Juser.jpのフォーラムにRecaptchaを導入してから、スパマーの数が激減（ほとんど無い）したようです。最近、このサイトで問い合わせフォームから、スパムがよく飛んでくるようになりましたが、拙作計算Captchaではお話にならないようです。

phpBBのデフォルトCaptchaでは何の効果も無いとは思わないが、スパマーの方が上手のようです。

以前に紹介して実際にこのサイトでも使っているDS-Syndicateでセキュリティホールが公表されていました。私は、改造して使っていたりなのですが、そこまで見ていませんでした。

対応策

new_feed(mosGetParam( $_GET, 'feed_id', ""));

を

new_feed(intval( mosGetParam( $_GET, 'feed_id', "") ));

のように（他の方法でももちろん良い）数値にサニタイズすることで対処できます。

追記：さらにすでに攻撃されたかどうかは、Root/components/com_ds-syndicate/feedフォルダ内を見て下さい。そこに通常のファイルではなさそうなものがあればすでに攻撃されたものだと思われます。フォルダ内のファイルをすべて削除する必要があります。

念のためまだ１０月の途中ですが、毎月行っているiLogScannerのスキャンを行ってみました。

２２日現在の時点で１０４件の攻撃で幸い成功はしていないようです。
成功していないというのは厳密に言うと間違いです。この攻撃を使ってのインジェクション攻撃は成功しています。そしてデータベースのnameとpasswordは見る事ができたかもしれません。ですが、Joomla!は生のパスワードは保存していません。パスワードは、Joomla!の独自メソッドでハッシュ値に変更されたものなので生のパスワードを悟られる事はまずありえ無いでしょう。心配な方は、パスワードを変更してください。

ログを見てみるとDS-Syndicateに対する攻撃は、１０月６日から来ています。公表されるずいぶん前の時点ですね。情報を素早く入手することももちろん大切ですが、エクステンションを導入するときには気軽に導入すべきではないことも事実のようです。また、たくさんの人が使っているから大丈夫ということも絶対言えませんし、あのサイトで紹介されているから大丈夫とも言えません。

このサイトでも使っているFireboardですが、1.0.4がリリースされたくさん改善されているようです。

コアの変更をご紹介しているので時間のあるときに1.0.4と比較してみます。

なかなか、新しいバージョンのエクステンションがリリースされてもすぐには導入できなくて困っています。簡単にアップグレードと言ってももしかしたらデータが消えちゃうのじゃないかとか、ちゃんと動かないかもとかいろいろ考えてしまうのでいつも及び腰になります。バックアップしてからやれば良いでしょうが手間で・・・。

Securityimagesコンポーネント(com_securityimages）を導入してみました。

Developer: Walter Cedric

　今は、すごいスパマーがいるそうなのでCaptchaだけでは足りないということをどこかで見た気がしましたが、無いよりずっと良いだろうってことで。

　このコンポーネントには日本語ファイルがデフォルトでインストールされますが、文字化けで・・・まあ意味はわからないことはない位の一部文字化けしています。古いバージョンの日本語ファイルなのかもしれないが、日本語化されていない所も多々あり、見づらいです。時間があれば日本語化に取り組んで見たいと思っています。