AntiSpam Guard

[Chico Gois]

AntiSpam Guard

O que é?
Uma extensão para phpBB que protege seu fórum contra spam de forma invisível, sem depender de CAPTCHA.

Ela funciona silenciosamente durante o registro e outras ações sensíveis do fórum, com diagnósticos opcionais, logs, integração com o StopForumSpam e um aviso público de registro.

Para que serve?
Para prevenir e reduzir:

• registros automatizados
• inscrições suspeitas
• postagens de spam
• mensagens privadas maliciosas
• abusos através do formulário de contato
• tentativas repetidas vindas do mesmo IP
• bots que preenchem campos ocultos (honeypot)
• envios que são rápidos demais para serem humanos

Como funciona?

A extensão combina várias camadas de proteção:

• HoneyPot — um campo oculto que os bots costumam preencher
• Análise de tempo de envio — detecta envios feitos com rapidez sobre-humana
• Controles de IP — lista branca, lista negra, reputação e limites de tentativa
• Filtragem de conteúdo — verifica padrões de texto suspeitos
• StopForumSpam — consulta a reputação de IPs, e-mails e nomes de usuário
• Motor de decisão combinado — avalia múltiplos sinais antes de bloquear
• Modo silencioso — protege sem incomodar usuários legítimos
• Modo de simulação — permite testar as regras sem bloquear usuários de fato
• Logs e estatísticas — registra eventos para revisão no ACP

StopForumSpam

Integração com o StopForumSpam para verificações de reputação.

• verificações silenciosas de IP, e-mail e nome de usuário
• cache local para consultas SFS
• logs dedicados ao StopForumSpam
• teste manual a partir do ACP
• suporte opcional a chave de API
• envio manual de spammers confirmados para o StopForumSpam

Chave de API do StopForumSpam

A chave de API é opcional.

• as consultas ao StopForumSpam funcionam sem uma chave de API
• a chave é usada apenas para denunciar manualmente spammers confirmados
• a chave nunca é exibida totalmente no ACP
• a chave não é exportada nos diagnósticos
• envios automáticos não são habilitados por padrão

Aviso de registro opcional

A extensão pode exibir um aviso discreto na página de registro informando aos usuários que o fórum utiliza proteção anti-spam.

• pode ser ativado ou desativado pelo ACP
• texto do aviso configurável
• estilo visual moderno/flat
• ícone de escudo
• fundo branco alinhado ao tema padrão do phpBB
• desativado por padrão para preservar o modo silencioso

Recursos

• proteção para registro, posts, mensagens privadas e formulário de contato
• painel de controle no ACP
• diagnósticos da extensão
• logs gerais
• logs do StopForumSpam
• exportação para CSV
• exportação de configurações
• configuração avançada
• lista branca e lista negra (whitelist/blacklist)
• controle de reputação de IP
• limite de tentativas por IP
• tarefas cron para limpeza automática
• suporte multilíngue
• suporte para Português do Brasil e Inglês

Diagnósticos e testes

• teste manual do StopForumSpam pelo ACP
• confirmação real quando uma entrada de log SFS é salva
• exibição da versão atual da extensão
• carregamento automático da versão via composer.json
• diagnósticos sem expor dados sensíveis
• exibição mascarada da chave de API

Destaques

• ✔ Sem CAPTCHA
• ✔ Invisível para os usuários
• ✔ Leve e eficiente
• ✔ Compatível com phpBB 3.3.x
• ✔ Configurável pelo ACP
• ✔ Logs detalhados
• ✔ Integração com StopForumSpam
• ✔ Chave de API opcional
• ✔ Aviso público de registro opcional
• ✔ Fácil de configurar

Versão atual: 3.3.21

Download: [https://github.com/mundophpbb/antispamguard](https://github.com/mundophpbb/antispamguard)

[Chico Gois]

Changelog: AntiSpam Guard
Todas as alterações notáveis nesta extensão estão documentadas abaixo.

3.3.23

Corrigido

• Corrigido o atalho de denúncia ao StopForumSpam nas linhas de log do SFS.
• A ação Usar para denúncia SFS agora é exibida quando uma linha de log do StopForumSpam contém pelo menos um valor útil: endereço IP, e-mail ou nome de usuário.
• Anteriormente, o atalho exigia que o IP, e-mail e nome de usuário estivessem presentes simultaneamente, o que o tornava indisponível para envios via formulário de contato ou registros parciais do SFS.

Alterado

• O formulário manual de denúncia ao StopForumSpam continua validando o envio final antes de despachar os dados.
• Campos obrigatórios ausentes ainda devem ser preenchidos manualmente pelo administrador.

