Лезет спам и создает объявления без названия

Sergey2

Давно я тут
651
15 / 1

Лезет спам и создает объявления без названия

« : 09.09.2015, 23:41:49 »

В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?

Записан

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #1 : 10.09.2015, 09:48:28 »

Запись в базу в обход скриптов.

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

draff

Гуру
5803
434 / 7
ищу работу

Re: Лезет спам и создает объявления без названия

« Ответ #2 : 10.09.2015, 11:31:00 »

уязвимость AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

max_1985

Давно я тут
611
56 / 0

Re: Лезет спам и создает объявления без названия

« Ответ #3 : 10.09.2015, 11:33:59 »

Цитата: Sergey2 от 09.09.2015, 23:41:49

В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?

Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA

Записан

max_1985

Давно я тут
611
56 / 0

Re: Лезет спам и создает объявления без названия

« Ответ #4 : 10.09.2015, 11:37:17 »

Цитата: draff от 10.09.2015, 11:31:00

уязвимость AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html

В последней версии эта проблема решена.

Записан

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #5 : 10.09.2015, 14:59:55 »

Цитата: max_1985 от 10.09.2015, 11:33:59

Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA

CAPTCHA стоит, а незарегестрированных отсекать не хочется

Записан

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #6 : 10.09.2015, 15:05:15 »

Цитата: draff от 10.09.2015, 11:31:00

уязвимость AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html

У меня стоит версия 3.1.1. По крайней мере так пишет в управлении расширениями. В самом AdsManager пишут 3.1.0. Но вот это изменение у меня есть: http://www.joomprod.com/news/273-security-issue-file-upload-vulnerability-on-old-version.html
Кроме того установлен скрипт от SQL иньекций. Не панацея, конечно, но все же. Папка tmp у меня вынесена за пределы сайты. И папка pluload отсутсвует.
Прогнал сайт айболитом - нет ничего

Записан

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #7 : 10.09.2015, 16:19:41 »

Цитата: Sergey2 от 10.09.2015, 15:05:15

Прогнал сайт айболитом - нет ничего

Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #8 : 10.09.2015, 16:27:42 »

Я понимаю что не панацея. что баги он не видит. Кстати. Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит. т.е. это не sql иньекция, а именно рзамещения обьявления.
Пойду в логах посмотрю, может найду че интересное.

Записан

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #9 : 10.09.2015, 16:38:33 »

Цитата: Sergey2 от 10.09.2015, 16:27:42

т.е. это не sql иньекция, а именно рзамещения обьявления

Что бы писать в базу, не обязательно использовать иньект, можно использовать и штатные скрипты. Например, подделка данных формы, когда на сервер отправляется пакет, как будто он был отправлен из формы добавления сообщения. Или может быть даже этот пакет шлется в ту часть кода, где происходит запись в базу (сталкивался и с таким г...кодом).

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #10 : 10.09.2015, 17:11:58 »

В логах все нормально. Похоже, действительно, проверка на обязательное поле идет только на форме. Если запрос руками формировать, то можно пустым оставить

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Лезет спам и создает объявления без названия

« Ответ #11 : 10.09.2015, 17:31:44 »

А что в компоненте не проверяется Token ?
Есть в форме ?

Код

<?php echo JHTML::_( 'form.token' ); ?>

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #12 : 10.09.2015, 17:35:32 »

Я внутрь не лазил так глубоко. Раньше в Opera можно было подправить код страницы и тут же отобразить, а сейчас такую возможность убрали. Удобно было формы править

Токен, скорее всего, проверяется, как минимум CAPTCHA то работает. Но по логам там сначала открывается страницы добавления обьявления, то есть токен получается, а потом следует добавление объявления.

Записан

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #13 : 10.09.2015, 17:36:25 »

да, такая строка есть

Записан

Grendy

Захожу иногда
247
26 / 0

Re: Лезет спам и создает объявления без названия

« Ответ #14 : 10.09.2015, 18:44:15 »

Цитата: Sergey2 от 10.09.2015, 16:27:42

Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит.

Всё правильно. То, что вы видите при попытке отправить объявление с пустой «темой», — результат проверки формы посредством Javascript. Javascript исполняется на компьютере клиента. Если в настройках браузера Javascript отключен, «ругаться» на незаполненность поля браузер не будет. А если использовать для добавления объявлений какой-нибудь скриптик (на Python достаточно нескольких строчек кода), то и вовсе от проверок на Javascript толку никакого. Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.

Цитата: draff от 10.09.2015, 17:31:44

А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>

Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением. Проверка будет успешно пройдена и объявление добавится.

Записан

Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.

robert

Живу я здесь
4974
457 / 20

Re: Лезет спам и создает объявления без названия

« Ответ #15 : 10.09.2015, 21:44:33 »

Цитата: Grendy от 10.09.2015, 18:44:15

Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением.

А по-вашему, что представляет собой

Код: php-brief

<?php echo JHTML::_( 'form.token' ); ?>

?

Записан

Не будь паразитом, сделай что-нибудь самостоятельно!

Grendy

Захожу иногда
247
26 / 0

Re: Лезет спам и создает объявления без названия

« Ответ #16 : 10.09.2015, 22:51:29 »

Цитата: robert от 10.09.2015, 21:44:33

А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?

По-нашему, это генерация скрытого поля с именем, представляющем собой последовательность символов. Если вы откроете браузером исходный код страницы с формой, вы увидите, что упомянутый код добавляет в форму тег input с типом hidden с именем вида «7866b7bd160908b86c219664942aec1d». Ничего более он не делает.

