Спам через форму обратной связи игнорируя валидацию - Joomla 3.x: Общие вопросы

Валидацию надо на сервере делать, а не посредством javascript. Напишите свою форму обратной связи, создайте в нем замаскированные поля и если при отправке формы, есть данные в этих скрытых поля, смело отметайте запрос.

Так спам через формы Chronoform или через форму обратной связи Joomla, в которой подключена рекапча Google ?
В форме обратной связи Joomla , в компоненте Контакты, отключена отсылка копии ?
Мне пишут спам через форму обратной связи Joomla, но раз в 1-2 дня, и смысла в этом спаме не пойму . А раньше, до отключения отсылка копии, спам до 10 писем в день был.

Валидацию надо на сервере делать, а не посредством javascript. Напишите свою форму обратной связи, создайте в нем замаскированные поля и если при отправке формы, есть данные в этих скрытых поля, смело отметайте запрос.

Разработчик оставил возможность поддержки более поздних форм, которые были построены на старом интерфейсе. Вообщем пока все неоднозначно, ковыряю.

А в шаблоне сайта макеты форм не переопределены ? В какой форме спам, можно скрин письма ?
Мне когда надоела спам, я добавил код на проверку по эмэйл в стандартный плагин recapctcha Joomla . В Jcomments делал проверку на наличие в тексте комментария http https
Конечно при обновлении приходилось по новой добавлять код .
п.с. Нашел тему свою
Спам через форму обратной связи

Перед тем как создать тему я находил данные посты. Но честно, ни че не понял, кроме того что там ручками надо прописывать адреса почты. Но в моем случаи адреса каждый раз разные. Я пытался найти закономерности, но их нет. Чистый рандом.

В Jcomments делал проверку на наличие в тексте комментария http https

Подобная ситуация с RSForm Pro. Валидация побоку, как собственно и капча Google. Загадка в другом, что на сайте полно этих форм, но долбят только одну - форму обратной связи. Пример под катом.

Спойлер

[свернуть]

Названия полей менял - пофиг.  Блокировал IP целыми диапазонами (спам идет исключительно с похожих IP):

Спойлер

[свернуть]

но думаю тут все также одинаково

но думаю тут все также одинаково. После отправки формы, формируется техническая ссылка, обновляя которую (в браузере) происходит повторная отправка без проверки капчи и валидации. Вот и ответ. Я нашел на просторах интернета (на забугорных сайтах) инфу, что есть боты которые парсят данные ссылки по сайтам и там где ответ 200 бот их собирает в базу и начинает затем долбить с подменой IP, временными тайменгами и тд (короче все методы для обхода защиты от бота).

JSession::checkToken('get') or die( 'Invalid Token');

Мне помогает подмена ссылки приемщика формы. В action формы вставлена ссылка, которая ничего не отправляет, но возвращает хороший ответ. А сама же отправка выполняется аякс-запросом на другую ссылку. Можно еще лишний параметр добавить, которого нет в форме и значение которого сервер сможет проверить. Например, метку времени (а сервер проверит, чтоб она лежала в допустимых пределах). Единственный нюанс - серверную часть (обработчик формы) надо делать кастомный, чтоб учесть все эти "хитрости".
Как итог - спама нет. И капчи нет.

Мне помогает подмена ссылки приемщика формы. В action формы вставлена ссылка, которая ничего не отправляет, но возвращает хороший ответ. А сама же отправка выполняется аякс-запросом на другую ссылку. Можно еще лишний параметр добавить, которого нет в форме и значение которого сервер сможет проверить. Например, метку времени (а сервер проверит, чтоб она лежала в допустимых пределах). Единственный нюанс - серверную часть (обработчик формы) надо делать кастомный, чтоб учесть все эти "хитрости".
Как итог - спама нет. И капчи нет.

Сделал хак в модуле- делаем проверку на наличие http or https , проверяйте, пользуйтесь .
 

Код

	$event = G2\L\Request::data('event', '');
// Start OlegK
	$message = G2\L\Request::data('message', '');
	if (!empty($message)) {
if (preg_match("/(http|https)/i", $message)) {
	$app = JFactory::getApplication();
	$app->redirect(JURI::Current(), 'No Spam', 'error');
}	
	}
	// END
	if(!empty($event)){

Забавно, я делаю так же) В акшен у меня деза, а реальный запрос идет на другую страницу, при этом адрес страницы зашифрован частями совсем не очевидным способом и генерируется на лету, когда пользователь выполняет какие-то действия, например, нажимает инпуты, скролит страницу и т. д. Ведь вполне очевидно, что если форма заполнена без единого клика на странице и без скрола, это явная лажа.

Так как это самое простейшее, ну не может же он заранее видеть обработчик. Видит только код, значит сейчас найду этот CSS и сменю его, а так же перекину это поле в середину формы и замаскирую ее под... к примеру отчество или тему вопроса.

А адрес обработчика сменили? Он ведь теперь уже может постить сразу на обработчик, не анализируя форму.

Тоже классная идея, но и главная простая. Только мне до конца еще не понятен сам процесс, точнее затрудняюсь выполнить эти действия. Переживаю что как сильно это все же затронет плагин, так сильно хроноворм я еще не ковырял. А этот способ был применен случаем не на хронаворм? (ну так, а вдруг  )

Не на хромоформе. На кастомных формах. Но можно и на хроноформе. Сделайте 2 почти одинаковые формы. Первую показывайте на сайте, но ее обработчик должен быть фиктивным. Добейтесь того, чтобы он ничего не делал (не отправлял и не сохранял в БД). Просто пусть сообщает в ответ, что все успешно отправлено. И все.
А вторую форму сделайте почти такой же, только добавьте 1-2 поля, но нигде ее не выводите на сайте. Просто чтоб ссылка обработчика была. Это будет та, на которую будет отправлять скрипт (аяксом или подменой в action). Дополнительные поля создавайте/добавляйте тоже JS-ом и проверяйте их наличие во втором обработчике (по идее просто сделать поля обязательными). Должно работать.

<script>
document.getElementById('zakaz-consult').setAttribute('action', 'https://адрес сайта/?chronoform=zakaz-consult-double&amp;event=submit')
</script>

1. Просто добавьте на страницу скрипт (после формы) такого содержания:

Код

<script>
document.getElementById('zakaz-consult').setAttribute('action', 'https://адрес сайта/?chronoform=zakaz-consult-double&amp;event=submit')
</script>

2. Тут надо только отключить оправку. Ответ у формы есть и без того. Т.е. настроить на "ничего не делать" с пришедшими данными.

3. Не надо публиковать даже в скрытом виде. Вторую форму (под именем zakaz-consult-double) просто создайте в админке или скопируйте первую и ничего больше с ней не делайте. Только не блокируйте в ней отправку.

Сделал хак в модуле- делаем проверку на наличие http or https , проверяйте, пользуйтесь .
 

Код

	$event = G2\L\Request::data('event', '');
// Start OlegK
	$message = G2\L\Request::data('message', '');
	if (!empty($message)) {
if (preg_match("/(http|https)/i", $message)) {
	$app = JFactory::getApplication();
	$app->redirect(JURI::Current(), 'No Spam', 'error');
}	
	}
	// END
	if(!empty($event)){