近數月來我管理的佛教論壇經常被一些人用論壇小助手等軟件惡意注冊發垃圾帖子,管理員防不勝防。今晚我特為論壇增加了注冊問題驗證,凡不能回答相關問題者即不能注冊,也即不能發帖子。所設問題是隨機出現(所設問題及答案隨各人所好)。
辦法如下:
1.
最高管理員進入后臺,點擊風格界面模板總管理,page_login,template.html(13) 找到
<tr>
<td class="tablebody1"><b>密碼問題</b>:<br />忘記密碼的提示問題</td>
<td class="tablebody1">
<input name="quesion" type="text" size="30" />
</td></tr>
在上面此段代碼前面添加如下代碼
<TR>
<TD class=tablebody1>
<div class="tablebody1"><b>防惡意注冊問題回答:</b></div>
<div style="color:red";font-size=18px">{$EvilQuesion}</div>
</TD>
<TD class=tablebody1><INPUT size=30 name=evilanswer> </TD>
</TR>
2. 打開reg.asp,找到
<!--#include file="inc/md5.asp"-->
在其下添加
<!--#include file="inc/CheckEvil.asp"-->
找到163行
TempLateStr=Replace(TempLateStr,"{$user_belief}",Selectinfo(5))
在其下添加
Randomize
Session("EvilID")=int(Rnd*QuesionNum)
TempLateStr=Replace(TempLateStr,"{$EvilQuesion}", QuesionArray(Session("EvilID")))
找到第351行
Else
quesion=Request.form("quesion")
End If
在其下添加
If Request.Form("EvilAnswer")="" Then
ErrCodes=ErrCodes+"<li>"+"請填寫防惡意注冊問題!"
End If
If Not CheckEvil(Request.Form("EvilAnswer")) Then
ErrCodes=ErrCodes+"<li>"+ "防惡意注冊問題回答錯誤,請返回重試。"
End If
3. 增加一個新文件CheckEvil.asp,填寫如下代碼,并上傳到論壇inc目錄下,即
/inc/CheckEvil.asp。
<%
Dim QuesionArray(100)
Dim AnswerArray(100)
Dim QuesionNum
QuesionNum=5 '請在這里正確設置問題的總數
Function CheckEvil(Answer)
Dim TrueAnswer
If Session("EvilID")="" Then
CheckEvil=False
Exit Function
End If
TrueAnswer=CStr(AnswerArray(Session("EvilID")))
If Answer=TrueAnswer Then
CheckEvil=true
End If
End Function
QuesionArray(0)="佛教三寶是?(提示:佛法僧)"
AnswerArray(0)="佛法僧"
QuesionArray(1)="四大名山中觀音菩薩的道場是?(提示:普陀山)"
AnswerArray(1)="普陀山"
QuesionArray(2)="西方極樂世界教主是?(提示:阿彌陀佛)"
AnswerArray(2)="阿彌陀佛"
QuesionArray(3)="禪宗六祖法號是?(提示:惠能)"
AnswerArray(3)="惠能"
QuesionArray(4)="四大名山中文殊菩薩的道場是?(提示:五臺山)"
AnswerArray(4)="五臺山"
%>
呵呵,不錯。
1、先的reg.asp改名為xxreg.asp,
然后另寫三張reg.asp,reg1.asp.reg2.asp,作三次轉向,最后轉向到xxreg.asp,
2、在后臺要開啟審核,審核以下關鍵字:
****|****|****|****|****|****|
對付論壇群發軟件的方法(050614最后更新)!!
現在已有不少動網用戶受到了一種稱為“暴力****”(168BBS)軟件的騷擾。
該軟件可以自動注冊一個隨機的新用戶,并且發廣告帖。根據作者聲稱:該軟件可以在一小時內在2——5萬個論壇群發廣告。
官方似乎暫時還沒有公布解決方案,于是我總結了幾條解決的方法,供大家參考。
希望大家把自己改后的效果反饋一下,以便更好地對付群發。同時也希望大家把自己比較好的方法和大家分享。
不是每條都要挨著執行,也不是每條都一定有效,你可選用其中的幾種方法。
根據大家的反饋,發現第二和第五兩種方法最有效果,推薦使用。尤其是二!
