Rss & SiteMap
通信圈 http://www.6611o.com/bbs
近數(shù)月來我管理的佛教論壇經(jīng)常被一些人用論壇小助手等軟件惡意注冊(cè)發(fā)垃圾帖子,管理員防不勝防。今晚我特為論壇增加了注冊(cè)問題驗(yàn)證,凡不能回答相關(guān)問題者即不能注冊(cè),也即不能發(fā)帖子。所設(shè)問題是隨機(jī)出現(xiàn)(所設(shè)問題及答案隨各人所好)。
辦法如下:
1.
最高管理員進(jìn)入后臺(tái),點(diǎn)擊風(fēng)格界面模板總管理,page_login,template.html(13) 找到
<tr>
<td class="tablebody1"><b>密碼問題</b>:<br />忘記密碼的提示問題</td>
<td class="tablebody1">
<input name="quesion" type="text" size="30" />
</td></tr>
在上面此段代碼前面添加如下代碼
<TR>
<TD class=tablebody1>
<div class="tablebody1"><b>防惡意注冊(cè)問題回答:</b></div>
<div style="color:red";font-size=18px">{$EvilQuesion}</div>
</TD>
<TD class=tablebody1><INPUT size=30 name=evilanswer> </TD>
</TR>
2. 打開reg.asp,找到
<!--#include file="inc/md5.asp"-->
在其下添加
<!--#include file="inc/CheckEvil.asp"-->
找到163行
TempLateStr=Replace(TempLateStr,"{$user_belief}",Selectinfo(5))
在其下添加
Randomize
Session("EvilID")=int(Rnd*QuesionNum)
TempLateStr=Replace(TempLateStr,"{$EvilQuesion}", QuesionArray(Session("EvilID")))
找到第351行
Else
quesion=Request.form("quesion")
End If
在其下添加
If Request.Form("EvilAnswer")="" Then
ErrCodes=ErrCodes+"<li>"+"請(qǐng)?zhí)顚懛缾阂庾?cè)問題!"
End If
If Not CheckEvil(Request.Form("EvilAnswer")) Then
ErrCodes=ErrCodes+"<li>"+ "防惡意注冊(cè)問題回答錯(cuò)誤,請(qǐng)返回重試。"
End If
3. 增加一個(gè)新文件CheckEvil.asp,填寫如下代碼,并上傳到論壇inc目錄下,即
/inc/CheckEvil.asp。
<%
Dim QuesionArray(100)
Dim AnswerArray(100)
Dim QuesionNum
QuesionNum=5 '請(qǐng)?jiān)谶@里正確設(shè)置問題的總數(shù)
Function CheckEvil(Answer)
Dim TrueAnswer
If Session("EvilID")="" Then
CheckEvil=False
Exit Function
End If
TrueAnswer=CStr(AnswerArray(Session("EvilID")))
If Answer=TrueAnswer Then
CheckEvil=true
End If
End Function
QuesionArray(0)="佛教三寶是?(提示:佛法僧)"
AnswerArray(0)="佛法僧"
QuesionArray(1)="四大名山中觀音菩薩的道場(chǎng)是?(提示:普陀山)"
AnswerArray(1)="普陀山"
QuesionArray(2)="西方極樂世界教主是?(提示:阿彌陀佛)"
AnswerArray(2)="阿彌陀佛"
QuesionArray(3)="禪宗六祖法號(hào)是?(提示:惠能)"
AnswerArray(3)="惠能"
QuesionArray(4)="四大名山中文殊菩薩的道場(chǎng)是?(提示:五臺(tái)山)"
AnswerArray(4)="五臺(tái)山"
%>
呵呵,不錯(cuò)。
1、先的reg.asp改名為xxreg.asp,
然后另寫三張reg.asp,reg1.asp.reg2.asp,作三次轉(zhuǎn)向,最后轉(zhuǎn)向到xxreg.asp,
2、在后臺(tái)要開啟審核,審核以下關(guān)鍵字:
****|****|****|****|****|****|
對(duì)付論壇群發(fā)軟件的方法(050614最后更新)!!
