2011年10月1期WebProg【F-board】PHP-J閉鎖【スパム】 TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
【激速】mod_perl SpeedyCGI FastCGI【激速】
金出すからスクリプト作ってよvol.1
GoogleWebToolkit[GWT]について語ろう
【読み方】Open Laszlo スレ【わからん】


【F-board】PHP-J閉鎖【スパム】


1 :06/05/14 〜 最終レス :09/10/23
なんかF-board狙い撃ちのスパムがきてるわけで、
あわててPHP-Jみたら閉鎖・・・。
まぁスパム回避はそれほど難しいものじゃないものの、
人それぞれやり方があるだろうし、オマイラはどうしてますか?
本家のサポートログも消えちゃってこれから面倒ですが、
ボチボチとやっていきましょう。
PHP-J
http://www.php-j.com/
PHP-J.comブログ
http://phpj.jugem.cc/

2 :
PHP-J閉鎖のスレなんだかSPAM対策のスレなんだか。
うちはBBQ任せだけど、幸いそれだけで防げてる。

3 :
おお、半日はレス無いと思ってたのに。
BBQも考えたんだけど、うちはひとまず入力必須の欄を一つ増やして対応してみた。
いまはそれで何とかなってるみたい。
誰かサポートのログ保存してるような奇特な人はおらんかね。
あれ結構重宝してたんだよなぁ。

4 :
PHPがどんなサイトか知らんが、
スパム如きで閉鎖するなんて人のこと全く考えてないんだな、管理人は。

5 :
PHP-Jだったね

6 :
新規でF-board使ってみたいんだけど閉鎖でダウンロードできない。
どこかで再配布してませんかね?

7 :
スパムがある日突然くるようになって、
閉鎖もほぼ同日だったんじゃないかな。今月の5日前後かな?
再配布はどうなんだろうね。
まだサイト消えて間もないから、そういうとこはないんじゃないかなぁ。

8 :
>>7
どもです。
自分でやってみたのは以下の通りです。
WebArchiveを漁ってみる・・・F-boardのアーカイブファイルはNot Found
php-j.comでダウンロードのURLに直接アクセスしてみても・・・Not Found
ショボーソ

9 :
>>3
そうそう。
言い忘れてましたが、WebArchiveでF-Boardサポート板の内容残ってましたよ。
但し、2005年02月28日18:45:04までの物なので古いですが。
http://web.archive.org/web/20050323014002/www.php-j.com/forum/

10 :
>>9
ウホッ、いいログ・・・。
お礼にf-boardの本体うpしたいところではあるんだが、
俺のローカルに置いてるやつは改造しまくっててダメぽ('A`)
もはや、どこをいついじったのかすらわからん状態。

11 :
>>10
改造されたものでも構わないのでうpしてもらえませんか?
ダメならいいですが。
(うpしていただけるならオリジナルと異なる点も教えていただけるとなおありがたいです)

12 :
>>3
ここにいくつか対策方法あげられてるね
http://zapanet.info/blog/item/747/catid/17
結局3と同じように、入力必須の欄を一つ増やしてるみたいだけど

13 :
>>4
本当にひどいね
せめてログ残すとか、人として最低限のことやっといて欲しかったね

14 :
これが成り立ってる、間違いない
    ┌──────金─────┐
    │                  ↓
 - - - - - - - - - - -裏- - - - - - - - - - - -
┌───────┐        ┌──────┐
│ 対策ソフト企業 ├─攻撃→│ ウィルス作者 │
└───────┘        └───┬──┘
      ↑                         │
 感謝・金                   攻撃
      │                         ↓
┌──┴───────────────┐
│           市  民   .       │
└──────────────────┘

15 :
掲示板作者本人の攻撃だったら笑えるな。
スパム発生と閉鎖がほぼ同時期なわけで、
いがいとありえる話なんでないの。

16 :
>>15
その線が強いな。
普通、スパムが沸いたくらいであんなにスッパリ閉鎖せんよ。

17 :
廃れてるな。
あんまり使ってる人おらんのかな?

18 :
phpBBのほうがまだマシだよ

19 :
>>18
phpBBはサーバーごと乗っ取られるぞ

20 :
>>19
ずいぶん前のバージョンの話だよ。

21 :
>>6
閉鎖したってことは、もうF-boardの面倒みないのかな?
残されたユーザーで、ほそぼそとメンテナンス&再配布をやってみますか?

