【F-board】PHP-J閉鎖【スパム】
>>7 どもです。 自分でやってみたのは以下の通りです。 WebArchiveを漁ってみる・・・F-boardのアーカイブファイルはNot Found php-j.comでダウンロードのURLに直接アクセスしてみても・・・Not Found ショボーソ >>3 そうそう。 言い忘れてましたが、WebArchiveでF-Boardサポート板の内容残ってましたよ。 但し、2005年02月28日18:45:04までの物なので古いですが。 http://web.archive.org/web/20050323014002/www.php-j.com/forum/ >>9 ウホッ、いいログ・・・。 お礼にf-boardの本体うpしたいところではあるんだが、 俺のローカルに置いてるやつは改造しまくっててダメぽ('A`) もはや、どこをいついじったのかすらわからん状態。 >>10 改造されたものでも構わないのでうpしてもらえませんか? ダメならいいですが。 (うpしていただけるならオリジナルと異なる点も教えていただけるとなおありがたいです) >>3 ここにいくつか対策方法あげられてるね http://zapanet.info/blog/item/747/catid/17 結局3と同じように、入力必須の欄を一つ増やしてるみたいだけど >>4 本当にひどいね せめてログ残すとか、人として最低限のことやっといて欲しかったね これが成り立ってる、間違いない ┌──────金─────┐ │ ↓ - - - - - - - - - - -裏- - - - - - - - - - - - ┌───────┐ ┌──────┐ │ 対策ソフト企業 ├─攻撃→│ ウィルス作者 │ └───────┘ └───┬──┘ ↑ │ 感謝・金 攻撃 │ ↓ ┌──┴───────────────┐ │ 市 民 . │ └──────────────────┘ 掲示板作者本人の攻撃だったら笑えるな。 スパム発生と閉鎖がほぼ同時期なわけで、 いがいとありえる話なんでないの。 >>15 その線が強いな。 普通、スパムが沸いたくらいであんなにスッパリ閉鎖せんよ。 >>6 閉鎖したってことは、もうF-boardの面倒みないのかな? 残されたユーザーで、ほそぼそとメンテナンス&再配布をやってみますか? http://pantora.net/pages/php/f-board/ F-boardという人気の掲示板を攻撃するワームが一部で流行っています。 片手間で管理しているFedora JP 掲示板も攻撃されました。 SQLを直接実行しメッセージを削除しても、スレッド更新日時は元に戻りません。 配布元のPHP-J.comは閉鎖してしまいました。 そこで更新日付を元に戻すPHPスクリプト「fix_moddate.php」を作成しました。 少々時間のかかるスクリプトなのでターミナルから実行してください。 ダウンロード:fix_moddate.tar.gz http://zapanet.info/blog/item/747/catid/17 いろいろと改善方法を取ることができましたが、今回取ったのはとても簡単な方法で、「投稿前のチェックボックスを一つ追加」しただけです。 チェックボックスにチェックが入っていないとエラーになって投稿できないようにしました。 この掲示板はPHPとMySQLで作られているタイプなので改造も比較的簡単でした。 セキュリティーホールがあったの?スパムに狙われてるだけ? メッセージを投稿する部分を改造する場合、 /post.php /lib/widget/default/WidgetPost.php をいじればいいみたいですね。 WidgetPost.phpのコード(WidgetPostクラス)を見ると、HTMLが埋め込まれているので、トレースするのがちょっと面倒くさいです。 デザインテンプレートシステムを導入して、デザインとロジックを分離した方がメンテナンスしやすいですね。 http://www.itmedia.co.jp/enterprise/0402/19/epn01.html >>24 ●投稿時の入力項目として、チェックボックスを一つ追加する方法を検討 (1) チェックボックス(□にレ印を入れるやつ)の表示を追加する /lib/widget/default/WidgetPost.php の175行目付近(パスワード入力欄の表示位置の直下)に、 $htmlString .= ' <tr> <td class=row1><b>投稿確認</b></td> <td class=row2><input type="checkbox" name="confirm">投稿時にチェック(レ印)を入れてください。</td> </tr>'; というコードを追加する。 =「confirm」という名前のチェックボックスを1個追加した。 =違う場所に表示させたければ、コードを追加する場所を適宜変更 (2)スレッドに新規投稿時の確認処理追加 投稿ボタンをクリックすると、 <form action="post.php" method="POST" name=message> <input type="HIDDEN" name="act" value="submitThread"> という動作になっている。 /post.php の112行目付近に、 $confirm = PreVar::getVar('confirm','POST'); というコードを追加する。 =(1)で追加した「confirm」の値のチェック処理を追加 /post.php の124行目付近に、 $fv->isEmpty($confirm,'投稿確認が未チェックです。'); というコードを追加する。 =チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加 (3)スレッドに返信時の確認処理追加 投稿ボタンをクリックすると、 <form action="post.php" method="POST" name=message> <input type="HIDDEN" name="act" value="submitReply"> という動作になっている。 /post.php の198行目付近に、 $confirm = PreVar::getVar('confirm','POST'); というコードを追加する。 =(1)で追加した「confirm」の値のチェック処理を追加 /post.php の210行目付近に、 $fv->isEmpty($confirm,'投稿確認が未チェックです。'); というコードを追加する。 =チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加 以上の3点の修正で、投稿時にチェックボックスの入力項目(レ印)が1個追加できます。 チェック方式を変更する場合、 /lib/class_FormValidator.php のFormValidatorクラスに、新たなメソッドを追加すればOKだと思います。 上記(1)〜(3)のチェックは、FormValidatorクラスのisEmptyメソッド(空値のチェック)をそのまま利用しています。 http://zapanet.info/blog/item/747/catid/17 ・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう これをやるなら、PEARライブラリのCAPTCHAとかを利用できそうですね。 http://www.doyouphp.jp/sample/sample_others_captcha.shtml CAPTCHA α版のセキュリティは、まだ十分ではないようですが。 http://cl.pocari.org/2006-02-11-2.html 他の改善案があれば、報告よろしくお願いします。m(_~_)m >>31 ワンタイムチケット持たせりゃ良いんじゃない? 2ch見たくクッキー喰わせるだけでも・・・ 利用者は何も変わらないし >>32 kwsk!! 【補足】 /lib/widget/default/WidgetPost.php の165行目付近 if($this->_var['allowPass'] == true || $messInfo != ''){ … } みたいなかんじの条件分岐を入れて、チェックボックスの表示/非表示を切り替える処理があった方がよかったみたいですね。 =メッセージの編集/削除の処理では、チェックボックスの値確認処理(上記の(2)や(3)のような処理)を入れてないので、チェックボックスが表示されても意味なし。 まぁ、新規投稿時に、ワームによる自動書込みが抑止されればそれでOKとしますか。orz >>32 スパマーがクッキー食ってたら意味無いような?? >>31 逆襲さん、おつかれ >>34 ワンタイムチケットなら毎回投稿画面を開かなきゃダメなので効果はかなりあるかと >・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう これはかなり解りにくい画像を作らないと、昔の垢取りツールでも、画像解析あったし・・・ どの道、人がやれる事なのでコンピュータにやらせることも不可能じゃないので完璧な対策は難しいと思う なので、簡単で比較的効果の高そうな方法が良いかと #f-boardぐらいならスクラッチしちゃっても良いんじゃないかと思ったり ※下記ホストをアクセス規制するとマジでいいです。 *marunouchi.tokyo.ocn.ne.jp *.d-osaka.nttpc.ne.jp *.o-tokyo.nttpc.ne.jp *.osk.mesh.ad.jp *.dy.bbexcite.jp *.vectant.ne.jp *.ap.highway.ne.jp *.fbb.reset.jp *.ppp11.odn.ad.jp *.channel4.com *.ap.gmo-access.jp *.ap.kagoya.net *.ap.yournet.ne.jp http://photo.site-j.net/tubuyaki/vol239.html >文字列画像を生成して、その文字列を投稿者に入力してもらう そこで、ひらがなさんすうですよ。 りんごよんこふたりでわけるとひとりいくつ?[__]個 にじゅうさんひくきゅうは? とかね。 頭があれだといつまで経ってもコメントできないけどw >>36 自分の場合はPerlなんだけどgifcat.pl(画像連結)とcrypt(DES暗号)で、 そういうの作ったんだけど、1ヶ月で突破された(;´Д`) やっぱIPと禁止ワードで極め撃ちするしかないかなぁ 現在跡地に残っているv0.4(テンプレート式)を誰かが受け継いで 改良&サポートのサイトを作ってくれるとうれしいYO >>45 PerlだったらやってもいいけどPHPは(自分には)ムリス。 ttp://www3.rocketbbs.com/220/budda146.html F-boardの改良版があるようです。 ttp://script.phpspot.org/ 2007年04月13日 F-board Mix - 2007/04/13 12:48:52 フォーラム型掲示板、「F-board」のデザイン、機能、スパム対策の改良版 ttp://script.tvgameclear.com/ 『F-board Mix』はPHP-Jで配布されていたフォーラム型掲示板『F-board』のデザイン及び機能を変更したPHPスクリプトです。 CGIに比べてサーバーへの負荷も少なく、設置も非常に簡単です。 1つのフォーラムで複数のスレッドの管理が可能。 各スレッドのロック。(管理画面) メッセージ検索。 連続投稿防止。 URL自動リンク。(管理画面) 海外からの投稿防止。(スパム対策ファイル使用時) タイトル、名前の文字数制限。 F-board(PHP-J)からのデザイン、機能変更が可能。※1 ※1タイトル、名前が長い書き込みがある場合は、デザインがおかしくなる場合があります。 This answer helps divide the long-term arcs into two categories: plot arcs that posit enigmas and mysteries, and relationship or character arcs that are more clearly delimited in the moment. , 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。 グーグル検索⇒『半藤のブブイウイウレレ』 0NDL40HJJO read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる