Spamer como administrador!

Por incrível que pareça um spamer entrou e virou administrador. Redirecionei a página para outro lugar para pensar no que vou fazer, porque todo dia tá vindo manadas de spamers.

A propósito, eu bani esse spamer administrador porque já li aqui nesse fórum que apagar administrador dá muito problema. O que devo fazer:

1- Para tirar esse spamer de forma completa e não simplesmente banir;

2- Para acabar com esse problema de spamer. Como faço para mudar a configuração do ELGG de modo que cada novo participante tenha que ter seu pedido aprovado? No painel de administração não vejo nada disso.

  • Pois é, pode ser alguma ferramenta de captura de caracteres, um viruz muito simples de construir que envia senhas ao seu arquivo pai. Isso seria possivel e poderia ser uma resposta a este problema.

    Eu realmente espero que o ELGG não possua erros tão basicos em sua cegurança pois construir em uma plataforma tão facil de ser invadida seria pura perda de tempo.

    Se isso realmente for possivel de forma tão simples eu abandono a plataforma.

    Ao menos nenhum outro usuario reportou tal coisa, se fosse realmente um tipo de spammer diferente imagino que ja teria invadido inumeras redes.

  • Outra coisa que me preocupou é em relação a plugins distribuidos na comunidade. Eles não poderiam vir com scripts maliciosos?

    Penso que principalmente estes que dependem de API extena seria formas possiveis de uma invazão.

    Ja vi usuários mencionando que alguns plugins traziam codigos estranhos e possivelmente scripts maliciosos como foi o caso do River coments e o Likes. Se não me engano estes ja estiveram em discussão. 

  • Ray escreveu:"se um spammer entrou como Admin, ele possui uma senha de Admin e ponto final. O ELGG não possui uma falha tão básica de segurança".

    >> Ray, a falha é bem básica mesmo. Acho precipitado afirmar que a falha é do ELGG, mas dizer que afirmar que o spammer " possui uma senha de Admin e ponto final" também é precipitado. Gosto muito do ELGG mas gosto muito do meu trabalho também e não vou manter nenhum amor cego pelo ELGG.  Eu vou mudar minha senha atual para um super senha que nenhuma ataque de dicionário vai ser capaz de transpor. Vamos ver

    Felixrubens escreveu: "Ja vi usuários mencionando que alguns plugins traziam codigos estranhos".

    >>> Vou desabilitar o likes. Vamos ver. Quanto a um virus espião, o que tenho a dizer é que sou um usuario experiente, não saio clicando em coisas que me mandam, tenho anti-virus , anti-spay etc. Darei toda chance ao ELGG, mas já estou pesquisando o Anahita, o SocialEngine, CB e Boonex Dolphin. Não jurei amor eterno ao ELGG.

    Felixrubens escreveu: "Ao menos nenhum outro usuario reportou tal coisa"

    >>> O José Monteiro também declara que isso já aconteceu duas vezes com ele. Veja no post dele, mais acima. Será que só nós dois?

  • @Intraespo: Não é questão de amor cego. Desenvolvo há 25 anos e esse tipo de falha de segurança seria facilmente detectada em uma ferramenta com penetração mundial. Não estamos falando de um software feito pelo sobrinho de alguém.

    Com relação a "códigos estranhos", tomem cuidado. Existe uma guerra de egos entre criadores de plugins e muitas vezes algumas coisas são postas em cheque apenas para questionar a qualidade do trabalho. Um dos plugins citados acima fazia, com o consentimento do usuário, um "call to home", enviando dados da versão do ELGG para o site do criador. Isso foi retirado após questionamentos, mas na época fizeram uma algazarra sem tamanho, com gente subindo uma "versão" do plugin sem o "call to home". Removiam uma linha de código e falavam que era plugin novo.

    Tomem cuidado. No geral a comunidade é bem unida, mas como em qualquer comunidade opensource, existe muito a frase do "O meu é maior que o seu".

    E repito: Verifiquem se algum usuário normal virou administrador. Esse usuário pode, a qualquer momento, criar novos administradores.

  • Pessoal. Descobri o problema!! É o seguinte. Alguém se regista com o nome "Admin" ou "Administrador". Ora uma pessoa distraída pensa que alguém acede com a nossa conta o que não é verdade. no meu caso alguém se registou com o nick Admin e passe admin@... e postou por três vezes. Só hoje estive a ver os detalhes da conta "Admin" e vi que não era a a minha. Removi o membro e prontos. No meu elgg havia duas contas uma Administrador (a minha, o verdadeiro administrador) e uma outra de nick "Admin" esta sim spamer

     

    Se em poderem confirmar que é isso que se passa

  • Tive problemas com spamer também.

    Estou desenvolvendo um projeto na faculdade e liberei o link para meus colegas de aula para um trabalho de Usabilidade, depois que outros perfis foram criados percebi a presença de 2 spamers, mas não os identifiquei como admin.

     

  • Gente, os problemas com spammer continuam, mas tenho a obrigação moral de comunicar que com relação a spamer se posicionar como administrador, o que aconteceu foi um erro de interpretação de minha parte.

    Explico: sempre que entrava como administrador, via o meu ID à esquerda...sempre solitário, que nossa rede é ainda pequena.  Um dia, entrei e vi abaixo do meu nome um spammer, aí me exasperei...e passei a entrar mais regularmente, identificando mais uns 4 spammers etc e vocês conhecem o resto, lendo as mensagens desse tópico.

    Dias atrás, combinei com um usário entrar no mesmo horário que eu para fazer uns testes... e aí vi que ele ficava lá junto com o meu ID. Enfim, prestando mais atenção, vi que... ali era o local onde apareciam os usuários online. Ou seja, se na primeira vez que vi um spammer ali, ele esta online...só isso!

    Peço desculpa a todos pelo mal desconforto causado pela minha enorme distração. Andei nos últimos tempos pesquiando sobre Jomsocial, CB e Anahita.... Cada um tem seus defeitos e virtudes...assim como o ELGG.  Enfim, vou ainda ver se continuo com o ELGG.... depois de verificar que meu temor quanto à segurança era totalmente infundado.

    Vamos em frente!

  • Bem, Intraespo, no final eu não tinha Amor Cego pelo ELGG, correto?

  • É bom saber disso Intraespo tenho dedicado bastante tempo do meu trabalho a desenvolver duas redes em ELGG e alguns plugins. O meu medo era que casos como o que vc relatou viessem a acontecer e todo o meu trabalho teria sido perda de tempo.

    Tambem tenho pesquisado inumeras outras plataformas mas a que me parece superior ainda é o ELGG

Elgg Brasil

Elgg Brasil

Comunidade para desenvolvedores brasileiros usuários do Elgg.