Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/04/2018, à 11:18

krodelabestiole

Botphobic

Je viens d'écrire un petit plugin antibot / antispam pour ce forum, donc fluxbb.

https://github.com/crachecode/Botphobic

Il propose 4 tests non-intrusifs pour filtrer les robots spammeurs :
- un timestamp chiffré pour vérifier que le formulaire a été remplis en plus de 4 secondes et moins de 2 heures.
- un honeypot pour vérifier qu'un robot ne remplisse pas des champs cachés pour l'utilisateur.
- un test qui vérifie l'activation du javascript côté utilisateur
- un test qui vérifie l'acceptation des cookies côté utilisateur.

Chacun de ces tests est activable individuellement.

Le plugin est en anglais, donc si vous avez du mal à comprendre la doc demandez-moi (mais c'est vraiment pas très compliqué), et un blocage donne ce message d'erreur :

Sorry, there was an error. Please try with a different browser.

// update : le message d'erreur est maintenant personnalisable.

Donc si un utilisateur remonte ce problème, vous pouvez le lier à ce plugin, et lui demander effectivement en premier lieu d'essayer avec un autre navigateur (il a peut-être désactivé javascript ou bloqué les cookies).

Dernière modification par krodelabestiole (Le 29/04/2018, à 21:27)

Hors ligne

#2 Le 29/04/2018, à 11:27

krodelabestiole

Re : Botphobic

pour les admins du forums :
je pense que dans un premier temps ça serait bien d'installer ce plugin, d'activer les 4 fonctionnalités et de s'assurer que plus rien ne passe.

ensuite on pourra essayer de désactiver la question mathématique qui est un peu gênante et pas très efficace sur le formulaire d'inscription, et voir si ça change quelque chose.

Hors ligne

#3 Le 29/04/2018, à 11:43

moko138

Re : Botphobic

Bravo ! J'ai hâte de voir ta création à l'oeuvre !


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#4 Le 29/04/2018, à 11:54

ljere

Re : Botphobic

ok je vais essayer de voir ça dans l'après midi, je vais te passer modo-dev avec naziel, pour que vous puissiez vous occuper de ce genre de tache


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne

#5 Le 29/04/2018, à 12:07

enebre

Re : Botphobic

Merci krodelabestiole.
Très content de voir qu'avance à grand pas sur ce problème.

Pourrait-on, mettre l'avertissement en français et prévenir de :
"Désolé nous avons rencontrés une erreur, veuillez placer forum.ubuntu-fr.org dans la liste blanche de votre bloqueur de cookies et activer javascript, ou essayez un autre navigateur."

Si javascript est indispensable pour l'accès au forum.

Je m'attendais au besoin d'une usine à gaz pour régler ça, et au final ce n'est pas tellement imposant.

Dernière modification par enebre (Le 29/04/2018, à 12:25)

Hors ligne

#6 Le 29/04/2018, à 12:23

michel_04

Re : Botphobic

Ça a l'air pas mal ton Botphobic, krodelabestiole.

A+

Hors ligne

#7 Le 29/04/2018, à 13:21

Ayral

Re : Botphobic

Merci de vous (t?) être penché sur la question. Ça va nous faire gagner du temps.
Ce matin encore il y avait une chiée de signalement de spams, une bonne cinquantaine, et il n'y a pas 5 minutes, une demi douzaine de plus.
Il me semble que je n'étais pas seul sur le coup, grim7reaper était aussi passé à l'attaque. Et ce matin enebre...