現(xiàn)在已有不少動(dòng)網(wǎng)用戶受到了一種稱為“暴力****”(168BBS)軟件的騷擾。
該軟件可以自動(dòng)注冊(cè)一個(gè)隨機(jī)的新用戶,并且發(fā)廣告帖。根據(jù)作者聲稱:該軟件可以在一小時(shí)內(nèi)在2——5萬個(gè)論壇群發(fā)廣告。
官方似乎暫時(shí)還沒有公布解決方案,于是我總結(jié)了幾條解決的方法,供大家參考。
希望大家把自己改后的效果反饋一下,以便更好地對(duì)付群發(fā)。同時(shí)也希望大家把自己比較好的方法和大家分享。
不是每條都要挨著執(zhí)行,也不是每條都一定有效,你可選用其中的幾種方法。
根據(jù)大家的反饋,發(fā)現(xiàn)第二和第五兩種方法最有效果,推薦使用。尤其是二!
一、更正驗(yàn)證碼的易破解性
之前不論在7.0和7.1中,驗(yàn)證碼都存在著缺陷,可以通過程序自動(dòng)識(shí)別出驗(yàn)證碼上的數(shù)字,于是沒有真正起到驗(yàn)證碼的作用。我們可以在注冊(cè)時(shí)設(shè)置使用驗(yàn)證碼,再按照以下方法修改。
驗(yàn)證碼文件是Dv_GetCode.asp(7.1中)
找到這段代碼:
If Rnd * 99 + 1 < cOdds Then \' 隨機(jī)生成雜點(diǎn)
Response.BinaryWrite vColorData(0)
Else
將其改為
If Rnd * 99 + 1 < cOdds Then \' 隨機(jī)生成雜點(diǎn)
If Mid(vNumberData(vCode(ii)), i * 10 + iii, 1) Then
Response.BinaryWrite vColorData(0)
Else
Response.BinaryWrite vColorData(1)
End If
Else
另外,找到以下代碼
Const cOdds = 2 \' 雜點(diǎn)出現(xiàn)的機(jī)率
把2設(shè)置的稍大一些,建議設(shè)置為5~10。
以上部分的修改已經(jīng)被很多實(shí)踐證明效果很不明顯。假如你有耐心,可以再試用手工修改驗(yàn)證碼圖片的方法(因麻煩故不推薦),這個(gè)一定有效果!如下:
這里我給出了一個(gè)自己做驗(yàn)證碼的方法,里面有說明。
點(diǎn)擊瀏覽該文件
這個(gè)是另一個(gè)朋友提供的驗(yàn)證碼工具:http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=958224&page=1
使用7.0的用戶可以用7.1的這個(gè)文件覆蓋原來的。如果你修改了驗(yàn)證碼的圖片,可以不再考慮雜點(diǎn)的問題。
二、更改提交表單的元素屬性
此方法為“研究動(dòng)網(wǎng)”朋友提出來的。它可以在不用驗(yàn)證碼系統(tǒng)的條件下對(duì)付群發(fā)軟件。
在論壇注冊(cè)頁面,用戶名,密碼文本框的 name屬性分別默認(rèn)為name和psw。我們可以修改其屬性達(dá)到限制軟件注冊(cè)的效果。
具體方法如下,7.0和7.1均適用:
進(jìn)入后臺(tái),風(fēng)格界面模板總管理 / 分頁面模板(page_login) / 界面風(fēng)格 / template.html(13)
找到 <INPUT maxLength="{$NameMaxLength}" size=30 name=name>
將粉色的name改為其他值,比如改成 “name1”
然后打開reg.asp,以關(guān)鍵詞Request.form("name")進(jìn)行搜索
將其全部替換為Request.form("name1")
當(dāng)然那個(gè)name1就是剛才你在風(fēng)格模板里改的值
三、設(shè)置注冊(cè)延時(shí)
設(shè)置新注冊(cè)用戶不能發(fā)帖,要一分鐘或更多的時(shí)間后才能發(fā)帖。這樣可以在一定程度上抵制非注冊(cè)軟件的攻擊。但是對(duì)注冊(cè)了的軟件沒有作用。
四、設(shè)置至少要有一個(gè)中文字符注冊(cè)
這個(gè)方法并不太好,因?yàn)楹芏嗳藢?shí)際上都比較喜歡用純英文名。但是有不少朋友提出這個(gè)想法,這里還是列出在7.0和7.1里面的修改方法吧:
reg.asp文件,在藍(lán)色代碼
If Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"\'")>0 or Instr(username,",")>0 or Instr(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"")>0 or Instr(username,"$")>0 or Instr(username,"|")>0 Then
Dvbbs.AddErrCode(19)
Exit sub
End If
下添加以下紅色代碼Dim IsCHName
IsCHName = False
For i = 1 To Len(UserName)
If Asc(Mid(UserName, i, 1)) < 0 Then
IsCHName = True
Exit For
End If
Next
If Not IsCHName Then
