Attacchi esterni al sito con spam
Author: Camelia B.Buongiorno
Ho un grande problema con un mio cliente che alla fine il server oggi lo ha oscurato per colpa della vulnerabilità del programma (così mi hanno spiegato quando ho chiamato l'assistenza hosting)
Non e la prima volta che questo sito ha avuto dei problemi, li ho inserito guetbook e sono partite una valanga di spam, poi lo tolto, il modulo invio mail al inizio non avevo inserito il codice di sicurezza ed e successo ancora ( il server ha bloccatto il sito) adesso ho inserito a luglio il codice di sicurezza e anche così il sito e stato preso di mira e il server me lo ha bloccatto un altra volta, adesso il cliente che lavora solo con questo sito non può lavorare. Come posso fare che nessuno può inserire delle pagine al interno di questo sito tramite questo programma a mia insaputa?
Come posso proteggerlo? I ragazzi del server mi hanno spiegato di non usare più questo programma se e così vulnerabile. Cosa devo fare?
Spero in una risposta urgente.
Il sito in questione e: www.sweetmama.it
Grazie
Camelia Bucur
Hai provato ad eseguire una ricerca qui sull'answers con la chiave "spam"?
Evitare di usare questo programma è una soluzione fittizia, se ne usi un'altro ... dopo un po' sei da capo a dodici.
Credo che il problema vada affrontato in maniera diversa. Posso capire l'urgenza, ma certe cose devono "maturare" ... ed è necessario soprattutto maturare un minimo di competenza per applicare i vari suggerimenti che potrai trovare "in giro".
Nel frattempo è possibile sicuramente evitare che il guestbook sia libero ed utilizzare un link con il mailto piuttosto che il form per le richieste di contatto.
... una alternativa che per anni non ha mai prodotto SPAM, per fortuna, non legato ad EMAIL, ma che certo non garantisce sicurezza al 100% se si ha a che fare con pazzi e criminali, o stupidi che non hanno niente da fare che passare il tempo a bucare per dare fastidio...
... ripeto, spam mai visti, ed in qualcuno che avevo distribuito, solo i messaggi di qualche buontempone, facilemente eliminabili all'istante, se si volesse:
... l'ho rispolverato, e se di interesse occorre l'URL del SITO per poterlo utilizzare, è in SwishMax (SWF Flash), quindi niente iBab&co.: http://www.kolasim-zone.it/guestbook1/index.html
.
bye, KolAsim
La soluzione di Kolasim è abbastanza buona se si considera che i BOT vanno alla ricerca di FORM che con il suo sistema non sono visibili nel codice html della pagina e quindi abbastanza immuni al problema spam.
Purtroppo, come in tutte le cose, ci sono gli effetti collaterali .... tra cui un una certa antipatia tra la tecnologia flash e tutto l' i-World con i suoi McChicken .... e che con i tempi che corrono e le mode che si avvicendano ... potrebbe rappresentare una limitazione importante.
... un altro effetto collaterale è che i contenuti del guestook non si trovano "nella pagina" ovvero non potranno essere efficientemente indicizzati. Questo significa che, se ad esempio, ho il sito di un ristorante con tanti commenti positivi, ringraziamenti ed elogi per il cuoco ... sui motori di ricerca non avrebbe senso fare ricerche contenenti frasi come "buona cucina" o roba del genere .... insomma, i contenuti non verranno presi in considerazione dagli spiders.
Author
Grazie per la risposta, ma il mio problema non e su guestbook in quanto non ce più sul sito ma sul modulo invio contatti, quello che ho trovato dando un occhiata in giro non ho trovato nessuna risposta al mio problema, togliere, il modulo contatti potrebbe essere una soluzione?
L'unica cosa e che il sito lavora con questo modulo ed e molto usato dai clienti.Volevo specificare che l'host ce lo su spazioweb.com che si appoggia su aruba. Ho pensato anche di cambiare il provider.
Cosa mi consigliate di fare?
Grazie
...