Pour mettre les retours de commande entre deux balises code, les explications sont là : https://forum.ubuntu-fr.org/viewtopic.php?id=1614731
Blog d'un retraité
Site de graphisme du fiston Loïc
Ubuntu 22.04 LTS sur un Thinkpad W540

Hors ligne

#8 Le 29/04/2018, à 13:25

krodelabestiole

Re : Botphobic

enebre a écrit :

Pourrait-on, mettre l'avertissement en français et prévenir de :
"Désolé nous avons rencontrés une erreur, veuillez placer forum.ubuntu-fr.org dans la liste blanche de votre bloqueur de cookies et activer javascript, ou essayez un autre navigateur."

version 1.1.0 avec message d'erreur personnalisable wink

+ un screenshot

Dernière modification par krodelabestiole (Le 29/04/2018, à 13:43)

Hors ligne

#9 Le 29/04/2018, à 14:07

Nuliel

Re : Botphobic

Wow, ça c'est de l'efficacité! Bravo krodelabestiole!

Hors ligne

#10 Le 29/04/2018, à 14:54

ljere

Re : Botphobic

plugin activé


ancien PC Toshiba satellite_c670d-11 / Linux Mint 21 Vanessa
Nouveau PC ASUS TUF GAMING A17 GPU RTX 4070 CPU AMD Ryzen 9 7940HS w/ Radeon 780M Graphics / Linux Mint 21.2 Victoria / Kernel: 6.4.8-1-liquorix / Desktop: Cinnamon

Hors ligne

#11 Le 29/04/2018, à 15:49

PPdM

Re : Botphobic

Félicitations et merci a tous les contributeurs big_smile


La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Hors ligne

#12 Le 29/04/2018, à 16:08

jeange

Re : Botphobic

Cela mérite TROIS ETOILES smile


PCLF CLEVO W670SZQ  SSD 480Go  i3  Ram 12Go  Haswell HD4600 Ubuntu 20.04.6 et 22.04.3 LTS 64bit
033 V nospE  03.01.2 pmiG
Merci de donner les retours avec les balises < > et les allers avec les valises, et toujours pas de raton laveur.
%NOINDEX%

Hors ligne

#13 Le 29/04/2018, à 16:53

grim7reaper

Re : Botphobic

Les spammeurs passent encore à priori hmm, je viens d’en dégommer trois : karayh2, rheadd1 et salvadoret60.

Ça m'étonnerais que les bots se soient adapté si rapidement, du coup est-ce que le truc est bien activé? Y’a un moyen de le vérifier ?

Dernière modification par grim7reaper (Le 29/04/2018, à 16:55)

Hors ligne

#14 Le 29/04/2018, à 16:58

krodelabestiole

Re : Botphobic

t'as leur dates d'inscription ?

Hors ligne

#15 Le 29/04/2018, à 17:00

krodelabestiole

Re : Botphobic

... je regarde mais ya pas l'heure d'inscription

Hors ligne

#16 Le 29/04/2018, à 17:03

jeange

Re : Botphobic

J'ai trouvé 17h14 pour le premier message du dernier spammeur.


PCLF CLEVO W670SZQ  SSD 480Go  i3  Ram 12Go  Haswell HD4600 Ubuntu 20.04.6 et 22.04.3 LTS 64bit
033 V nospE  03.01.2 pmiG
Merci de donner les retours avec les balises < > et les allers avec les valises, et toujours pas de raton laveur.
%NOINDEX%

Hors ligne

#17 Le 29/04/2018, à 17:09

krodelabestiole

Re : Botphobic

et sinon ça veut peut-être dire qu'ils ne passent pas par le formulaire d'inscription, mais qu'ils exploitent une faille de fluxbb..

l'idéal ce serait un extrait des logs d'accès d'une de ces ip pour voir exactement de quoi il retourne.

Hors ligne

#18 Le 29/04/2018, à 17:11

Nuliel

Re : Botphobic

Peut être qu'ils ont simplement créé le compte il y a quelques temps (peut être même un mois) et qu'ils l'ont utilisé seulement aujourd'hui, non?

Dernière modification par Nuliel (Le 29/04/2018, à 17:12)

Hors ligne

#19 Le 29/04/2018, à 17:14

krodelabestiole

Re : Botphobic

non ils se sont tous inscrits aujourd'hui mais on sait pas à quelle heure

Hors ligne

#20 Le 29/04/2018, à 17:15

enebre

Re : Botphobic

krodelabestiole a écrit :

mais qu'ils exploitent une faille de fluxbb..