Response.redirect "showerr.asp?ErrCodes=<li>請(qǐng)至少輸入一個(gè)中文字符。&action=OtherErr"
End If
五、修改注冊(cè)頁面的地址
首先將論壇根目錄下的reg.asp改名,比如改成reg1.asp,然后進(jìn)入后臺(tái) / 風(fēng)格界面模板總管理
在main_Style,Page_Login的“界面風(fēng)格”中搜索“reg.asp”(注意7.0中不要把chkreg.asp替換了),全部替換成比如“reg1.asp”
用js加密的辦法是很好的,破解不了
一,模板部分
1,分頁模板(page_login) (12) 里面 找到:
<input type="hidden" name="{$hidden}" value="{$hidden}">
緊接著增加:
<input type="hidden" name="取你的自定義名字" value="{$GlobalTm_1}">
2,分頁模板(page_login) (13) 里面 找到:
<form....>后面加上
<script>
<!-- 禁止暴力營(yíng)銷注冊(cè)-增加代碼-Start -->
var Str = "{$GlobalTm_2}";
var prand = "";
for(var i = 0; i < Str.length; i++) {
prand += Str.charCodeAt(i).toString();
}
var a=((12^123)>>2)-10;
var b=Math.floor(Math.sin(1.11) * 10);
document.write ('<input type="hidden" name="取你的自定義名字" value=' + prand.substr(a,b) +' />')
<!-- 禁止暴力營(yíng)銷注冊(cè)-增加代碼-End -->
</script>
好了,模板修改完成后記得更新下緩存;
二,REG.ASP部分
1,找到:
TempLateStr=Replace(TempLateStr,"{$Forum_Name}",Dvbbs.Forum_Info(0))
TempLateStr=Replace(TempLateStr,"{$hidden}",GetFormID())
下面接著增加:注意,后面的20數(shù)字為獲取頁面來源從左邊數(shù)的字符長(zhǎng)度,根據(jù)自己的域名長(zhǎng)度來看。
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-Start (1)
TempLateStr=Replace(TempLateStr,"{$GlobalTm_1}",Left(UCase(Request.ServerVariables("HTTP_REFERER")),20))
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-End (1)
2,找到:
TempLateStr=Replace(TempLateStr,"{$hidden}",FormID)
下面接著增加:
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-Start (2)
TempLateStr=Replace(TempLateStr,"{$GlobalTm_2}",Request.Form("取你的自定義名字"))
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-End (2)
3,找到:
If ErrCodes<>"" Then Exit Sub
If Dvbbs.ErrCodes<>"" Then Exit Sub
在這2行上面增加:
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-Start (3)
'Response.Write Request.Form("取你的自定義名字") '遠(yuǎn)程調(diào)試時(shí)請(qǐng)先取消這2行注釋輸出查看您的ID,
'Response.End '并且輸入下面的<>"根據(jù)您的域名來源計(jì)算的ID"中
If Request.Form("取你的自定義名字") <> "根據(jù)您的域名來源計(jì)算的ID" Then
Dim NoadSql,l_r_content
l_r_content = "暴力營(yíng)銷注冊(cè)名:"&username&" 密碼:"&pass2&" 郵件:"&useremail
NoadSql = "insert into Dv_Log (l_touser,l_username,l_content,l_addtime,l_ip,l_type) values ('Reg.Asp','"&username&"','"&l_r_content&"',"&SqlNowString&",'"&Dvbbs.UserTrueIP&"',6)"
Dvbbs.Execute(NoadSql)
Response.redirect "showerr.asp?ErrCodes=<li>系統(tǒng)檢測(cè)您可能正在使用注冊(cè)機(jī)軟件非法注冊(cè),請(qǐng)正常注冊(cè)使用。&action=OtherErr"
End If
'禁止暴力營(yíng)銷注冊(cè)-增加代碼-End (3)