... per i form-mail, avrei da rispolverare il mio, sempre in Flash, stesso metodo, ...immune da qualsiasi tipo di Spam, ...quindi non per iBad, iStupid, ecc.
.
bye, KolAsim
(considerazone personale: ...anche se ne ho realizzati diversi, ...il Form-mail non l'ho mai considerata una forma seria di comunicazione; chi vuole scrivere deve prima esistere! ...e quindi essere in possesso di un account, anonimi a parte; ...ciò vuol dire: MailTo)
... per l'indicizzazione, (cosa cui non tengo e non credo), ...sarebbe un problema facilmente risolvibile; ...il TXT potrebbe essere formattato in XML e fatto visualizzare anche in una pagina come se fosse un FeedRss...
Non mi sbilancerei troppo ... diciamo "sufficientemente immune allo spam" ... etc etc
(considerazone personale: ...anche se ne ho realizzati diversi, ...il Form-mail non l'ho mai considerata una forma seria di comunicazione; chi vuole scrivere deve prima esistere! ...e quindi essere in possesso di un account, anonimi a parte; ...ciò vuol dire: MailTo)
Su questo non sono affatto d'accordo. Se l'obbiettivo è quello di facilitare la navigazione e semplificare le procedure per inviare richieste ... beh .... saresti in controtendenza. Il metodo del mailto funziona solo se hai un client di posta già configurato, mentre invece la tendenza è sempre più quella di utilizzare i webmail.
... per l'indicizzazione, (cosa cui non tengo e non credo), ...sarebbe un problema facilmente risolvibile; ...il TXT potrebbe essere formattato in XML e fatto visualizzare anche in una pagina come se fosse un FeedRss...
Parlando parlando .... vengono le idee. Una buona soluzione per "salvare capra e cavoli" potrebbe essere quella di realizzare il guestbook con una soluzione mista. Ovvero la parte della visualizzazione dei commenti in php staticamente in una pagina, mentre la parte "attiva", quella del form per l'immissione del commento, mediante flash .... e quindi la limitazione degli i-cosi rimane solo per l'immissione dei commenti e non per la visualizzazione.
- al 1° QUOTE: ... sì, ho esagerato effettivamente; ...però!, nei 5 anni nel famigerato N.tS.ns, mai ricevutane alcuna, pur essendo alla mercè di vari balordi patentati...
- al 2° QUOTE: ... già dal lontano 1995 usavo Outlook Express, per poi usare anche FOXMAIL, cinese!!! ...per me forse il migliore che esista; ...considerato questo, chi non ha un account con un client mailreader sul PC non oso dire come lo ritengo!!! ...comunque c'è sempre il copia/incolla sul webmail, quindi non sarebbe una limitazione, altrimenti non si spiegherebbe la divulgazione degli i(!)&co. quindi si deve esistere, ed ormai la firma digitale è attuale e regolarizzerà il modo del comunicare serio...
... comunque in alternativa, mi era piaciuto il precedente discorso in altro Topic dell'autorisponditore con registrazione automatica e conferma dell'email, sempre se chi compila il form è attento...
- al 3° QUOTE: ...sì, ...buona idea, magari con un PHP/include, un IFRAME, o con un XML; ...tutto sta a studiarci un po', ...magari se riprenderò le sperimentazioni se ne riparlerà...
.
bye, KolAsim
La cosiddetta posta certificata è utile ma scomoda per la maggior parte delle applicazioni. Non può ricevere mail da chiunque e questa è una gran cosa, ma esclude tutti coloro che non hanno una pec o non sanno come si usa e ... ne ho visti e continuo a vederne tanti. Il discorso è sempre lo stesso, massimizzare la facilità di essere contattati o minimizzare la perdita di tempo con lo spam ... molti scelgono la prima ... ma si tratta di scelte personali e non oggettive.
... comunque in alternativa, mi era piaciuto il precedente discorso in altro Topic dell'autorisponditore con registrazione automatica e conferma dell'email, sempre se chi compila il form è attento...