Ça expliquerait aussi le pourquoi, certains spammeurs passent si on ne fait pas un ban sur tout le profil.
J'ai aussi constaté qu'ils arrivent à placer leur spam alors qu'ils ne sont même pas encore vérifiés/validés, dans l'intervalle entre "Non vérifié" et "nouveau".

Dernière modification par enebre (Le 29/04/2018, à 17:22)

Hors ligne

#21 Le 29/04/2018, à 17:20

grim7reaper

Re : Botphobic

krodelabestiole a écrit :

... je regarde mais ya pas l'heure d'inscription

C’était après l’activation par ljere.

En fait y’a eu un premier spam juste après l’activation, j’ai rien dit (il était peut-être inscrit avant) mais les trois derniers là, je pense qu’ils se sont inscrits après.

Hors ligne

#22 Le 29/04/2018, à 17:24

krodelabestiole

Re : Botphobic

j'ai demandé à ljere un extrait des logs d'accès pour une de ces ip, on devrait être fixé

Hors ligne

#23 Le 29/04/2018, à 17:28

nam1962

Re : Botphobic

Top initiative ! Merci krodelabestiole !

Pour les bots, il y a aussi des bots... humains, le honeypot est un bon révélateur : sur l'almanet dolys je n'ai plus de bots, mais de temps en temps des comptes de spam (qui n'agissent souvent pas le même jour) de ce que j'ai pigé ce sont des gens rémunérés pour çà...

Côté faille le souci est différent, là les logs sont indispensables, cela dit, un firewall peut aider, perso j'utilise ninjafirewall, en dehors de la version spécifique WordPress il a une version "générique" php. Il est open source.

Dernière modification par nam1962 (Le 29/04/2018, à 17:35)


[ Modéré ]

Hors ligne

#24 Le 29/04/2018, à 17:28

enebre

Re : Botphobic

Ce sont justement souvent ceux là qui arrivent à poster leur spam dans l'intervalle "non vérifié" et "Nouveau"
@ofxmppjs.bishop-knot.bishop-knot.xyz
bishop-knot.xyz   ,cette série et deux ou trois autre dont je ne me souviens pas assez pour donner le domaine
Il y a déjà ces trois derniers, mais ils changent très souvent d'IP
5.79.83.198  joyjz69@ofxmppjs.bishop-knot.bishop-knot.xyz  Aujourd'hui à 16:33
205.168.84.133  autumnnq3@mail1.c.lady-and-lunch.xyz  Aujourd'hui à 16:17
207.244.70.35  leonorgn1@imap1.p.marver-coats.xyz Aujourd'hui à 16:14

Dernière modification par enebre (Le 29/04/2018, à 17:38)

Hors ligne

#25 Le 29/04/2018, à 17:34

cqfd93

Re : Botphobic

Bonjour,

D'abord un grand merci pour ton aide, ça va nous être très précieux !!!

krodelabestiole a écrit :

non ils se sont tous inscrits aujourd'hui mais on sait pas à quelle heure

Les 3 spammeurs qui ont réussi à s'inscrire après l'activation :
pseudo    email        inscription
rheadd1    oyjz69@ofxmppjs.bishop-knot.bishop-knot.xyz    Aujourd'hui 17:31:34
karayh2    autumnnq3@mail1.c.lady-and-lunch.xyz    Aujourd'hui 17:14:39
salvadoret60    leonorgn1@imap1.p.marver-coats.xyz    Aujourd'hui 17:11:56

L'heure d'inscription est celle qui correspond à l'envoi du formulaire d'inscription, même si le compte n'est pas vérifié.

Edit : et un de plus :
DebbraCoy    kraig@g.socialsergsasearchengineranker.com    Aujourd'hui 18:28:21

Et le temps que j'éditais, il y en a eu encore un autre…

Dernière modification par cqfd93 (Le 29/04/2018, à 17:41)


cqfd93

En ligne