Problemi di bot/spam

[TRAX3D]

Salve,
ho cercato con la funzione cerca ma sembra che tutti abbiano problemi con spammers e bot con phpBB joomla e wordpress.... mentre io ho un sito con registrazione scritto da me in PHP quindi non dovrei avere gli stessi tipi di bug...
ho notato che si registra un utente che in realtà è un BOT inserendo una mail che non esiste, il mio sistema manda una active key all'indirizzo email inserito creandolo al momento dell'iscrizione in questo modo:

Codice PHP:

$actkey = mt_rand(10000,99999).time().$email;
$act = sha1($actkey);


la cosa che mi fa strano è che pur non avendo ricevuto la mail alcune iscrizioni fasulle sono attivate quindi in qualche modo riesce a generare una active-key valida e si attiva l'iscrizione....
Ma quello che mi fa incaz.... è che da ieri ho messo un captcha a 6 lettere e stanotte ho avuto 3 iscrizioni .... quindi il captcha gli fa un baffo????
potete darmi qualche consiglio?

[karl94]

la cosa che mi fa strano è che pur non avendo ricevuto la mail alcune iscrizioni fasulle sono attivate quindi in qualche modo riesce a generare una active-key valida e si attiva l'iscrizione....

Evidentemente c'è qualche problema nel tuo codice allora, magari SQL Injection. In tal caso però è meno probabile siano attacchi generici automatizzati.

[TRAX3D]

No tenderei ad escludere Injection (ho scoperto ora che cosa è) visto che l'utente attiva ha un campo crediti di valore 100 che è lo stesso valore che imposta la pagina activate.php richiamata dal link con il codice generato.
Per ora sembra che sia riuscito a bloccarlo con un controllo sul campo Società che è opzionale e può restare vuoto, ho notato che il bot ci scriveva 1 sola lettera oppure [Varies] oppure [116 row a seat], speriamo che sia sufficente...
Conviene far un controolo e un ban temporanei agli IP?
Mi consigliate altro?

[karl94]

No tenderei ad escludere Injection (ho scoperto ora che cosa è)

Molto male.

visto che l'utente attiva ha un campo crediti di valore 100 che è lo stesso valore che imposta la pagina activate.php richiamata dal link con il codice generato.

E quindi? Potrebbe recuperare il codice corretto dal database mediante SQL injection, oppure effettuare una SQL injection proprio nella pagina che verifica l'"active key", a seconda di come hai scritto il codice.

Per ora sembra che sia riuscito a bloccarlo con un controllo sul campo Società che è opzionale e può restare vuoto, ho notato che il bot ci scriveva 1 sola lettera oppure [Varies] oppure [116 row a seat], speriamo che sia sufficente...
Conviene far un controolo e un ban temporanei agli IP?

Non aggirare il problema: identificalo e risolvilo. Se qualcuno è riuscito a fare una cosa simile i tuoi script presentano un problema di sicurezza che devi risolvere. Limitando l'accesso ad alcuni IP non risolvi nulla, al più rimandi la risoluzione del problema a dopo.

Comincia con il riportare il codice della pagina activate.php, così vediamo se lì ci sono falle sfruttabili.

[darkwolf]

Oltre quanto consigliato da Karl, prova a capire se tali bot usano effettivamente quella pagina oppure no!
Quindi stampa l'eventuale Form in javascript (a prova di bot) e/o aggiungi un campo hidden (da salvare) così vedrai se passan davvero da lì (se quel campo è presente oppure no).
Oltre ciò, se non si tratta di sql onjection, puoi provare recaptcha invece del semplice captcha, e magari un un campo 'honeypot'.

[TRAX3D]

Scusate le mie mancanze ma non sono un programmatore professionista...

farò un log di tutti i tentativi di registrazione al più presto

la pagina activate.php

Codice PHP:

<?php
include 'lib/pagina.php';
include 'lib/config.php'; //Per connessione a database

sopra_testa();
titolo("Attivazione");
testa();
sotto_testa();

titoloh2("Attivazione");
iniziocontenuto();

$id = $_GET['id'];

$query = mysql_query("SELECT * FROM Users WHERE Actkey = '$id' LIMIT 1") or die(mysql_error());
$row = mysql_fetch_array($query);

if(mysql_num_rows($query) > 0){

if ($row['Activated'] == '1') {echo '<pm>Attenzione!, account già attivo<BR><pm>';goto salta_activate;}


$user = $row['id'];

