Moodle česky a slovensky

Obsah tohoto příspěvku ve fóru byl odstraněn a již nemůže být zpřístupněn.

Odpovede na vase otazky:
1. v podstate je to globalny problem
2. moodle umoznuje pridat do procesu registracie reCAPTCHA obrazky. Tato problematika sa tu uz preberala napr. v tycho diskusiach
https://moodle.org/mod/forum/discuss.php?d=249758
https://moodle.org/mod/forum/discuss.php?d=249749
3. Na masove operacie mozete pouzit blok User Administration Block, ktory si mozete stiahnut na http://moodle.org/mod/data/view.php?d=13&rid=1135
4. pokial sa pouzivatelia nejavili v systeme ziadnu aktivitu, tak ich mozete z tabulky mdl_users kludne odstranit, popripade im nastavte v stlpci hodnotu deleted na 1

peter

Používali jsme donedávna na dvou serverech verzi 1.8.4+, na jednom z nich máme povolenou e-mailovou registraci s ochranou pomocí CAPTCHA, která je popsána ve dvou předchozích příspěvcích, a žádný falešný účet si nikdo nezaložil. Tj. toto řešení doporučuji a Davidovi za něj znovu děkuji.

Zato se někdo v tomto týdnu pokusil proniknout do zdrojových souborů obou instalací Moodlu na našem serveru a pozměnit je. Do jisté míry se mu to i podařilo, doporučuju proto zkontrolovat, zda se Vám nestalo něco podobného, a následně co nejrychlejší upgrade na poslední stabilní verzi (nyní 1.8.7+).
V našem příapdě se útočníkovi podařilo do souborů Moodlu vložit na různá místa soubory s názvem license.php, no.php a options.php. Soubory license.php a no.php jsou zakódované. Když jsem si je na lokálním stroji spustil, docela mě mrazilo, protože šlo v podastatě o webový souborový manažer, jehož prostřednictvím mohl útočník (při nevhodně nastavených právech) procházet adresáře a online editovat v nich obsažené soubory.
Několik dalších skriptů útočník modifikoval, jmenovitě admin/auth.php, calendar/set.php, login/change_password.php a theme/standard/footer.html. Přesný výpis změn najdete v přiloženém textovém souboru.
Kromě toho jsme před časem také zaznamenali změnu skriptu lib/moodlelib.php popsanou v tomto fóru: http://moodle.org/mod/forum/discuss.php?d=106296 (viz zejména dva poslední příspěvky), ale nevyvodili jsme z ní adekvátní důsledky.

Naštěst nešlo zřejmě o zvlášť zlomyslný a ničivý útok, aspoň jsme zatím žádné větší škody nepozorovali. Chtěl jsem celou věc důkladně zdokumentovat a co nejdřív někde popsat, nyní otevřená diskuse mě donutila udělat to hned.

Opatření, která jsme provedli na serveru, byla následující:

• kontrola změn v suborech proti serveru CVS (viz přiložený soubor);
• ruční náprava modifikací;
• změna oprávnění na všech adresářích a souborech s programovým kódem Moodlu tak, aby neobsahovala právo pro zápis procesu webového serveru;
• změna hesla k databázi;
  
• update z CVS na poslední MOODLE_18_STABLE.
  

Další informace rád poskytnu buď tady nebo soukromě e-mailem.

Zdravím,

mám také podobnou zkušenost s vytvářením falešných účtů. Prosil jsem o pomoc přímo Davida, aby mi pomohl. Poradil mi, že zatím je jedinou možnou ochranou metoda CAPTHCA.
Můj moodle je ve verzi 1.6 a obávám se upgradu na verzi 1.9, protože zřejmě musím projít modifikací 1.7 ; 1.8 ; 1.9.
to je víc než si chci nabrat.

Proto se ptám, jde metoda CAPTCHA vložit do moodlu 1.6?

Mohla by vás zajímat stránka Reducing spam in Moodle