Spam en el foro SMF. Anti-Spam

logo SMF Desde hace ya mogollón de años, tengo un foro de java con SMF (Simple Machines Forum). Y desde hace ya mogollón de años vengo sufriendo el spam. Montones de «bots» registrados al día y algunos consiguen llegar a meter mensajes de spam en el foro.

Fui poniendo lo que permite SMF como anti-spam. Un captcha y preguntas que el usuario que quiere registrarse debe contestar. Las preguntas deben ser sencillas para que un usuario normal no tenga problemas, pero que un bot no pueda constestar fácilmente. Mis preguntas eran estilo de qué color es el caballo blanco de Santiago o cuanto es 2+3.

Pues nada, sigue habiendo problemas, así que me he puesto a buscar alternativas. Y encontré esta lectura que me ha llamado la atención «Qué puedo hacer contra el spam»

Resulta que los bots en general pueden con los captchas y según dice ese artículo, un captcha da más problemas a un usuario legítimo al registrarse que a un bot. Desde luego, el captcha más complejo de SMF a mi me cuesta o no puedo leerlo y no ha conseguido parar a los bots.

Resulta también que los bots saben hacer cuentas en las preguntas estilo cuánto es 2+3 y resulta que también prueban a poner todas las palabras de la pregunta como respuesta, con lo que lo de qué color es el caballo blanco de Santiago tampoco es una buena opción.

En este hilo leo posibles buenas preguntas para hacer. Algo que nadie necesita saber puesto que la respuesta se busca en la pregunta y que teóricamente dificulta el asunto a los bots. Preguntas estilo «Pon los tres últimos números que hay en la cadena dg7564gh»

Así que he cambiado las preguntas a preguntas de este estilo. A ver qué pasa.

La leche con el spam

Tengo desde hace tiempo un pequeño blog en el que contaba mis andanzas con los deportes: correr y bicicleta. Hoy se me ha ocurrido mirar las estadísticas de uso de recursos en el hosting donde está alojado y me encuentro con burradas como que de los 4 Gigas de disco duro que tengo disponibles hay 2 Gigas ocupados y que en transferencia de datos, en lo que va de mes, llevo gastados 14 Gigas. ¡¡ Imposible !!. Ese blog lo miramos mi amiguete de bicicleteo y yo. Así que me pongo a investigar.

Lo primero que me llama la atención es que los 2 Gigas de disco los consume la base de datos, pero que el crecimiento en el tiempo ha sido casi contínuo y exagerado, y eso que llevo casi dos años sin escribir en ese blog

crecimiento de ocupacion en disco de base de datos

Y mirando más, lo segundo que me llama la atención es el país de procedencia de la mayoría de las visitas … ¡¡CHINA!!

 

 

Así que rápidamente se me abren los ojos. Es cosa del spam seguro, llevo tiempo peleándome en mis web con spam procedente de china. En este blog en concreto, recibía montones de comentarios de spam, así que primero puse que habría que registrase para poder comentar. Seguían llegando comentarios, así que puse que los comentarios requerían aprobación …. y me olvidé de aprobarlos y controlarlos. Seguro que esos comentarios en espera de aprobación son los que ocupan base de datos.

Y efectivamente, reviso la tabla de comentarios y nada más y nada menos que 500000 registros, 500K comentarios en espera de aprobación. Así que nada, borrados todos los usuarios excepto yo, borrados todos los comentarios excepto los aprobados y a ver qué pasa. Veo en el log del sitio que hay un "chino" que está intentando acceder (login) aproximadamente una vez por minuto.

Pues eso. ¡¡Malditos spammers!!

Me han «crackeado»

 

La verdad es que tengo el blog abandonado desde hace tiempo y es una pena que lo retome con una mala noticia (para mí).

Esta mañana recibo un correo de google indicándome que en mi sitio web www.chuidiang.com han encontrado algunas prácticas ilegales por lo que me retiran del buscador durante un mes. Pues efectivamente, el sitio ya no aparece en las búsquedas de google y revisando la página principal alguien le ha metido un montón de enlaces ocultos a páginas misteriosas (ya sabéis, fármacos, sexo y demás).