一、更正驗證碼的易破解性
之前不論在7.0和7.1中,驗證碼都存在著缺陷,可以通過程序自動識別出驗證碼上的數字,于是沒有真正起到驗證碼的作用。我們可以在注冊時設置使用驗證碼,再按照以下方法修改。
驗證碼文件是Dv_GetCode.asp(7.1中)
找到這段代碼:
If Rnd * 99 + 1 < cOdds Then \' 隨機生成雜點
Response.BinaryWrite vColorData(0)
Else
將其改為
If Rnd * 99 + 1 < cOdds Then \' 隨機生成雜點
If Mid(vNumberData(vCode(ii)), i * 10 + iii, 1) Then
Response.BinaryWrite vColorData(0)
Else
Response.BinaryWrite vColorData(1)
End If
Else
另外,找到以下代碼
Const cOdds = 2 \' 雜點出現的機率
把2設置的稍大一些,建議設置為5~10。
以上部分的修改已經被很多實踐證明效果很不明顯。假如你有耐心,可以再試用手工修改驗證碼圖片的方法(因麻煩故不推薦),這個一定有效果!如下:
這里我給出了一個自己做驗證碼的方法,里面有說明。
點擊瀏覽該文件
這個是另一個朋友提供的驗證碼工具:http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=958224&page=1
使用7.0的用戶可以用7.1的這個文件覆蓋原來的。如果你修改了驗證碼的圖片,可以不再考慮雜點的問題。
二、更改提交表單的元素屬性
此方法為“研究動網”朋友提出來的。它可以在不用驗證碼系統的條件下對付群發軟件。
在論壇注冊頁面,用戶名,密碼文本框的 name屬性分別默認為name和psw。我們可以修改其屬性達到限制軟件注冊的效果。
具體方法如下,7.0和7.1均適用:
進入后臺,風格界面模板總管理 / 分頁面模板(page_login) / 界面風格 / template.html(13)
找到 <INPUT maxLength="{$NameMaxLength}" size=30 name=name>
將粉色的name改為其他值,比如改成 “name1”
然后打開reg.asp,以關鍵詞Request.form("name")進行搜索
將其全部替換為Request.form("name1")
當然那個name1就是剛才你在風格模板里改的值
三、設置注冊延時
設置新注冊用戶不能發帖,要一分鐘或更多的時間后才能發帖。這樣可以在一定程度上抵制非注冊軟件的攻擊。但是對注冊了的軟件沒有作用。
四、設置至少要有一個中文字符注冊
這個方法并不太好,因為很多人實際上都比較喜歡用純英文名。但是有不少朋友提出這個想法,這里還是列出在7.0和7.1里面的修改方法吧:
reg.asp文件,在藍色代碼
If Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"\'")>0 or Instr(username,",")>0 or Instr(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"")>0 or Instr(username,"$")>0 or Instr(username,"|")>0 Then
Dvbbs.AddErrCode(19)
Exit sub
End If
下添加以下紅色代碼Dim IsCHName
IsCHName = False
For i = 1 To Len(UserName)
If Asc(Mid(UserName, i, 1)) < 0 Then
IsCHName = True
Exit For
End If
Next
If Not IsCHName Then
Response.redirect "showerr.asp?ErrCodes=<li>請至少輸入一個中文字符。&action=OtherErr"
End If
五、修改注冊頁面的地址
首先將論壇根目錄下的reg.asp改名,比如改成reg1.asp,然后進入后臺 / 風格界面模板總管理
在main_Style,Page_Login的“界面風格”中搜索“reg.asp”(注意7.0中不要把chkreg.asp替換了),全部替換成比如“reg1.asp”
用js加密的辦法是很好的,破解不了
一,模板部分
1,分頁模板(page_login) (12) 里面 找到:
<input type="hidden" name="{$hidden}" value="{$hidden}">
緊接著增加:
<input type="hidden" name="取你的自定義名字" value="{$GlobalTm_1}">
2,分頁模板(page_login) (13) 里面 找到:
<form....>后面加上
<script>
<!-- 禁止暴力營銷注冊-增加代碼-Start -->
var Str = "{$GlobalTm_2}";
var prand = "";
for(var i = 0; i < Str.length; i++) {
prand += Str.charCodeAt(i).toString();
}
var a=((12^123)>>2)-10;
var b=Math.floor(Math.sin(1.11) * 10);
document.write ('<input type="hidden" name="取你的自定義名字" value=' + prand.substr(a,b) +' />')
<!-- 禁止暴力營銷注冊-增加代碼-End -->
</script>
好了,模板修改完成后記得更新下緩存;
二,REG.ASP部分
1,找到:
TempLateStr=Replace(TempLateStr,"{$Forum_Name}",Dvbbs.Forum_Info(0))
TempLateStr=Replace(TempLateStr,"{$hidden}",GetFormID())
下面接著增加:注意,后面的20數字為獲取頁面來源從左邊數的字符長度,根據自己的域名長度來看。
'禁止暴力營銷注冊-增加代碼-Start (1)
TempLateStr=Replace(TempLateStr,"{$GlobalTm_1}",Left(UCase(Request.ServerVariables("HTTP_REFERER")),20))
