Kozika strona (i domowe piwko)

Rozgryzione CAPTCHA z MyBB?

23 czerwiec 2008, autorstwa: kozik

Post na forum opartym o MyBB usera “shoes258″ z typowym zagranicznym spamem handlowym (jakieś pierdu-pierdu o ubraniach… i link do strony :) ). IP chińskie - 34.157.58.59.broad.pt.fj.dynamic.163data.com.cn. E-mail użyty w rejestracji zresztą też. Standard ktoś mógłby rzec… ale ciekawie wyglądają logi webserwera:

1. 59.58.157.34 - - [13/Jun/2008:17:49:06 +0200] “GET /index.php HTTP/1.0″
200 7781 “http://forum.pcformat.pl/archive/index.php”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

2. 59.58.157.34 - - [13/Jun/2008:17:49:25 +0200]
“GET /member.php?action=register HTTP/1.0″
200 8143 “http://forum.pcformat.pl/index.php”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

3. 59.58.157.34 - - [13/Jun/2008:17:50:13 +0200] “POST /member.php HTTP/1.0″
200 4294 “http://forum.pcformat.pl/member.php?action=register”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

4. 59.58.157.34 - - [13/Jun/2008:17:50:26 +0200]
“GET /captcha.php?action=regimage&imagehash=102a26feca3d64b091dc62004f18f093 HTTP/1.0″
200 16023 “http://forum.pcformat.pl/member.php”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

5. 59.58.157.34 - - [13/Jun/2008:17:51:07 +0200] “POST /member.php HTTP/1.0″
200 2696 “http://forum.pcformat.pl/member.php”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
… … …
6. 59.58.138.123 - - [16/Jun/2008:06:17:58 +0200]
“GET /member.php?action=activate&uid=52357&code=RAm4WZ6i HTTP/1.0″ 200 1958
“http://m28.mail.qq.com/cgi-bin/readmail?sid=MjQ1Mjg1MjQ4ODU0MzIxMjIx425484221,zh_CN
&mailid=ZC0213_7EG5nk1TZ6L_A9l8xsKiA34&t=readmail&s=&refresh_maillist=true”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

Idąc po kolei - gość znalazł stronę (wpis 1). Wlazł następnie w rejestrację (2) i spróbował się zarejestrować (3). Wywaliło mu, że zły kod, więc pobrał kod CAPTCHA (4). Ponownie spróbował się zarejestrować (5) i udało się, bo przy żądaniu 6 aktywował swoje konto. Co w tym ciekawi?

Przede wszystkim - jeśli to był człowiek, to CAPTCHA powinna zostać pobrana przy pierwszym wywołaniu member.php, a odwołanie do captcha.php pojawiło się dopiero po nieudanej próbie rejestracji (POST do member.php). Z drugiej strony aktywacja konta (konieczność odebrania e-maila) nastąpiła dopiero po 3 dniach… Sam UA cały czas przekazywał poprawne (również z punktu widzenia logicznego ciągu)HTTP referer, co jest raczej nietypowe jak na skrypty.

Czyżby po sieci latał skuteczny robak spamujący, potrafiący rozgryźć kod CAPTCHA z MyBB 1.2? W sumie czemu nie - grafika nie jest wybitnie skomplikowana, a MyBB staje się coraz popularniejsze tym samym będąc stopniowo coraz bardziej interesującym kąskiem dla twórców takiego oprogramowania…

P.S. W logach nie ma żadnych odwołań do grafik czy CSS czy JS, ale teoretycznie nie musi ich być, bo je cache’uje web proxy.

Wysłano w Blog - Web | Tags: , , , , |

Adres dla trackback. RSS dla komentarzy w tym wpisie.

Liczba komentarzy: 5

  1. hippie69 Says:
    czerwiec 24th, 2008 at 11:23

    Ajj… Jak na forum PCF mają się pojawiać boty spamujące, to dziękuję bardzo. A swoją drogą, nie da się tego obrazka “utrudnić”?

  2. kozik Says:
    czerwiec 25th, 2008 at 16:24

    Notka tyczy się MyBB i problemu dotyczącego tego mechanizmu. Odniesienia do forum PCF są troszkę niezrozumieniem tematu - to tyczy się praktycznie każdej instalacji MyBB.

    Z kolei same boty to codzienność, a nawet stan “naturalny” obecnej Sieci… Ręcznie wprowadzić bota do dowolnego mechanizmu forum dyskusyjnego jest banalnie prosto - te boty już są wszędzie. Nie wiem czy za mało to podkreśliłem… wpis dotyczy botów skutecznie przechodzących CAPTCHA przy rejestracji (jak to się ma już od jakiegoś czasu przy Gmailu i Hotmailu).

  3. świstak Says:
    czerwiec 25th, 2008 at 20:09

    Oj, przepraszam. Błąd wyniknął z mojego nieobeznania w temacie :)

  4. tuptus Says:
    lipiec 14th, 2008 at 16:04

    Kozik, zgłaszałeś to może twórcom MyBB? Bo z tego co zdążyłem przestować MyBB 1.4, to mechanizm CAPTCHA jest taki sam jak w MyBB 1.2 (biorąc pod uwagę oczywiście tylko ‘wygląd’ obrazka, nie wiem gdzie jest zawarty sam mechanizm CAPTCHA).

  5. kozik Says:
    lipiec 14th, 2008 at 16:57

    Nie, buga jeszcze nie zgłosiłem. Za mało danych świadczących, że to był robot, i za mało takich powtarzalnych przypadków. Jednocześnie przy natłoku prac związanych z wyjściem 1.4, mogłoby to zostać zapomniane :).

Dodaj komentarz




Uwaga: Włączona jest moderacja komentarzy, więc nowy komentarz nie ukaże się bezpośrednio po jego wysłaniu.

Uwaga: Działa filtr antyspamowy. Jeśli umieścisz w komentarzu odnośniki, to może on zostać błędnie zakwalifikowany jako spam.

Kategorie

Ostatnio napisane

Szukaj:

Administracja:



content license: cc-by-sa © 2002 - 2008 Krzysztof Kozłowski
All content on this website, unless otherwised noted, is licensed under Creative Commons Attribution-ShareAlike License.
Motorynka: WordPress