E' chiaro che la registrazione non deve essere necessariamente obbligatoria, ma che l'email debba esistere è vincolante per l'invio della richiesta. E' una buona via di mezzo tra il mio estremismo ed il tuo.
- al 3° QUOTE: ...sì, ...buona idea, magari con un PHP/include, un IFRAME, o con un XML; ...tutto sta a studiarci un po', ...magari se riprenderò le sperimentazioni se ne riparlerà...
.
bye, KolAsim
Leggendo e rileggendo ... si potrebbe estendere questo discorso sul gb "misto" anche ai normali form di contatto ed ai blog, ma il mio livello nell'uso di swishmax è definibile come "primordiale" .... in altre parole, sono un asino.
... beh, con SM mi ritengo anche io terra terra, ma per il PHP sono sotto terra, e per ora sono fermo... in attesa apatica...
bye
Author
Grazie ancora a tutte due per i consigli ma come riesco a fare un form con swishmax? lo usato poco mi potete dare un idea? Ma la mia proposta di cambiare il server può funzionare? Oppure una volta entrata nel mirino degli spam non esco più?
... guarda, ...ho il catorcio scollegato (non sai tutta la storia), ed in genere la attivo di Sabato/Domenica...
... se la radice del Sito è questa, www.sweetmama.it ed hai pazienza di aspettare, e mi indichi la email del titolare mettento (AT) al posti di "@", te ne preparerò una semplice semplice, con 3 campi, Nome, Email, Messaggio, e nessuna protezione, allegato, verifica e codifica, perchè non servono, magari indicandomi la voce di "Oggetto", per esempio del tipo: "Dal Form di sweetmama"
... volevo guardarre l'attuale, ma è in It works!
.
bye, KolAsim
Author
Grazie per il tuo aiuto. A me servirebbe un form semplice come hai detto tu con 3 campi, come oggetto RICHIESTA INFORMAZIONI.
Adesso e in works perchè il server me lo ha oscurato, ma lo caricato su un altro dominio www.bakrplast.it
La mail e info at sweetmama.it
Grazie mille
ciao, ... OK, ...se non avrò tempo prima, se ne riparlerà Sabato o Domenica, se avrai pazienza di aspettare, perchè devo avviare il vecchio catorcio zopicante...
... il ZIP te lo invierò su questa email di sweetmama.it, ...ok..?
.
bye, KolAsim
Author
per me va benissimo, quando hai tempo
ciao
... però...!... mi devi confermare quale sarà la radice del sito reale, e se la stessa è abilitata al PHP oppure se c'è una cartella particolare per gli script PHP...!...
Author
La radice e www.sweetmama.it ed e abilitata a php
... ok, ... ho attaccato il catorcio dopo pranz, e stav vedendo di implementare il Form-Mail sul tuo schema pre esistente...
... tra non molto lo pubblico e ti metterò il Link per valutarlo, con link email destinatario quello che mi hai segnalato, in modo che tu possa controllare, e se tutto funziona e me lo confermi, procederò sulla versione dedicata al sito specifico "www.sweetmama.it"; ...ovviamente le email del mio test di esempio le riceverai su quel account di posta, se tutto funzionerà...
.
... a tra non molto... ... .... ... ... ... ...
.. ho fatto una prova, ...vai a controllare la email se è arrivata...
... ... ...
... questo è l'esempio con cui ho inviato la prima email, che dovresti andare a controllare: http://www.kolasim-zone.it/form-mail/formmail_k_camelia1.html
... questo è l'esempio inserito in WSX5eV.7, con uno sfondo per farti notare che il for_mail è trasparente: http://www.kolasim-zone.it/formail_camelia/
... aspetto risposte sulla email, ed io corrispondo con hotmail.com
.
... volevo fare un confronto, ma vedo tutti i siti in bianco...!...
... comunque, ... vai a scaricare nell'email accordata, ed effettua un test di verifica solo sul sito ufficiale...
.
bye, KolAsim