$do = mysql_query("UPDATE Users SET Activated = 1 WHERE id = '$user' LIMIT 1") or die(mysql_error());

//Regalo $FirstBonus crediti all'attivazione*********************************************************
$FirstActivation = $row['FirstActivation'];
if ($FirstActivation == '0')
{
//Do il FirstBonus + attivo FirstActivation + do Potere 1 => 'Utente'
$do1 = mysql_query("UPDATE Users SET
Credito = $FirstBonus,
FirstActivation = 1,
Poteri = 1
WHERE id = '$user' LIMIT 1") or die(mysql_error());
reg_forum($row['Username'], $row['Password'], $row['Email'], $row['IP'], 'it');
}
//***************************************************************************************************

$message = "Grazie per aver attivato il tuo account, ora sei registrato e puoi utilizzare i nostri servizi.\n\n";
if ($FirstActivation == '0') $message .= "Ti sono stati accreditati $FirstBonus CREDITI\n\n";
$message .= "Per loggare, clicca questo link: $SiteLink/login.php";

$send = mail($row['Email'], "Conferma di attivazione", $message, "FROM: ".$MittEmail);

if(($do)&&($send))
{
echo '<link href="style.css" rel="stylesheet" type="text/css">
<div id="success">
<p>Account attivato. Una email di conferma ti è stata inviata. Ora puoi loggarti.</p>
<p><a href="login.php">Clicca qui</a> per andare alla pagina di login.</p>
</div>';
if($do) echo '<p>Do è OK<p>';
if($send) echo '<p>Send è OK<p>';
} else {
echo '<link href="style.css" rel="stylesheet" type="text/css">
<div id="error">
<p>Spiacenti, è accaduto un errore durante il processo di attivazione. Per favore riprova.</p>
</div>';
if($do) echo '<p>Do è OK<p>';
if($send) echo '<p>Send è OK<p>';
}

} else {

echo '<link href="style.css" rel="stylesheet" type="text/css">
<div id="error">
<p>Spiacenti, il tuo codice di attivazione è incorretto. Per favore riprova.</p>
</div>';

}
salta_activate:

mysql_close($l);

finecontenuto();

fondo();
?>

[TRAX3D]

ecco il bot

3
93.170.130.95
data:01, 02 17 Nome:IsaacRor Cognome:IsaacRorON User:IsaacRor Soc:116 row a seat 20 email:owen@1milliondollars.xyz pass:cy32z7SbvK campovuoto:
5
46.119.127.74
data:01, 02 17 Nome:DanielFoolo Cognome:DanielFooloTV User:DanielFoolo Soc:116 row a seat 20 email:owgfikeley@sills25.browndecorationlights.com pass:s57Ly4innK campovuoto:
6
89.26.248.3
data:02, 02 17 Nome:MichaelBiara Cognome:MichaelBiaraPQ User:MichaelBiara Soc:116 row a seat 20 email:ililina1977@rambler.ru pass:3P9bq1epkU campovuoto:
7
188.232.75.96
data:02, 02 17 Nome:ÄîëîđĺńńSlers Cognome:ÄîëîđĺńńSlersGZ User:ÄîëîđĺńńSlers Soc:116 row a seat 20 email:doloress.ignotenvovas@yandex.ru pass:2yy5Bq9vsF campovuoto:
8
46.119.127.74
data:02, 02 17 Nome:Jeremyaluck Cognome:JeremyaluckGD User:Jeremyaluck Soc:1 email:pcfjcgnfli@duve.leathermenshoes.com pass:3wjo2z5XnA campovuoto:

[karl94]

Prendi un file incluso da tutte quante le pagine ed inserisci in questo del codice per registrare tutte le richieste in maniera dettagliata (salvati il contenuto di $_SERVER e $_POST), così da poter identificare quali sono effettivamente le richieste effettuate e quali parametri vengono passati.
Il codice che hai riportato è vulnerabile ad attacchi di tipo SQL injection: con una singola richiesta HTTP un malintenzionato può eliminare tutti i dati contenuti sul tuo database.
Correggi il codice in modo che non sia possibile effettuare SQL injection, leggi http://php.net/manual/en/security.da...-injection.php.

[TRAX3D]

Allora dai log delle pagine register e activate vedo che non usa injection ma delle registrazioni fatte da probabilmente da BOT e poi manda più activate per azzeccare il codice di attivazione.
Ora che l'ho bloccato ha usato una mail vera per ricevere activateID, credo che sia per capire come riprodurlo (mia ipotesi)...
Ora come lo posso fermare???

