Littière hacké?

Laurent · Mars 30, 2021, 11:19

Bonjour à tous,

Je viens de passé sur la littière (wiki.chatons.org) et j’ai l’impression que la page de garde à été « hacké ».
En effet, il y a un étrange message en Thaï, qui semble publicitaire, à la place.

Est-ce une fausse manipulation de quelqu’un ?

linuxmario · Mars 30, 2021, 11:36

C’est un « hack » d’un utilisateur nommé zharom visiblo. Si tu es disponible, @ljf, tu peux remettre l’ancienne version de Angie s’il te plaît ?

Je me demande si y a moyen de limiter les inscriptions truquées ?

Édit : pas besoin d’un admin pour la restauration, j’ai pu restaurer l’ancienne version correcte
Faudra juste bannir notre ami indésirable et ce sera OK

kepon · Mars 30, 2021, 7:20

Sur dockuwiki ces derniers jours j’ai eu aussi quelques trucs dans ce style pourtant plutôt épargné jusque là… à surveillé à mon avis…

Angie · Avril 7, 2021, 9:07

@linuxmario : on s’est à nouveau fait pirater la page d’accueil.
As-tu 5 min devant toi pour restaurer les contenus originaux ?

Et pour info, je viens de fermer les inscriptions sur le wiki.
On en parle ce soir en réunion virtuelle mensuelle.

linuxmario · Avril 7, 2021, 9:43

J’en ai deux ce matin et c’est réparé comme il faut

linuxmario · Avril 8, 2021, 8:40

On en avait parlé lors de la dernière réunion mensuelle et on se demandait comment améliorer le captcha pour l’inscription notamment. Je viens de regarder sur un dokuwiki que je gère en parallèle et on a simplement une question à laquelle on doit répondre

Je sais pas si c’était comme ça avant, mais voilà de mon côté ce que j’ai

Angie · Avril 12, 2021, 6:26

Bon apparemment, le système de captcha actuel ne suffit pas à limiter les spameurs puisque ce matin, notre page d’accueil avait été modifiée. Je l’ai republiée. Mais je veux bien que des personnes plus compétentes que je ne le suis se penchent sur la mise en place d’un système plus élaboré de captcha…

linuxmario · Avril 12, 2021, 6:37

Si le wiki n’est modifiable que par les personnes qui peuvent s’inscrire, alors on peut éventuellement utiliser ce plugin : https://www.dokuwiki.org/plugin:preregister

Il envoie un lien de confirmation à la personne par mail avant de confirmer son inscription

Angie · Avril 12, 2021, 10:48

Merci @linuxmario : ça peut-être un moyen de sécuriser davantage le wiki en effet.
Tu peux installer le plugin ?

linuxmario · Avril 12, 2021, 11:41

Je viens de vérifier, mais je n’ai que le rôle utilisateur donc je ne peux pas l’installer directement
Si tu veux, tu peux me donner les droits ou bien un autre peut le faire si jamais

Angie · Avril 12, 2021, 11:52

C’est fait, tu es admin.

linuxmario · Avril 12, 2021, 2:57

Merci beaucoup @Angie
Du coup, j’ai installé le plugin correspondant sur le wiki et ça semble fonctionner comme il faut. Lors de l’inscription, ça demande de cocher des cases (à voir pour l’accessibilité, mais le plugin est récent donc contributions possibles ) et ça envoie un lien de confirmation par mail.

Ça devrait aider un peu j’espère. Pour info, j’ai fait un compte test que j’ai supprimé directement et le lien de la capture a été tronqué donc pas de risque

Capture d’écran du 2021-04-12 16-54-10

antoinejaba · Mai 17, 2021, 2:30

Ouin, c’est le retour du hack de la litière

La page d’accueil a été remplacée par un texte de scam en allemand et des pages créées aussi ces derniers jours, par des utilisateurs différents, montrent des textes de promotions et d’arnaques en divers langues.

J’ai restauré la page d’accueil et supprimé les autres pages. Mais, il risque d’y avoir d’autres modifications inopportunes.

https://asso.framasoft.org/pic/VoIbS8B6/o983ASey.png

Que faire ?

linuxmario · Mai 20, 2021, 2:02

Il faudrait alors voir pour installer un autre formulaire en plus du CAPTCHA existant pour essayer de limiter les inscriptions de spammeurs, par exemple.

antoinejaba · Mai 21, 2021, 8:51

Oui en effet, je pourrai mettre en place une extension la semaine prochaine.

Par contre, la question se pose plus sur le type de formulaire ? Je ne connais pas vraiment DokuWiki donc je ne préfère pas choisir sans consulter les chatons.

Donc, pour résumer, CAPTCHA et PreRegister ne suffisent plus.

Par ailleurs, les autres systèmes de CAPTCHA proposés directement en plugins dans DokuWiki ne sont plus mis à jour ou alors ce sont les reCAPTCHA de google…

Quel type de formulaire vaut-il mieux choisir ?

Un formulaire demandant de réécrire quelque chose par exemple ? Comme quelque chose présent sur la page ou une partie de l’URL ?

Désolé, pleins de questions, je m’en remets à votre avis éclairé,
Antoine

llaq · Mai 21, 2021, 9:44

Hello !
Je suis pas un CHATONS, mais je me permets de répondre.
À mon avis, un honeypot serait la meilleure solution.
Petite expérience personnelle: sur mon blog wordpress, depuis que j’ai installé un honeypot, je n’ai plus du tout de spam.

antoinejaba · Mai 21, 2021, 10:05

Merci @llaq pour ton retour ! Ça me semble en effet une super idée.

J’ai trouvé un article de sebsauvage qui détaille bien le fonctionnement de Project Honey Pot, ainsi qu’une petite fiche sur le wiki de sebsauvage (encore) qui explique comment l’installer.

Qu’en pensez vous ?

llaq · Mai 21, 2021, 10:11

Ça m’a l’air d’une bonne idée
Je précise que un honeypot n’est pas forcément ce site, ça peut également être codé à la main pour ne pas avoir à créer un compte sur un site…
Si vous décidez d’utiliser project honeypot, je peux recoder le bandeau si besoin

antoinejaba · Mai 21, 2021, 10:13

D’accord super !

Framasky · Juin 1, 2021, 12:42

J’ai essayé le honeypot de l’article de sebsauvage : c’est mort (trop vieux, ça marche pas).

@llaq Je vais te proposer un truc en DM, si tu veux bien.