OK,全部更新上,注意要先輸出下您的ID,以便填入判斷;這個(gè)是根據(jù)JS算法到服務(wù)端判斷的過程,而JS算法的起源字符又需要來自REG.ASP的點(diǎn)擊來源頁面,所以調(diào)試中,WWW.cndw.COM/REG.ASP 和 cndw.COM/REG.ASP 算法ID并不一樣;
如果需要2個(gè)或者更多域名正常注冊(cè),那則在判斷處加上ADD 符號(hào)繼續(xù)判斷即可;
特別注意:在第一次安裝中需要注意2個(gè)問題,1,是取自己域名長(zhǎng)度的問題,上面例子是20
2,是第一次安裝需要先打開
'Response.Write Request.Form("取你的自定義名字") '遠(yuǎn)程調(diào)試時(shí)請(qǐng)先取消這2行注釋輸出查看您的ID,
'Response.End
這2行,就是把前面的 ' 符號(hào)取消保存。自己注冊(cè)一下,會(huì)輸出正確ID,然后把ID填到 "根據(jù)您的域名來源計(jì)算的ID" 里面。再把那2行注釋掉,就是前面 ' 符號(hào)加起來,或者刪除這2行。
動(dòng)網(wǎng)論壇注冊(cè)分3步:
1.reg.asp頁面,即閱讀同意頁面,點(diǎn)擊同意進(jìn)入下一頁
2.reg.asp?action=apply頁面,填表單頁面,不能直接打開
3.reg.asp?action=save頁面,保存信息頁面,不能外部提交
根據(jù)某些自動(dòng)注冊(cè)機(jī)直接讀取驗(yàn)證碼頁面,并偽造來源直接提交到第3步,我們可以在第一步設(shè)置一個(gè)session值,在第2步和第3步來驗(yàn)證這個(gè)值
具體做法:
1.找到reg.asp頁面,找到Sub reg_1()過程里面加上下面代碼(表示在第一步的時(shí)候設(shè)置個(gè)驗(yàn)證session,里面保存他在打開第一個(gè)頁面時(shí)候的當(dāng)前系統(tǒng)時(shí)間):
session("myRegTime")=now()
2.找到Sub reg_2()過程里面加上下面的代碼(表示第2步的時(shí)候驗(yàn)證一下,若沒有這個(gè)session值就不讓注冊(cè)):
If session("myRegTime")="" Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統(tǒng)維護(hù)中,請(qǐng)稍后訪問.&action=OtherErr"
End If
3.第3步的時(shí)候我們也要驗(yàn)證session這個(gè)值,再加上另外3個(gè)判斷:
1)發(fā)現(xiàn)有的注冊(cè)機(jī)比較智能,可以模擬人的注冊(cè)方式,所以上面單純判斷session為空就比較沒有效果,因?yàn)樽?cè)機(jī)的注冊(cè)過程比較快,所以判斷一下它到第3步時(shí)候的系統(tǒng)時(shí)間減去第一步時(shí)候的時(shí)間如果小于20秒也是不正常的,拒絕它
2)發(fā)現(xiàn)最流行的論壇自動(dòng)注冊(cè)發(fā)貼機(jī)“營(yíng)銷利劍”它在自動(dòng)注冊(cè)的時(shí)候頭像地址默認(rèn)是“userface/image1.gif”,而這個(gè)地址實(shí)際上是不存在的,正確地址應(yīng)該是“/Images/userface/image1.gif”,這應(yīng)該是它的一個(gè)bug,正好判斷一下限制它注冊(cè)。
3)很多注冊(cè)機(jī)在給別人使用的時(shí)候會(huì)加上自己的一些信息,一般在注冊(cè)的時(shí)候加到簽名里面,所以可以在簽名里面判斷這些關(guān)鍵字,發(fā)現(xiàn)了就不讓注冊(cè)
下面寫具體代碼,找到Sub reg_3()過程里面加上下面的代碼:
If session("myRegTime")="" or DateDiff("s",session("myRegTime"),now())<20 Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統(tǒng)維護(hù)中,請(qǐng)稍后訪問.&action=OtherErr"
End If
If Request.Form("myface")="userface/image1.gif" Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統(tǒng)維護(hù)中,請(qǐng)稍后訪問.&action=OtherErr"
End If
Dim badPersonal,myCount
badPersonal="營(yíng)銷|vodcom.com|ite69.cn" '這邊是要過慮的關(guān)鍵字?jǐn)?shù)組,可以以后自己添加
badPersonal=split(badPersonal,"|")
For myCount = 0 to ubound(badPersonal)
If Instr(Request.Form("personal"),badPersonal(myCount))>0 Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統(tǒng)維護(hù)中,請(qǐng)稍后訪問.&action=OtherErr"
Response.End()
End If
Next