'禁止暴力營銷注冊-增加代碼-End (1)
2,找到:
TempLateStr=Replace(TempLateStr,"{$hidden}",FormID)
下面接著增加:
'禁止暴力營銷注冊-增加代碼-Start (2)
TempLateStr=Replace(TempLateStr,"{$GlobalTm_2}",Request.Form("取你的自定義名字"))
'禁止暴力營銷注冊-增加代碼-End (2)
3,找到:
If ErrCodes<>"" Then Exit Sub
If Dvbbs.ErrCodes<>"" Then Exit Sub
在這2行上面增加:
'禁止暴力營銷注冊-增加代碼-Start (3)
'Response.Write Request.Form("取你的自定義名字") '遠程調試時請先取消這2行注釋輸出查看您的ID,
'Response.End '并且輸入下面的<>"根據您的域名來源計算的ID"中
If Request.Form("取你的自定義名字") <> "根據您的域名來源計算的ID" Then
Dim NoadSql,l_r_content
l_r_content = "暴力營銷注冊名:"&username&" 密碼:"&pass2&" 郵件:"&useremail
NoadSql = "insert into Dv_Log (l_touser,l_username,l_content,l_addtime,l_ip,l_type) values ('Reg.Asp','"&username&"','"&l_r_content&"',"&SqlNowString&",'"&Dvbbs.UserTrueIP&"',6)"
Dvbbs.Execute(NoadSql)
Response.redirect "showerr.asp?ErrCodes=<li>系統檢測您可能正在使用注冊機軟件非法注冊,請正常注冊使用。&action=OtherErr"
End If
'禁止暴力營銷注冊-增加代碼-End (3)
OK,全部更新上,注意要先輸出下您的ID,以便填入判斷;這個是根據JS算法到服務端判斷的過程,而JS算法的起源字符又需要來自REG.ASP的點擊來源頁面,所以調試中,WWW.cndw.COM/REG.ASP 和 cndw.COM/REG.ASP 算法ID并不一樣;
如果需要2個或者更多域名正常注冊,那則在判斷處加上ADD 符號繼續判斷即可;
特別注意:在第一次安裝中需要注意2個問題,1,是取自己域名長度的問題,上面例子是20
2,是第一次安裝需要先打開
'Response.Write Request.Form("取你的自定義名字") '遠程調試時請先取消這2行注釋輸出查看您的ID,
'Response.End
這2行,就是把前面的 ' 符號取消保存。自己注冊一下,會輸出正確ID,然后把ID填到 "根據您的域名來源計算的ID" 里面。再把那2行注釋掉,就是前面 ' 符號加起來,或者刪除這2行。
動網論壇注冊分3步:
1.reg.asp頁面,即閱讀同意頁面,點擊同意進入下一頁
2.reg.asp?action=apply頁面,填表單頁面,不能直接打開
3.reg.asp?action=save頁面,保存信息頁面,不能外部提交
根據某些自動注冊機直接讀取驗證碼頁面,并偽造來源直接提交到第3步,我們可以在第一步設置一個session值,在第2步和第3步來驗證這個值
具體做法:
1.找到reg.asp頁面,找到Sub reg_1()過程里面加上下面代碼(表示在第一步的時候設置個驗證session,里面保存他在打開第一個頁面時候的當前系統時間):
session("myRegTime")=now()
2.找到Sub reg_2()過程里面加上下面的代碼(表示第2步的時候驗證一下,若沒有這個session值就不讓注冊):
If session("myRegTime")="" Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統維護中,請稍后訪問.&action=OtherErr"
End If
3.第3步的時候我們也要驗證session這個值,再加上另外3個判斷:
1)發現有的注冊機比較智能,可以模擬人的注冊方式,所以上面單純判斷session為空就比較沒有效果,因為注冊機的注冊過程比較快,所以判斷一下它到第3步時候的系統時間減去第一步時候的時間如果小于20秒也是不正常的,拒絕它
2)發現最流行的論壇自動注冊發貼機“營銷利劍”它在自動注冊的時候頭像地址默認是“userface/image1.gif”,而這個地址實際上是不存在的,正確地址應該是“/Images/userface/image1.gif”,這應該是它的一個bug,正好判斷一下限制它注冊。
3)很多注冊機在給別人使用的時候會加上自己的一些信息,一般在注冊的時候加到簽名里面,所以可以在簽名里面判斷這些關鍵字,發現了就不讓注冊
下面寫具體代碼,找到Sub reg_3()過程里面加上下面的代碼:
If session("myRegTime")="" or DateDiff("s",session("myRegTime"),now())<20 Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統維護中,請稍后訪問.&action=OtherErr"
End If
If Request.Form("myface")="userface/image1.gif" Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統維護中,請稍后訪問.&action=OtherErr"
End If
Dim badPersonal,myCount
badPersonal="營銷|vodcom.com|ite69.cn" '這邊是要過慮的關鍵字數組,可以以后自己添加
badPersonal=split(badPersonal,"|")
For myCount = 0 to ubound(badPersonal)
If Instr(Request.Form("personal"),badPersonal(myCount))>0 Then
Response.redirect "showerr.asp?ErrCodes=<li>目前系統維護中,請稍后訪問.&action=OtherErr"
Response.End()
End If
Next