Secure your forum

[anthony2378]

Hi!

Your forum is wide open to automatic registrations and postings. Spammers can use it to spread their junk automatically, just like we did to send you this message.

Find 'projekt spambot' on Google and to learn how we did this and how to secure your forum against this pest.

This is a one-time posting by 'Projekt SpamBot 2.0' to help forum-admins to secure their software. This account will not be used again, you can delete it (and this post) if you wish.
(We know we said it would have been a one time-posting the last time, but now being able to crack phpBB's CAPTCHA and the 'Humanizer' so easily lead us to version 2.0 to tell the community how unsafe phpBB is *again*.)

phpBB's standard-CAPTCHA is NOT safe. If you activated it for your forum, this post is the proof that it can be broken. (Our article tells you how.) Also the standard-'Humanizer' offers no security. You'll agree if you have it installed and have this text posted to your forum.

To stop spammers we recommend the MODs 'Advanced Visual Confirmation' and 'Unique Registration Hash' which can be found at phpbbhacks.com or the MOD-database on phpbb.com.

Greetings,
pseudocode


PS: E-Mails and PMs to this account as well as replies to this post will not be read.
PPS: if you received this message several times, your forum is probably reachable through more than one URL

[se]

danke danke
ich werd mal nach den mods gucken...

[HotShot]

Wieso redest du mit Bots? ^^

[tox]

Das Thema wollt ich heute abend aufm Treffen ansprechen...

[tmk]

so die meisten bots sind gelöscht, aber das wird auf dauer nix helfen.
wonko, du hattest doch mal gesagt, du wolltest dich drum kümmern.
ich wäre dir sehr verbunden, wenn du das demnächst mal in angriff nimmst in den nächsten eins zwei wochen. ja jetzt bald nicht erst in einem halben jahr
das geht doch nicht an! wir sind hier die nerds und kriegen das forum nicht bot-dicht...

[tox]

hatten wir eigentlich schon richtig ausdiskutiert, warum wir keine admin-anmeldung machen oder war das eher untergegangen?

[Neuge]

Bei dem ganzen Durcheinander hat man ja Kopfschmerzen bekommen ....

[tmk]

hatten wir eigentlich schon richtig ausdiskutiert, warum wir keine admin-anmeldung machen oder war das eher untergegangen?

wenn wir das machen, brauchen wir admins, die auch aktivieren. ich würde mich vorschlagen und tox, wenn er sich so fühlt. tox? die anderen, was dagegen?

ich habe auch einige strings in den benutzernamen verboten. *www*, *html*, *loan*, *.com*, *.co*, *.ru*, *.de*, *viagra* und *sex*.

[tox]

...

wenn wir das machen, brauchen wir admins, die auch aktivieren. ich würde mich vorschlagen und tox, wenn er sich so fühlt. tox? die anderen, was dagegen?
...

klar, gern

[Lapi]

Den Mod "Textual Confirmation" hattet ihr schon in Erwägung gezogen?
Die Fragen könnte man mit einer kleinen Pflichtlektüre "Was ist Freifunk?" verbinden

Edit:
Sorry die Lizenz von dem Mod ist evil !!!!
Bitte NICHT einsetzen.

PHP hatte nicht gerade die Programmierlust in mir geweckt. Aber wenn dieses Teil "notifications" an die Firma sendet, Danke.

Also obiges bitte nur als Anregung verstehen und nicht als einsetzbares Modul.

[matze-pwi]

@tmk
Wenn du eine blacklist für Usernamen aufstellen wilst, solltes du die Namen weiter abstahieren...z.b statt nur html aufzunehmen sollte es evtl *.htm[l]* oder bei deinem *viagra* eher *v_a_ra* da statt g gern ne 9 oder statt i ne 1 oder so genommen wird...ansonsten ist man eher hinterher die Liste zu aktualisieren wenn die Bots schon da waren...
Nachteil: Der Nutzernamenkreis für wirkliche Benutzer wird eingekreist...mir fällt grad kein passendes BSP ein...