Revisando el sitio, afortunadamente, parece que sólo ha sido la página inicial, así que corregirla ha sido rápido. Pero revisando, encuentro que me han creado en el servidor un par de directorios con un montón de scripts php, aparentemente para poder modificar la página inicial a voluntad desde un navegador.

Así que cambio de password de acceso al servidor, borrado de todos esos directorios con scripts maliciosos y correo al servicio técnico del hosting por si ellos quieren/pueden investigar algo más. De momento todo corregido y si en unos días no vuelve a haber un altercado como este, enviaré a google un correo indicando que me pueden reindexar (me han mandado un enlace para ello).

En fin, a ver si sigo escribiendo en el blog con otras cosas más al estilo de siempre.

Descastigado por google

 

Hace tiempo comenté que me habían crakeado el blog, metiendo enlaces ocultos de spam y que google me había castigado por ello, disminuyendo de forma considerable mi número de visitas.

De aquella actualicé mi versión de wordpress a la última versión disponible de forma automática en mi hosting. Pero eso no bastó. Al poco tiempo había vuelto a ser crakeado, así una y otra vez. El número de visitas seguía cada vez más bajo.

Al final me decidí a lanzarme de cabeza al agua. Me descargué manualmente la última versión de wordpress y la instalé a mano totalmente en mi hosting. Tuve el consabido problema de los acentos, pero que ya sé cómo arreglar. La instalación no me dio ningún problema especial.

Y ha sido todo un éxito. Con esta nueva versión no solo no me han vuelto a crakear, sino que a los pocos días noté el efecto en las visitas, como se puede ver en el gráfico. Google me había descastigado

Estadísticas google analytics

 

Más spam en la Chuwiki

Llevo unos días recibiendo spam en la Chuwiki. Varias veces al día crean una página de nombre "Titulo incorrecto" con un montón de enlaces de spam y desde IPs distintas.

Llevo varios días borrando esa página. Al ver que el tema seguía, me decidí a bloquear las IPs de donde proviene ese spam, pero parece que no se les acaban. Seguramente están usando un proxy de IP dinámica, de esos que sirven para ocultar la IP real.

Mirando en la documentación de MediaWiki veo que existen cosas como Captchas estilo ConfirmEdit, pero no parece que sea de fácil instalación y sobre todo porque en los primeros párrafos empiezan a contar rollos de versiones que, por supuesto, yo no tengo.

Así que al final, encontré cómo hacer para que un usuario no registrado no pueda crear páginas, que básicamente consiste en editar el fichero LocalSettings.php y añadirle una línea como

$wgGroupPermissions[‘*’][‘create’] = false;

con lo que no permite a usuarios anónimos (debe ser el *) crear (por lo de create) páginas nuevas.

Es una pequeña limitación, pero supongo que a alguien que quiera crear una página y se vaya a poner a escribir algo en serio en ella, no le costará mucho más esfuerzo registrarse y darse de alta.

Spam, spam y más spam

Después de descubrir que me habían crackeado el header.php del blog, esta mañana tenía como cuarenta y tantos comentarios esperando moderación, todos de por la noche. Los miro, y todos son spam. 

¿Cómo es posible, si tengo puesto el plugin ese que pide una suma para verificar que el "comentarista" es humano?.

Me pongo a revisar y ya está claro. Resulta que todos van al mismo post y que vienen como "trackbadks" de otros blog. Supongo que eso es una tontería y detrás no hay ninguno de esos blogs, símplemente habrán encontrado la forma de que el robot de turno envíe esos trackbacks.

Así que nada, nuevo plugin para evitar spam. De todas formas, la versión que tengo ahora de wordpress tampoco es la última, sino que es la última que me ofrecía mi panel de control del hosting. Quizás prueba a instalarme la última manualmente, a ver si es un poco más robusta y es capaz de detectar/protegerse este tipo de spam.