<div dir="ltr"><div><div><div><div><div><div>So I think someone has an exploit into our <a href="http://kdenlive.org">kdenlive.org</a> site.<br><br>Back a few years just before we moved the forums JBM gave me admin privs on the site so I could help out with anti-spam and migrate the forums.  For a while the site was pretty much off line with respect to user contributions. But around <span class="">2014-11-09 </span>in response to a mantis request (<a href="https://bugs.kdenlive.org/view.php?id=3402">https://bugs.kdenlive.org/view.php?id=3402</a>) JBM turned back on the camcorder database.<br><br></div>Since then (maybe before I have not being paying attention) the site has been getting hundreds of user registrations per week by spam bots. And we have been getting lots of spam posted to the camcorder database. And I have been progressively trying to prevent this by adding extra captcha tests and then turning off the automatic sending of one time log-in links to newly registered users and asking users to PM me in the forums if they want a <a href="http://kdenlive.org">kdenlive.org</a> account. The result of this is that we still get lots of spam bot created users but they are created with a blocked status. So this has been somewhat sucessful.<br><br></div>However, even after these measures the site is still getting one or two active users being created. And the logs show successful use of the one time log in link that used to be sent out. But which is not being sent out (by me at least). And these users generate 3 -4 spam post per day.<br><br></div>So I think someone is using an exploit of some kind on that site.<br><br></div>It currently is running 7.34 of drupal (but I don't know when it got to that version).<br><br></div>But back in 2014-Oct-15 a major security flaw in versions lower than 7.34 was announced <a href="https://www.drupal.org/SA-CORE-2014-005">https://www.drupal.org/SA-CORE-2014-005</a> and which has been give the name <span class=""> drupalgeddon<br><br></span><div style="margin-left:40px"><span class=""></span></div></div><span class="">I don't know if JBM patched this issue. It is a pretty dramatic announcement - </span><br><span class=""><span class=""><a href="https://www.drupal.org/PSA-2014-003">https://www.drupal.org/PSA-2014-003</a></span></span><div style="margin-left:40px"><br></div><span class=""><br></span><div style="margin-left:40px"><i>Automated attacks began compromising Drupal 7 websites that were not 
patched or updated to Drupal 7.32 within hours of the announcement of <a href="https://www.drupal.org/SA-CORE-2014-005">SA-CORE-2014-005 - Drupal core - SQL injection</a>.
  You should proceed under the assumption that every Drupal 7 website 
was compromised unless updated or patched before Oct 15th, 11pm UTC, 
that is 7 hours after the announcement.</i><br></div><div><div><div><div><div><div><br></div><div>So the fact that we get active users in the absence of approving them might be related. It might not. <br><br></div><div>JBM - did you know about drupalgeddon and patch it in the 7hour limit? (what a ridiculous time frame !!)<br></div><div><br></div><div>But this raises the question - does the camcorder database on <a href="http://kdnelive.org">kdnelive.org</a> serve a useful purpose?<br></div><div>Could it be moved to .kde infra structure too like the forums? Or do we need it at all?<br></div><div>Do we want to move the jbm/till/granjow blogs off  <a href="http://kdnelive.org">kdnelive.org</a> <br></div><div>Or can the vulnerability be fixed?<br><br></div><div>My vote would be to just get off  <a href="http://kdnelive.org">kdnelive.org</a> all together and use the <a href="http://kde.org">kde.org</a> infrastructure. Because - as JBM has found out - maintaining this sort of stuff in the big bad world of spammers is hard work. Time is better spent on kdenlive itself than on the drupal website.<br></div></div></div></div></div></div></div>