dit qu'il ne pourrait pas détecter le champ input. Si chaque forum à un champ input personnalisé ( id personnalisé en dur, et valeur suivant une config pré enregistrée ) ca me semble un bon barrage aux bots

Morph1er · 29-03-2007 09:46:22

Je t'avouerai que je ne comprends pas.

Su dotclear, wordpress, phpbb etc... en gros tous les scripts qui se font le plus spammés, le renommage des champs n'a rien changé. Même l'ajout de champs supplémentaire à remplir ou non n'y change rien.

vin100 · 29-03-2007 10:26:51

effectivement ça ne fonctionne pas, les bots arrivent pas avec une liste de champs à remplir mais scan les pages à la recherche des inputs et y mettent leur trucs dedans

j'ai eu du spam en anglais sur le formulaire email d'un site fait maison avec des champs nommés en français et dont seul moi connaissais la significations des noms et ça ne m'a pas empéché de me faire spamer

le pire c'est que c'est comme si le robot s'était adapté, au début même texte dans tous les champs puis après il a mis un titre pour le titre et un message pour le message...

je pense donc qu'il y a un premier bot qui passe pour faire du repérage, si il trouve un formulaire il test l'envoi de ce formulaire, si ce formulaire est effectivement envoyé il stocke les informations sur ce formulaire et un robot spameur passe plus tard faire son travail de sape

audi · 29-03-2007 14:38:18

huh ben ch'pas ... controlez la manipulation de touche ... Si ca arrive on trouvera bien une solution

mangafan · 29-03-2007 21:16:14

javascript ça... pas accessible...

spin0us · 29-03-2007 22:37:04

Bonjour a toutes et tous,

Ce probleme de bot spammeur m'a aussi pas mal fait cogiter.
Pour garder l'accessibilite de punbb tout en diminuant ces attaques ne pourrait on pas se baser sur la culture ?
Je m'explique.
Il suffirait de definir un ensemble de questions/reponses (parametrable) qui servirait de validation pour le formulaire d'inscription.
Exemple:
Question: Combien font trois plus deux ?
Reponse possible: 5/cinq (pas sensible a la case)

Pensez-vous que cela puisse convenir a toutes les personnes succeptibles de surfer sur la toile ?

Archives FluxBB.fr

#51 25-03-2007 05:57:20

Re : Spam sur PunBB, peut etre une solution ?

#52 25-03-2007 11:24:10

Re : Spam sur PunBB, peut etre une solution ?

#53 25-03-2007 11:41:04

Re : Spam sur PunBB, peut etre une solution ?

#54 25-03-2007 11:50:32

Re : Spam sur PunBB, peut etre une solution ?

#55 25-03-2007 13:42:12

Re : Spam sur PunBB, peut etre une solution ?

#56 25-03-2007 13:56:33

Re : Spam sur PunBB, peut etre une solution ?

#57 26-03-2007 08:26:34

Re : Spam sur PunBB, peut etre une solution ?

#58 26-03-2007 09:32:01

Re : Spam sur PunBB, peut etre une solution ?

#59 27-03-2007 17:34:11

Re : Spam sur PunBB, peut etre une solution ?

#60 27-03-2007 18:09:40

Re : Spam sur PunBB, peut etre une solution ?

#61 28-03-2007 00:25:58

Re : Spam sur PunBB, peut etre une solution ?

#62 28-03-2007 01:50:10

Re : Spam sur PunBB, peut etre une solution ?

#63 28-03-2007 02:04:15

Re : Spam sur PunBB, peut etre une solution ?

#64 28-03-2007 02:06:46

Re : Spam sur PunBB, peut etre une solution ?

#65 28-03-2007 10:50:31

Re : Spam sur PunBB, peut etre une solution ?

#66 29-03-2007 01:42:54

Re : Spam sur PunBB, peut etre une solution ?

#67 29-03-2007 07:20:05

Re : Spam sur PunBB, peut etre une solution ?

#68 29-03-2007 08:17:35

Re : Spam sur PunBB, peut etre une solution ?

#69 29-03-2007 08:49:41

Re : Spam sur PunBB, peut etre une solution ?

#70 29-03-2007 09:10:01

Re : Spam sur PunBB, peut etre une solution ?

#71 29-03-2007 09:46:22

Re : Spam sur PunBB, peut etre une solution ?

#72 29-03-2007 10:26:51

Re : Spam sur PunBB, peut etre une solution ?

#73 29-03-2007 14:38:18

Re : Spam sur PunBB, peut etre une solution ?

#74 29-03-2007 21:16:14

Re : Spam sur PunBB, peut etre une solution ?

#75 29-03-2007 22:37:04

Re : Spam sur PunBB, peut etre une solution ?

Pied de page des forums