Migração

• Nenhuma migração de banco de dados necessária.

3.3.22

Adicionado

• Adicionado o envio manual de spammers confirmados ao StopForumSpam diretamente pelo ACP.
• Suporte a chave de API do StopForumSpam para fluxos de trabalho de denúncia manual.
• Adicionada uma tabela de auditoria interna para envios ao StopForumSpam: antispamguard_sfs_submit_log.
• Log de auditoria para denúncias manuais, incluindo:
  • Administrador responsável pelo envio;
  • IP, e-mail e nome de usuário enviados;
  • Fonte da denúncia;
  • ID do log SFS de origem (quando disponível);
  • Resposta/status do StopForumSpam.
• Novo painel de envio manual ao StopForumSpam no ACP.
• Suporte a preenchimento automático a partir das linhas de log do SFS para o formulário de envio.
• Confirmação antes de enviar dados ao StopForumSpam.
• Strings de idioma do ACP em Inglês, Português e Francês.

Migração

• Adiciona a tabela de auditoria de envios ao StopForumSpam.

3.3.21

Alterado

• Refinado o layout visual da paginação de logs no ACP.
• Substituída a paginação compacta (separada por pontos) por um layout mais limpo.
• Separação de contadores totais, contadores filtrados, informações da página atual e links de navegação.
• Adicionados botões de página estilizados, destaque da página atual, links de anterior/próximo e reticências para longos intervalos de páginas.
• Estilo de paginação aplicado a: Logs de bloqueio geral, logs do StopForumSpam, painel SFS dentro dos logs de bloqueio e página dedicada do StopForumSpam.

3.3.20

Corrigido

• Adicionada proteção contra duplicatas na tabela de logs dedicada ao StopForumSpam.
• Reutiliza uma linha de log SFS existente quando a mesma decisão é registrada novamente dentro de um intervalo de 5 segundos.
• Evita estatísticas infladas e entradas repetidas causadas por gravações duplicadas.

Migração

• Adiciona a migração v_3_3_20 para remover linhas duplicadas exatas já armazenadas em antispamguard_sfs_log.

3.3.19

Corrigido

• Prevenção de linhas duplicadas no log de bloqueio geral quando o phpBB aciona o logger duas vezes durante o mesmo envio.
• Adicionada uma guarda de duplicatas de 5 segundos baseada em IP, nome de usuário, e-mail, tipo de formulário, motivo e User Agent.

Adicionado

• Suporte a paginação independente para o StopForumSpam usando o parâmetro sfs_start.
• A paginação do SFS agora é separada da paginação do log de bloqueio geral.

Migração

• Adiciona a migração v_3_3_19 para remover linhas duplicadas exatas já armazenadas em antispamguard_log.

3.3.18

Corrigido

• Reparada a aba/categoria de Extensões do ACP após ciclos de exclusão de dados e reinstalação.
• Garante que a categoria AntiSpam Guard no ACP seja posicionada corretamente sob a categoria global de Extensões do phpBB.
• Reconstrói os valores de nested-set do ACP quando necessário.

Notas para administradores

• Após atualizar de uma versão antiga, limpe o cache do phpBB.
• Se estiver atualizando para uma versão que inclui migrações, execute o processo normal de atualização do banco de dados da extensão.
• Consultas ao StopForumSpam funcionam sem uma chave de API.
• A chave de API do StopForumSpam é utilizada apenas para enviar/denunciar spammers confirmados.
• A denúncia manual deve ser usada apenas para atividades de spam confirmadas para evitar falsos positivos.

[Chico Gois]

AntiSpam Guard 3.3.27

Novidades
- Adicionada detecção de abuso por sub-rede IPv4 /24.
- Adicionada nova regra de risco: subnet_abuse.
- Adicionada heurística para e-mails Gmail aleatórios no formulário de contato.
- Adicionados novos campos de auditoria nos logs:
- risk_score
- risk_level
- action
- matched_rules
- Exportação CSV atualizada para incluir os novos campos de risco.
- Adicionadas novas configurações internas para controle de subnet rate-limit.
- Adicionada migration v_3_3_27 para registrar a nova versão, configurações e colunas necessárias.

Melhorias
- Melhor detecção de campanhas coordenadas com rotação de IPs dentro da mesma sub-rede.
- Melhor leitura operacional dos logs durante ataques ativos.
- Decisão combinada mais clara por meio de score, nível de risco, ação e regras acionadas.
- Maior capacidade de auditoria no ACP e nos arquivos CSV exportados.
- Redução da dependência de bloqueios por IP individual em ataques distribuídos por poucos ranges.

