Всплеск мертвых душ

На одном из своих проектов заметил, что с постоянным усердством начали регистрироваться пользователи. Радоваться надо, но не так все хорошо, как хотелось бы, но и ничего плохого тоже не происходит.

Подобные «левые» регистрации в логах отображаются так:

78.107.236.11 — - [07/Dec/2008:07:48:27 +0300] «GET / HTTP/1.0» 200 83424 "-"
78.107.236.11 — - [07/Dec/2008:07:48:27 +0300] «GET /registration/ HTTP/1.0» 200 3913 "-"
78.107.236.11 — - [07/Dec/2008:07:48:27 +0300] «POST /registration/ HTTP/1.0» 200 497 «site.ru/registration/»

Больше этот ip не в логах не встречается. В качестве клиента отображается «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)». Подозрение вызывает тот факт, что не происходит подгружение картонок, css и самое главное «GET /classes/lib/external/kcaptcha/index.php?PHPSESSID=», что, как мне кажется, должно присутствовать обязательно при корректном формировании html страницы регистрации.

Самое интересное, что такая регистрация, из трех строк в логах, проходит и пользователь создается. Массовости нет, две-три пустышки в день.

У кого какие мысли по поводу данного явления?

13 комментариев

avatar
вот это обновление стоит? http://trac.assembla.com/livestreet/changeset/92
  • ort
  • 0
avatar
Нет, его не устанавливал. Сейчас внес изменения.
Есть такой момент, что все регистрации с разных ip. Видимо дело не в этом обновлении.
avatar
дак использование прокси листов никто не отменял
avatar
это ботнет
avatar
Увеличил число символов в капче до 6. Думаю, что задачу таким способом не решить, но посмотреть что будет дальше можно.
avatar
напомни плиз где меняется ;)
avatar
/капча/капча_соnfig.php

# CAPTCHA string length
//$length = mt_rand(5,6); # random 5 or 6
$length = 3;

только кто даст гарантию, что увеличинное кол-во цифр создаст какието сложности ботам?
avatar

еще не забываем об правке шаблона
вот здесь /templates/skin/habra/actions/ActionRegistration/
<input type="text" style="text-align: center;" name="captcha" value="" maxlength=4 size=9>
avatar
Вот у меня в конфиге капчти было выставлено 4 символа а в форму можно было ввести не больше 3 :)
Но ботофф за недельку-вторую (пока я это не заметил) успело нарегатся много. Правда ни один из них не сумел активировать свою учетку.

Смахивает на некий недочет??
avatar
а где хранится хеш от капчи, на сервере или у клиента?
avatar
в переменных сессии, которые в свою очередь хранятся на сервере. клиенту передается только идентификатр сессия (для kCaptcha-ы в переменных GET-запроса)
avatar
а использованный хеш удаляется из сессии? можно например нажать назад поменять данные в форме и отправить с теми же буковками капчи
как в данном случае пользователь отключил картинки, хеш в сессии не обновляется и постишь сколько угодно
avatar
обновление, что лежит в SVN как раз это и исправляет
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.