Viele Grüße
Matze

[tox]

@tmk
Wenn du eine blacklist für Usernamen aufstellen wilst, solltes du die Namen weiter abstahieren...z.b statt nur html aufzunehmen sollte es evtl *.htm[l]* oder bei deinem *viagra* eher *v_a_ra* da statt g gern ne 9 oder statt i ne 1 oder so genommen wird...ansonsten ist man eher hinterher die Liste zu aktualisieren wenn die Bots schon da waren...
Nachteil: Der Nutzernamenkreis für wirkliche Benutzer wird eingekreist...mir fällt grad kein passendes BSP ein...

Viele Grüße
Matze

kann der parser reguläre ausdrücke? das wollt ich grad mal probieren, aber angeblich hab ich 3 mal bei nem registrierungsversuch das captcha falsch eingetippt, wobei ich mir sicher bin, dass das nicht sein kann.

edit:
Der anmeldetyp steht immer noch auf "Per E-Mail". wenn es keine einwände gibt, würd ich das dann auf "Durch den Admin" umstellen, da wir nun ein paar leute hamm, die sich um die aktivierungen kümmern.

[tox]

...
Der anmeldetyp steht immer noch auf "Per E-Mail". wenn es keine einwände gibt, würd ich das dann auf "Durch den Admin" umstellen, da wir nun ein paar leute hamm, die sich um die aktivierungen kümmern.

mh, ok, hat jetz schon wer gemacht, thema wird morgen geschlossen

[Cyrus]

Da bin ich aber strikt dagegen: Dass wir schon den Schritt mit den Newsgroups nicht gegangen sind ist eine Sache, aber unsere Kommunikation so weit zu privatisieren halte ich für eher kontraproduktiv.

Also zumindest ich, wäre ein bisschen abgeschreckt, wenn ich als Neuling mich hier anmelden müsste und dann erst einmal warten müsste, bis ich was posten könnte.

[tox]

das ist schon wahr... was hatte gleich gegen newsgroups gesprochen? die kompromitierten e-mail-adressen, nicht? sollte man vllt noch mal drüber nachdenken...

das problem, was wir beseitigen wollen, ist das automatisierte zugespamme durch bots. meines erachtens kann man automatisierung nur dadurch unterbrechen, dass menschen kontrollierend eingreifen.

jegliche lockerungen, die man treffen könnte, z.b. dass gäste in bestimmten foren schreiben dürfen, wären wieder eine einladung an bots.

der anmeldevorgang durch admins ist momentan notwendig, solange es keine brauchbare lösung gegen automatische registrierungen gibt. oder wir machen es weiterhin so, dass die automatisierung per e-mail geschieht, dann müssten die admins aber ständig online sein, um die bots frühmöglichst zu löschen.

ich denke aber dass es eine brauchbare lösung ist, dass ein neuling mal ein paar stunden (im durchschnitt) wartet, bis er was posten kann. ich kann aus meiner erfahrung sogar sagen, dass das eher von vorteil ist, da derjenige dann noch mal über sein erstes post in einem neuen forum nachdenken kann.

das ist eine sache der abwägung. nehmen wir lieber in kauf, dass das forum öfter mal spamposts bekommt oder lieber, dass neulinge etwas warten müssen...

[tmk]

zur zeit sind eingestellt:

-aktivierung durch admin (deswgen sind ja tox und ich admin, wir gucken hier jeden tag rein und wenn wer neu ist, wird er nach überprüfung der angaben aktiviert.)

-captcha aktiv

[se]

das captcha kann man weglassen, da es nicht effektiv ist. die bots können das lesen.

dass anmeldungen erst vom admin kontrolliert werden, finde ich auch nicht richtig. stimme cyrus da vollkommen zu. finde es ziemlich bevormundend erst überprüft zu werden, bevor ich schreiben darf.

sperren von usern mit bestimmten mustern im namen halte ich auch eher für fragwürdig.

ich pack halt dann mal phpbb3 drauf und gut ist.

[tox]

whua... das captcha von phpbb3 is krass! das programm, das das lesen kann, wird sofort von mir disassembliert

mh, ich denk mal, die anderen probleme sollten sich auch damit ergeben, ich beobachte das mal weiter.