[Dotclear] Problème de sécurité ?...

[cedric_g]

Bonsoir

Ce soir mon blog est en vrac et il "semble" que TOUTES les tables de ma base de données se soient envolées

Acte de malveillance ? Est-ce que Dotclear (v1.2.6 me concernant) possède des failles connues ? Mon password est fortement sécurisé (>12 caractères très variés) et je ne comprends pas ce qui a pu se passer

Je dois avoir une sauvegarde datant d'une semaine, mais je suis dégoûté...

Cédric

[Marie-Aude]

semble ? Phpmyadmin ?
Et ton hébergeur ?

[finstreet]

je crois que par nature tous les scripts sont hackables...

[UsagiYojimbo]

Bonsoir

Ce soir mon blog est en vrac et il "semble" que TOUTES les tables de ma base de données se soient envolées

Acte de malveillance ? Est-ce que Dotclear (v1.2.6 me concernant) possède des failles connues ? Mon password est fortement sécurisé (>12 caractères très variés) et je ne comprends pas ce qui a pu se passer

Je dois avoir une sauvegarde datant d'une semaine, mais je suis dégoûté...

Cédric

Je tourne sur un 1.2.7 depuis plus de deux ans et je n'ai jamais eu un seul souci de sécurité à relever. Tu es sur dédié ou mutu ?

[cedric_g]

Bonjour

Blog rétabli... après négociation avec mon hébergeur : j'ai subit hier une "attaque" de spammeurs (pointe à 9% des ressources du serveur MySQL - je suis en mutualisé) et les plugins anti-spam enregistrent malheureusement (évidemment oserais-je dire) les commentaires foireux de ces enc... (oups pardon )

Du coup mon hébergeur a désactivé temporairement ma BDD pour ne pas pénaliser mes "voisins". Je le comprends. Après négociation, il a rétabli ma BDD et j'ai du coup limité à 30 jours les commentaires sur les billets... Mais bon il faut que je trouve une solution car il m'arrive d'avoir des questions 2 ans après avoir posté un billet : j'ai toujours fonctionné ainsi

Je vais solliciter la communauté Dotclear pour savoir ce que je peux faire.

Cédric

[UsagiYojimbo]

Bonjour

Blog rétabli... après négociation avec mon hébergeur : j'ai subit hier une "attaque" de spammeurs (pointe à 9% des ressources du serveur MySQL - je suis en mutualisé) et les plugins anti-spam enregistrent malheureusement (évidemment oserais-je dire) les commentaires foireux de ces enc... (oups pardon )

Du coup mon hébergeur a désactivé temporairement ma BDD pour ne pas pénaliser mes "voisins". Je le comprends. Après négociation, il a rétabli ma BDD et j'ai du coup limité à 30 jours les commentaires sur les billets... Mais bon il faut que je trouve une solution car il m'arrive d'avoir des questions 2 ans après avoir posté un billet : j'ai toujours fonctionné ainsi

Je vais solliciter la communauté Dotclear pour savoir ce que je peux faire.

Cédric

Tu utilises quoi comme plugin antispam ? Parce qu'avec Spamplemousse 98% des spams sont stoppés dans mon cas. Et les autres, bein ils le sont dès que j'ai mis à jour la liste des stop words

[cedric_g]

J'utilise Spamplemousse, Spamtimeout et un captcha (à priori pas très efficace contre les robots puisqu'ils arrivent à poster )

Le problème avec Spamplemousse, c'est qu'il utilise des ressources serveur et qu'en cas de "grosse" attaque, ben le serveur SQL mange toutes les requêtes dans la tronche.

Pas cool. Je vais essayer de modifier la saisie des commentaires (insertion d'un champs "vide" masqué, que seuls les robots remplissent généralement).

[UsagiYojimbo]

J'utilise Spamplemousse, Spamtimeout et un captcha (à priori pas très efficace contre les robots puisqu'ils arrivent à poster )

Le problème avec Spamplemousse, c'est qu'il utilise des ressources serveur et qu'en cas de "grosse" attaque, ben le serveur SQL mange toutes les requêtes dans la tronche.

Pas cool. Je vais essayer de modifier la saisie des commentaires (insertion d'un champs "vide" masqué, que seuls les robots remplissent généralement).

Oui ça peut être une solution. Ca peut juste être un problème pour les navigateurs à destinations des malvoyants, ou des navigateurs textes.

J'avais jamais réfléchi à la manière dont procède Spamplemousse (pourtant c'est assez évident que ça génère un certain nombre de requêtes). Je vais donc surveiller ça. Je suis sur un dédié et j'ai déjà eu quelques attaques importantes de spam qui n'ont pas réussi à passer la barrière, mais sait-on jamais.

[cedric_g]

Bonsoir

Encore ce jour, nouveau "débordement" : j'ai du fermer complètement les commentaires de mon blog en attendant de trouver une solution...

Je suis sur le point de passer à un VDS (serveur dédié virtuel ; j'ai pas les compétences pour un vrai dédié, et c'est pas le même prix !) du coup ; mais je me demande aussi si ça pourrait pas être Googlebot ? Fin de semaine dernière j'ai demandé à ce que la vitesse d'exploration soit élevée sur mon blog...

Mais bon quand même : y'a un cache sur Dotclear non ???

[cedric_g]

Up !

J'ai trouvé. Mon captcha n'était pas pris en compte dans l'ancienne version du "formulaire" de validation des informations de commentaires

Merci à la communauté Dotclear, qui m'a donné la réponse en quelques heures



Phase de test en cours pour validation de la solution...

[skippyzrnr]

perso apres 450000 com j'ai bloqué par range ip dans le htaccess : ca marche nickel mais faut pas attendre des visiteurs russes ils sont bloqués

[Bacteries]

Autant mettre un captcha dans ce cas...

[djoh]

Cedric, tu peux faire un lien vers la solution donnee par la communaute dotclear ? Ca m'interesse !

[DadouDuck]

La dernière version est la 1.2.8, pense a faire la mise à jour

[cedric_g]

Je vais voir pour (un jour ) la faire cette MAJ : j'en ai marre d'avoir les messages d'insulte en bas de mon blog à chaque fois que j'entre dans la console d'admin (à priori c'est propre au PC et au navigateur puisque quand je rentre en admin sous FF, je n'ai pas ces messages dans IE : c'est déjà ça !)

Pour le captcha "inefficace", voir ici