22 :
再配布すんなよ。

23 :
http://pantora.net/pages/php/f-board/
F-boardという人気の掲示板を攻撃するワームが一部で流行っています。
片手間で管理しているFedora JP 掲示板も攻撃されました。
SQLを直接実行しメッセージを削除しても、スレッド更新日時は元に戻りません。
配布元のPHP-J.comは閉鎖してしまいました。
そこで更新日付を元に戻すPHPスクリプト「fix_moddate.php」を作成しました。
少々時間のかかるスクリプトなのでターミナルから実行してください。
ダウンロード:fix_moddate.tar.gz

24 :
http://zapanet.info/blog/item/747/catid/17
いろいろと改善方法を取ることができましたが、今回取ったのはとても簡単な方法で、「投稿前のチェックボックスを一つ追加」しただけです。
チェックボックスにチェックが入っていないとエラーになって投稿できないようにしました。
この掲示板はPHPとMySQLで作られているタイプなので改造も比較的簡単でした。

25 :
セキュリティーホールがあったの?スパムに狙われてるだけ?

26 :
>>25
セキュリティーホールはないよ

27 :
メッセージを投稿する部分を改造する場合、
/post.php
/lib/widget/default/WidgetPost.php
をいじればいいみたいですね。
WidgetPost.phpのコード(WidgetPostクラス)を見ると、HTMLが埋め込まれているので、トレースするのがちょっと面倒くさいです。
デザインテンプレートシステムを導入して、デザインとロジックを分離した方がメンテナンスしやすいですね。
http://www.itmedia.co.jp/enterprise/0402/19/epn01.html

28 :
>>24
●投稿時の入力項目として、チェックボックスを一つ追加する方法を検討
(1) チェックボックス(□にレ印を入れるやつ)の表示を追加する
/lib/widget/default/WidgetPost.php
の175行目付近(パスワード入力欄の表示位置の直下)に、
$htmlString .= '
<tr>
<td class=row1><b>投稿確認</b></td>
<td class=row2><input type="checkbox" name="confirm">投稿時にチェック(レ印)を入れてください。</td>
</tr>';
というコードを追加する。
=「confirm」という名前のチェックボックスを1個追加した。
=違う場所に表示させたければ、コードを追加する場所を適宜変更

29 :
(2)スレッドに新規投稿時の確認処理追加
投稿ボタンをクリックすると、
<form action="post.php" method="POST" name=message>
<input type="HIDDEN" name="act" value="submitThread">
という動作になっている。
/post.php
の112行目付近に、
$confirm = PreVar::getVar('confirm','POST');
というコードを追加する。
=(1)で追加した「confirm」の値のチェック処理を追加
/post.php
の124行目付近に、
$fv->isEmpty($confirm,'投稿確認が未チェックです。');
というコードを追加する。
=チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加

30 :
(3)スレッドに返信時の確認処理追加
投稿ボタンをクリックすると、
<form action="post.php" method="POST" name=message>
<input type="HIDDEN" name="act" value="submitReply">
という動作になっている。
/post.php
の198行目付近に、
$confirm = PreVar::getVar('confirm','POST');
というコードを追加する。
=(1)で追加した「confirm」の値のチェック処理を追加
/post.php
の210行目付近に、
$fv->isEmpty($confirm,'投稿確認が未チェックです。');
というコードを追加する。
=チェックボックスにチェックが入力されていない場合、エラーメッセージを表示させる処理を追加

31 :
以上の3点の修正で、投稿時にチェックボックスの入力項目(レ印)が1個追加できます。
チェック方式を変更する場合、
/lib/class_FormValidator.php
のFormValidatorクラスに、新たなメソッドを追加すればOKだと思います。
上記(1)〜(3)のチェックは、FormValidatorクラスのisEmptyメソッド(空値のチェック)をそのまま利用しています。
http://zapanet.info/blog/item/747/catid/17
・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう
これをやるなら、PEARライブラリのCAPTCHAとかを利用できそうですね。
http://www.doyouphp.jp/sample/sample_others_captcha.shtml
CAPTCHA α版のセキュリティは、まだ十分ではないようですが。
http://cl.pocari.org/2006-02-11-2.html
他の改善案があれば、報告よろしくお願いします。m(_~_)m

32 :
>>31
ワンタイムチケット持たせりゃ良いんじゃない?
2ch見たくクッキー喰わせるだけでも・・・
利用者は何も変わらないし

33 :
>>32
kwsk!!
【補足】
/lib/widget/default/WidgetPost.php
の165行目付近
if($this->_var['allowPass'] == true || $messInfo != ''){

}
みたいなかんじの条件分岐を入れて、チェックボックスの表示/非表示を切り替える処理があった方がよかったみたいですね。
=メッセージの編集/削除の処理では、チェックボックスの値確認処理(上記の(2)や(3)のような処理)を入れてないので、チェックボックスが表示されても意味なし。
まぁ、新規投稿時に、ワームによる自動書込みが抑止されればそれでOKとしますか。orz

34 :
>>32
スパマーがクッキー食ってたら意味無いような??
>>31
逆襲さん、おつかれ

35 :
>>ワンタイムチケット
CSRF対策 PHP
http://techtech.jp/jdl/weblog/blog/1383/1051
サテ技本のCSRF対策に疑問
http://p0t.jp/mt/archives/2005/12/csrf_1.html
↑こういう処理を追加すればいいのかな?

