utilisateurs inscrits par bot

[Darylounet]

Bonjour,

j'ai bien la confirmation visuelle installée sur mon forum phpbb, mais depuis un certain temps beaucoup d'utilisateurs s'inscrivent via des bots.. j'avais le problème avec la version 2.0.19, et une astuce permettait de bloquer un nouvel enregistrement s'il précisait le site web perso lors de l'inscription.

Malheuresement, avec la mise à jour 2.0.20, le fichier usercp_register.php a été modifié et je ne trouve pas où remettre ce bout de code. Du coup les bots sont revenus, avec pas loin de 5 inscriptions par jour, + les posts de pubs vers viagra & co (les invités ne peuvent pas poster, mais vu qu'ils sont enregistrés...)

le bout de code était le suivant :

Code : Tout sélectionner

else if ( $mode == 'register' )
   {
      if ( empty($username) || empty($new_password) || empty($password_confirm) || empty($email) )
      {
         $error = TRUE;
         $error_msg .= ( ( isset($error_msg) ) ? '<br />' : '' ) . $lang['Fields_empty'];
      }
      if ( !empty($website) )
      {
         $error = TRUE;
         $error_msg .= ( ( isset($error_msg) ) ? '<br />' : '' ) . "Spammers are *not* allowed!<br />Afin d'éviter l'inscription de spammers, veuillez ne pas mettre d'adresse web lors de votre inscription. Vous pourrez remplir ce champ plus tard.";
      }
   }

j'avais trouvé les posts ici et là...

S'il vous plait si quelqu'un a une solution (à part virer le "Powered by phpBB" en fin de page, je suis un activiste opensource, et ça, ça ne se fait pas !), merci de me la faire parvenir au plus vite !

[CELF]

Un peu comme ici lorqu'on s'inscrit, il faut mettre un code qui semble apparaitre en format image, peut-être que cette fonction freinerais les bots. J'ai chercher très rapidement ici et là pour trouver ce MOD ( j'imagine que ça en est un ) et je ne trouve pas le sujet. Peut-être quelqu'un pourrait nous venir en aide en nous disant si oui ça fonctionnerais et aussi ou on trouve ce addon. J'ai le même problème aussi, sans compté que je me suis fais solidement hacké, mais ça c'est un autre sujet

[roque]

Salut.

La réponse est peut-être là:

http://www.geckozone.org/forum/viewtopi ... c&start=15

[CELF]

Super ! ça marche très bien pour moi !

Merci Roque

Mais si jamais quelqu'un connais l'astuce pour installer cette histoire de code en format image, j'aimerais bien en savoir plus !

[Darylounet]

j'aime bien les gens qui balancent une réponse sans prendre le temps de lire un peu la question...

Déjà CELF, sache que la confirmation visuelle EST INSTALLEE sur mon forum !!! autrement dit, les bots trouvent un moyen de passer cette protection.

Et si roque t'avais pris un peu la peine de lire mon post, t'aurais vu le

j'avais trouvé les posts ici et là...

le ici correspondant au problème évoqué sur le forum phpbb-fr, et l'autre étant exactement le même lien que vers la page que t'a indiqué.

Alors je réexplique mon problème par rapport à cela :
le fichier usercp_register.php qu'il faut modifier a bien changé au passage de la v2.019 à 2.020. Ce qui fait que cette modif :

Code : Tout sélectionner

else if ( $mode == 'register' )
   {
      if ( empty($username) || empty($new_password) || empty($password_confirm) || empty($email) )
      {
         $error = TRUE;
         $error_msg .= ( ( isset($error_msg) ) ? '<br />' : '' ) . $lang['Fields_empty'];
      }
      if ( !empty($website) )
      {
         $error = TRUE;
         $error_msg .= ( ( isset($error_msg) ) ? '<br />' : '' ) . "Spammers are *not* allowed!<br />Afin d'éviter l'inscription de spammers, veuillez ne pas mettre d'adresse web lors de votre inscription. Vous pourrez remplir ce champ plus tard.";
      }
   } 

Eh bien je ne vois plus où la mettre ! le début du code ne correspond pas du tout.. et puis de toutes manières ça ne fait qu'empêcher les bots de mettre un site web lors de l'inscription.. à mon avis ce n'est qu'une question de temps avant qu'ils mettent a jour les bots puis qu'ils leur fassent enregistrer un site web qu'après une inscription...

Bref, quelqu'un a une solution ? :'(((

[roque]

Et si roque t'avais pris un peu la peine de lire mon post, t'aurais vu le

j'avais trouvé les posts ici et là...

Pour ma part je l'avais déjà lu, cependant pourquoi prendre la mouche aussi vite. CELF n'avait pas vu ton lien et visiblement il n'a pas ton expérience du forum et du fonctionnement de phpbb.
Or ce topic est bien là pour aider les gens. J'ai juste remis ton lien en plus clair pour les personnes qui n'auraient pas compris ce que tu indiquais (et je te remercie pour ton lien car il m'a aidé pour mon forum).

Et je pense qu'il est inutile de monter sur ses grands chevaux, il y a des gens qui débutent et qui découvrent chaque jour un peu plus le fonctionnement du forum phpbb.
Ton problème qui est aussi le problème de tout le monde mérite plutôt qu'on se penche là-dessus plutôt que de se tirer dans les pattes.