Записан

Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.

robert

Живу я здесь
4974
457 / 20

Re: Лезет спам и создает объявления без названия

« Ответ #17 : 10.09.2015, 23:50:52 »

Цитата: Grendy от 10.09.2015, 22:51:29

Ничего более он не делает.

Ошибаетесь. Вы не подумали, зачем это поле нужно?

« Последнее редактирование: 11.09.2015, 08:40:40 от robert »

Записан

Не будь паразитом, сделай что-нибудь самостоятельно!

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #18 : 11.09.2015, 11:11:39 »

robert, а смысл? Бот так же может сделать запрос страницы, извлечь из нее ключ (токен) и отправить его с остальными данными... Другое дело, если этот токен на странице был бы получен через JS, а не через форму. Но года три назад попадались материалы о том, что и JavaScript сейчас для бота не проблема.

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

robert

Живу я здесь
4974
457 / 20

Re: Лезет спам и создает объявления без названия

« Ответ #19 : 11.09.2015, 11:36:54 »

Цитата: SeBun от 11.09.2015, 11:11:39

robert, а смысл?

Да, но я не об этом.
Просто хотел сказать: <?php echo JHTML::_( 'form.token' ); ?> как раз для того, чтобы

Цитата: Grendy от 10.09.2015, 18:44:15

проверять данные повторно на сервере

Но, возможно, я неправильно понял Grendy.

Записан

Не будь паразитом, сделай что-нибудь самостоятельно!

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #20 : 12.10.2015, 18:48:24 »

А больше нет ни у кого такой проблемы? Или у всех стоит разрешение на добавление только зарегестрированным пользователям? А может кто капчу какую посоветует?

Записан

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #21 : 16.10.2015, 09:30:32 »

Цитата: Sergey2 от 12.10.2015, 18:48:24

А может кто капчу какую посоветует?

Ну прикрутите Recapcha 2... Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #22 : 16.10.2015, 12:46:22 »

Цитата: SeBun от 16.10.2015, 09:30:32

Ну прикрутите Recapcha 2...

так она и стоит.

Цитировать

Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.

пароль поменял. будем смотреть. Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....

Записан

SeBun

BanMaster
4018
259 / 5
@SeBun48

Re: Лезет спам и создает объявления без названия

« Ответ #23 : 16.10.2015, 15:46:08 »

Цитата: Sergey2 от 16.10.2015, 12:46:22

Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....

Если бот заточен именно под ваш сайт, то смоделировать эффект присутствия недолго. Возможно, бот заточен под какой то компонент и использует его уязвимость. В любом случае нужно изучать поведение, что называется, "под микроскопом". Навскидку гадать до бесконечности можно.

Записан

Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг

Sergey2

Давно я тут
651
15 / 1

Re: Лезет спам и создает объявления без названия

« Ответ #24 : 28.10.2015, 18:22:37 »

поставил keycaptcha, где надо во флеше пазл сложить мышкой. Так через сутки обьявления стали появляться по три штуки в минуту.
Ни у кого нет что ли таких проблем? Может кто авторам отпишет?

Записан

grinat

Захожу иногда
356
34 / 2

Re: Лезет спам и создает объявления без назва

« Ответ #25 : 26.11.2015, 21:29:46 »

Цитата: SeBun от 10.09.2015, 16:19:41

Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...

Айболит это бесполезная приблуда, насколько помню в него своего рода сигнатуры прописаны, детектор base64 например, в который так любят злоумышленники запаковывать свой код. Проще написать скрипт, который по особому запросу формирует бд в виде txt файла например, чтобы MySQL не грузить лишний раз, в ней хранятся имена файлов и их размер, далее этот скрипт по крону запускается например раз в 10 минут и проверяет все файлы, если видит что залит новый, то сразу удаляет, если размер изменился, то шлет отчет на почту. Проблем будет ноль. Поскольку эти уроды ломают сайты в автоматическом режиме, сканер проходит через 20 тыс сайтов, которые парсят с Google, и куда может пихает код, код ждет команды, как только она приходит, и идет спам, ddos или еще что-то, зависит от того какой заказ выполняет злоумышленник.

« Последнее редактирование: 26.11.2015, 21:33:41 от grinat »

Записан

Разработка и создание досок объявлений
Отличная партнерская программа
Платежные плагины для AdsManager(Invoicing, PaidSystem и др.)
Монетизация AdsManager

max_1985

Давно я тут
611
56 / 0

Re: Лезет спам и создает объявления без названия

« Ответ #26 : 03.12.2015, 12:47:58 »

Разобрался что создание нескольких объявлений это не вирус, а просто недоработка разработчиков.
Просто если при создании объявления несколько раз нажать на кнопку "Сохранить", создастся несколько объявлений. Это решается запретом на повторное нажатие кнопки.

Записан

Редактировать все объявления Автор den_ko	Ответов: 32 Просмотров: 10307	25.11.2021, 10:43:38 от FlexNL
Слетают категории объявления Автор guardnext	Ответов: 1 Просмотров: 1867	09.07.2019, 10:10:59 от guardnext
AdsManger не удаляет объявления Автор kozhenevsky	Ответов: 0 Просмотров: 1063	15.02.2018, 12:08:29 от kozhenevsky
Лечим кнопку "Delete from favorites" на странице объявления. AdsManager 3.1.11 Автор Mick_20	Ответов: 1 Просмотров: 1384	24.12.2017, 22:28:14 от vadim73
Как добавить поле id объявления Автор Den85	Ответов: 9 Просмотров: 1536	11.11.2017, 15:18:48 от Den85

Вышли релизы Joomla 5.1.0 и Joomla 4.4.4

Проблема с id в URL материалов Joomla при обновлении большого старого сайта до Joomla 5

Используем поля Joomla для фильтрации материалов

Похожие темы