36 :
>>34
ワンタイムチケットなら毎回投稿画面を開かなきゃダメなので効果はかなりあるかと
>・投稿前にランダムに文字列画像を生成して、その文字列を投稿者に入力してもらう
これはかなり解りにくい画像を作らないと、昔の垢取りツールでも、画像解析あったし・・・
どの道、人がやれる事なのでコンピュータにやらせることも不可能じゃないので完璧な対策は難しいと思う
なので、簡単で比較的効果の高そうな方法が良いかと
#f-boardぐらいならスクラッチしちゃっても良いんじゃないかと思ったり

37 :
>>35
第三版で修正されてるよ。

38 :
※下記ホストをアクセス規制するとマジでいいです。
*marunouchi.tokyo.ocn.ne.jp
*.d-osaka.nttpc.ne.jp
*.o-tokyo.nttpc.ne.jp
*.osk.mesh.ad.jp
*.dy.bbexcite.jp
*.vectant.ne.jp
*.ap.highway.ne.jp
*.fbb.reset.jp
*.ppp11.odn.ad.jp
*.channel4.com
*.ap.gmo-access.jp
*.ap.kagoya.net
*.ap.yournet.ne.jp
http://photo.site-j.net/tubuyaki/vol239.html

39 :
スパムがチェックボックスに対応してきたヨカンが

40 :
>文字列画像を生成して、その文字列を投稿者に入力してもらう
そこで、ひらがなさんすうですよ。
りんごよんこふたりでわけるとひとりいくつ?[__]個

41 :
にじゅうさんひくきゅうは?
とかね。
頭があれだといつまで経ってもコメントできないけどw

42 :
>>36
自分の場合はPerlなんだけどgifcat.pl(画像連結)とcrypt(DES暗号)で、
そういうの作ったんだけど、1ヶ月で突破された(;´Д`)
やっぱIPと禁止ワードで極め撃ちするしかないかなぁ

43 :
>>41 彼女のおかげで勝てました

44 :
ttp://www.php-j.com/

45 :
現在跡地に残っているv0.4(テンプレート式)を誰かが受け継いで
改良&サポートのサイトを作ってくれるとうれしいYO

46 :
>>45
PerlだったらやってもいいけどPHPは(自分には)ムリス。

47 :
F-boardの0.4持ってる人アップよろ。

48 :
ttp://www3.rocketbbs.com/220/budda146.html

49 :
>>48
http://www.youtube.com/watch?v=9-SRV3HfwQc

50 :
ほんと、以下のようなサイトがあるから、困ったもんだ。悪質すぎ
誰か通報してよ
http://www.ikeike-gogo.net/
http://zya-na.com/zzz/
http://yoru-koibito.com/

51 :
F-boardの改良版があるようです。
ttp://script.phpspot.org/
2007年04月13日
F-board Mix - 2007/04/13 12:48:52
フォーラム型掲示板、「F-board」のデザイン、機能、スパム対策の改良版
ttp://script.tvgameclear.com/
『F-board Mix』はPHP-Jで配布されていたフォーラム型掲示板『F-board』のデザイン及び機能を変更したPHPスクリプトです。
CGIに比べてサーバーへの負荷も少なく、設置も非常に簡単です。

1つのフォーラムで複数のスレッドの管理が可能。
各スレッドのロック。(管理画面)
メッセージ検索。
連続投稿防止。
URL自動リンク。(管理画面)
海外からの投稿防止。(スパム対策ファイル使用時)
タイトル、名前の文字数制限。
F-board(PHP-J)からのデザイン、機能変更が可能。※1
※1タイトル、名前が長い書き込みがある場合は、デザインがおかしくなる場合があります。

52 :
RH2uEs http://buyhydrocodoneno.photo-weblog.com/ sdgvsd

53 :09/10/23
This answer helps divide the long-term arcs into two categories: plot arcs that posit enigmas and mysteries, and relationship or character arcs that are more clearly delimited in the moment. ,
TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
【激速】mod_perl SpeedyCGI FastCGI【激速】
金出すからスクリプト作ってよvol.1
GoogleWebToolkit[GWT]について語ろう
【読み方】Open Laszlo スレ【わからん】