[Darylounet]

prends le comme tu veux, en attendant il n'y a toujours pas de solution.. comme tu l'a si bien dit, on ne peux pas être les seuls dans ce cas.. alors que faut-il faire ? contacter l'équipe de dev sur le forum officiel ? je parle tellement mal anglais qu'ils comprendraient que j'ai un problème de buffer overflow avec ma cafetière qui s'est faite piratée par un monkey in the middle...

m'enfin c'est dingue quand même comment ils font pour passer la confirmation visuelle !!!!!!

[roque]

La confirmation visuelle est très facile à passer. J'ai trouvé un site qui l'explique et qui donne les statistiques pour passer les confirmations visuelles.
Pour phpbb, 97% taux de réussites, 100% avec beaucoup de sites marchands en lignes.
Pour tomber en dessous de 50%, l'image comportait de la couleur et était assez poussé, mais assez lisible pour l'oeil.

Pour ma part, je pense que cela serait plus simple de retravailler le code d'inscription :

http://bacstielectronique.free.fr/forum ... greed=true

On voit que l'on passe 2 paramètres en clair. Je pense qu'il fraudrait que ces deux paramètres soient cachées (methode post ou get, je ne sais plus, il faut que je me replonge dedans) et que les deux valeurs soient paramétrables par l'administrateur du forum, comme cela ce sera très difficile aux bots de connaître les mots valides pour la tentative d'inscription: mode=famille et agreed=maman (mais en caché).

Car pour s'inscrire, il suffit de connaitre l'url de base du forum:
http://bacstielectronique.free.fr/forum/

et d'y rajouter
profile.php?mode=register&agreed=true

Je vais essayé (mais programmant en +15 langages différents, j'ai toujours un peu de mal au début pour m'y replonger).

[mathieu23]

Car pour s'inscrire, il suffit de connaitre l'url de base du forum:
http://bacstielectronique.free.fr/forum/

et d'y rajouter
profile.php?mode=register&agreed=true

Bonsoir,

Je viens de tester ton exemple sur l'un de mes forums et j'obtiens juste :

Désolé, mais ce nom d'utilisateur est déjà pris.

Je ne passe donc pas le cap de l'inscription.

Bonne soirée,

[Darylounet]

mouais.. ça reste du cas par cas ton truc.. si tout le monde met le même code le problème reste le même.. autant dire :"faites tous une modif différente de votre phpbb afin d'éviter les bots" ... on tourne en rond là, le vrai problème à résoudre c'est que les bots arrivent à passer la confirmation visuelle. A partir de là faudrait voir qu'est-ce qui pourrait vraiment empêcher un bot de s'inscrire sur le forum.

[setdepic]

mouais.. ça reste du cas par cas ton truc.. si tout le monde met le même code le problème reste le même.. autant dire :"faites tous une modif différente de votre phpbb afin d'éviter les bots" ... on tourne en rond là, le vrai problème à résoudre c'est que les bots arrivent à passer la confirmation visuelle. A partir de là faudrait voir qu'est-ce qui pourrait vraiment empêcher un bot de s'inscrire sur le forum.

[!] Merci de mettre l'avatar aux normes : 130px de large, 160px de haut et 25ko maximum

[YpLee]

Bonjour,

J'ai exactement le même problème de bot.

Je viens de réinstaller partiellement (que certaine table) un phpBB2 2.19 une erreur de table m'empèchais d'activer la confirmation visuel.

Maintenant c'est ok : confirmation visuel en place.
Résultat : 2-3 inscriptions par jour !! passent encore le filtre.

C'est une vrais plaie

Il faut vraiment faire quelque chose.
Je vais essayer la méthode de geckozone et si ça marche je ne passerais pas en 2.20

[Darylounet]

alors ? quelqu'un est arrivé à quelque chose ?

[roque]

Car pour s'inscrire, il suffit de connaitre l'url de base du forum:
http://bacstielectronique.free.fr/forum/

et d'y rajouter
profile.php?mode=register&agreed=true

Bonsoir,

Je viens de tester ton exemple sur l'un de mes forums et j'obtiens juste :

Désolé, mais ce nom d'utilisateur est déjà pris.

Je ne passe donc pas le cap de l'inscription.

Bonne soirée,

Je ne sais pas mais je l'ai essayé sur 4 sites différents et cela passe, j'arrive direct sur la page où la confirmation visuelle apparaît.

mouais.. ça reste du cas par cas ton truc.. si tout le monde met le même code le problème reste le même.. autant dire :"faites tous une modif différente de votre phpbb afin d'éviter les bots" ... on tourne en rond là, le vrai problème à résoudre c'est que les bots arrivent à passer la confirmation visuelle. A partir de là faudrait voir qu'est-ce qui pourrait vraiment empêcher un bot de s'inscrire sur le forum.

Je pense que tu n'as compris ce que je proposais:
Dans la base de données, on rajoute 2 ou 3 champs à lire par un utilisateur lambda avec un mot de passe lambda créé à l'install du forum (comme lors de l'installation du forum, un compte admin est créé).
Donc les bots ne connaissent pas cet utilisateur avec son mot de passe.
C'est le seul qui est habilité à aller lire les 2 ou 3 champs qui permettent d'activer la page d'inscription et qui sont personnalisables dans l'ACP. Il suffit dans le code php de mettre le mot de passe crypté et l'user qui va avec.
Maintenant, il faudra hacker l'hébergeur et non le site en ligne.

Par contre tu as raison, il faut résoudre la confirmation visuelle: trop simple et c'est tout. La couleur et des déformations des lettres permettraient de diminuer le risque.

De toute façon, toute protection a ses limites mais plus c'est compliqué et moins c'est piratable (et non sécurisé à 100% )

[Darylounet]

mouais donc en clair on est pas sortis de l'auberge quoi :'(((((