Il recaptcha di google può funzionare?

[karl94]

Il recaptcha di google può funzionare?

Sì, ma sistema le vulnerabilità SQL injection.

[TRAX3D]

Sì, ma sistema le vulnerabilità SQL injection.

basta filtrare le immissioni e togliere '=' o la cosa è molto più complessa?

[karl94]

Facciamo così: prendi il codice che hai già riportato qua e prova a sistemare tutte le vulnerabilità, quindi riporta il risultato.
Ad ogni modo, hai ben compreso come si possono sfruttare e cosa comportano? E perché si possono sfruttare?

[TRAX3D]

Ok diciamo che per il login ho questa stringa che mi cripta la password quindi dovrebbe essere a prova di injection

Codice PHP:

$username = trim(addslashes($_POST['username']));
$password = md5(trim($_POST['password']));

//Mi connetto al database
$query = mysql_query("SELECT * FROM Users WHERE Username = '$username' AND Password = '$password' LIMIT 1") or die(mysql_error());
$row = mysql_fetch_array($query);


correggetemi se sbaglio, anche se la query dell'username mi da TRUE ma quella della password essendo criptata anche se metti una cosa <’ or ‘1’=’1> <’ or ‘1’=’1’ — ‘> <’ or ‘1’=’1’ ({ ‘> <’ or ‘1’=’1’ /* ‘> viene bloccata.

[karl94]

Ok diciamo che per il login ho questa stringa che mi cripta la password quindi dovrebbe essere a prova di injection

La tesi è corretta, le premesse un po' meno.
La funzione PHP md5 restituisce una stringa di 32 caratteri composta da cifre (0-9) e lettere (a-f). Con qualsiasi stringa di questo tipo non è possibile alterare quella query in modo da farle fare qualcos'altro.
Ad ogni modo la funzione md5 non è una funzione di cifratura, ma è una funzione di hash. Sono due cose estremamente differenti e si usano per scopi differenti. Una funzione di cifratura ha sempre l'inversa per decifrare, una funzione hash è invece a senso unico.
Premesso questo, usare md5 come hash per le password poteva andare bene forse dieci anni fa. Adesso una cosa del genere è poco sicura: se uno riesce ad ottenere gli hash dal tuo database (e probabilmente ci si riesce senza troppe difficoltà) può facilmente ottenere le password in chiaro con vari tipi di attacco (brute force, rainbow table o anche banalmente cercando l'hash su un motore di ricerca).
Usa piuttosto le funzioni password_hash e password_verify.
E non chiamare trim sul contenuto della password.

correggetemi se sbaglio, anche se la query dell'username mi da TRUE ma quella della password essendo criptata anche se metti una cosa <’ or ‘1’=’1> <’ or ‘1’=’1’ — ‘> <’ or ‘1’=’1’ ({ ‘> <’ or ‘1’=’1’ /* ‘> viene bloccata.

Non è quello il punto: non sono due query separate, è una singola query. Se $username fosse sufficientemente manipolabile l'attaccante potrebbe semplicemente fare in modo che abbia come valore

Codice:

nomeutente'#

in questo modo, la query diverrebbe

Codice:

SELECT * FROM Users WHERE Username = 'nomeutente'#' AND Password = '5f4dcc3b5aa765d61d8327deb882cf99' LIMIT 1

Nel tuo caso però usi addslashes, quindi sul codice che hai riportato è possibile un attacco di questo tipo solamente se utilizzi codifiche di carattere particolari (leggi http://shiflett.org/blog/2006/jan/ad...-escape-string).

Il codice di activate.php che hai riportato invece non ha alcuna protezione: si può sfruttare questo per effettuare una qualsiasi modifica al database (anche eliminare tutte le tabelle). Leggi ad esempio http://stackoverflow.com/questions/9...uery-of-select

[TRAX3D]

Salve,
ci sto lavorando alla messa in sicurezza ma oggi che ho postato le modifiche mi trovo di fronte a questo problema:

Codice PHP:

<?php
echo password_hash("ciao", PASSWORD_BCRYPT);
?>

risultato?
Fatal error: Call to undefined function password_hash() in /membri2/trax3d/Temp/test_password.php on line 2

mentre sul mio PC con EasyPHP funziona tutto perfettamente....

[mzanella]

La versione di PHP deve essere almeno 5.5 per poter utilizzare password_hash. Puoi modificare la versione di PHP dal pannello di controllo di AlterVista

[karl94]

Perché hai scelto di usare l'algoritmo PASSWORD_BCRYPT?