Alterações técnicas
- O rate-limit por sub-rede utiliza a tabela existente de rate-limit.
- As chaves de sub-rede são registradas no formato subnet:x.x.x.0.
- A regra random_gmail detecta e-mails no padrão:
^[a-z0-9]{9}@gmail\.com$
- A regra random_gmail atua como sinal adicional de score, especialmente em formulários de contato.
- A regra subnet_abuse atua inicialmente como pontuação, não como bloqueio direto, para reduzir risco de falso positivo.

Recomendação de atualização
- Fazer backup dos arquivos e do banco de dados antes de atualizar.
- Substituir os arquivos da extensão mantendo o caminho ext/mundophpbb/antispamguard.
- Limpar o cache do phpBB após a atualização.
- Conferir se a versão exibida no ACP é 3.3.27.
- Revisar os logs após a primeira onda de tráfego real.
- Manter Simulation Mode ativo temporariamente caso esteja atualizando em ambiente sensível.

[Chico Gois]

Resumo da análise do log - AntiSpam Guard 3.3.27

Durante a análise do arquivo de logs exportado pelo AntiSpam Guard, foi identificada uma campanha automatizada de spam direcionada principalmente ao formulário de contato do fórum.

O período analisado registrou aproximadamente 3.215 tentativas suspeitas, sendo a maioria absoluta relacionada ao formulário de contato:

• Formulário de contato: 3.193 eventos
• Registro de usuários: 22 eventos

Isso indica que o principal alvo da campanha não foi o cadastro de contas, mas sim o uso abusivo do formulário público de contato.

Padrão identificado

O comportamento observado no log indica automação coordenada, com as seguintes características:

• Uso massivo do formulário de contato;
• E-mails Gmail gerados automaticamente;
• Rotação de IPs dentro de poucas sub-redes;
• User-agents muito semelhantes;
• Preenchimento de campos honeypot;
• Envios em tempo incompatível com comportamento humano;
• Ocorrências associadas à reputação StopForumSpam.

Um dos padrões mais claros foi o uso de e-mails no formato:

Código: Selecionar todos

xxxxxxxxx@gmail.com

Ou seja, endereços Gmail com 9 caracteres aleatórios antes do domínio. Esse padrão apareceu de forma repetida no ataque e indica forte probabilidade de geração automática.

Camadas de proteção que atuaram

O AntiSpam Guard não dependeu de apenas uma regra isolada. A proteção ocorreu por combinação de várias camadas:

• Honeypot - detectou bots que preencheram campos invisíveis que usuários reais não deveriam preencher.
• Timestamp - detectou envios rápidos demais ou incompatíveis com o tempo normal de preenchimento humano.
• StopForumSpam - identificou IPs, e-mails ou dados com reputação negativa externa.
• Heurística combinada - somou diferentes sinais antes de tomar a decisão final.
• Slow spam - identificou repetição de ações suspeitas distribuídas ao longo do tempo.

As combinações de bloqueio mais comuns foram:

Código: Selecionar todos

honeypot,timestamp,sfs_reputation,combined_decision

e, em parte dos casos:

Código: Selecionar todos

honeypot,timestamp,sfs_reputation,combined_decision,slow_spam

Isso mostra que os bloqueios foram baseados em múltiplos sinais coerentes, reduzindo o risco de falso positivo.

Concentração por sub-redes

Embora muitos IPs diferentes tenham aparecido nos logs, a maior parte do tráfego suspeito estava concentrada em poucos blocos de rede. As principais sub-redes identificadas foram:

Código: Selecionar todos

91.211.90.0/24
45.156.158.0/24
217.147.172.0/24
185.237.106.0/24
2.59.221.0/24

Essas sub-redes concentraram quase todo o tráfego bloqueado, indicando uma campanha coordenada com rotação de IPs dentro dos mesmos ranges.

Melhorias aplicadas na versão 3.3.27

Com base nesse comportamento real observado nos logs, a versão 3.3.27 recebeu melhorias específicas para aumentar a capacidade de detecção e auditoria:

• Adicionada detecção de abuso por sub-rede IPv4 /24;
• Adicionada nova regra subnet_abuse;
• Adicionada heurística random_gmail para detectar e-mails Gmail gerados automaticamente no formulário de contato;
• Adicionados novos campos de auditoria nos logs:
  • risk_score
  • risk_level
  • action
  • matched_rules
• Exportação CSV atualizada para incluir os novos campos de risco;
• Melhor visibilidade administrativa para entender por que uma tentativa foi bloqueada, pontuada ou apenas registrada.

A nova regra subnet_abuse permite identificar situações em que vários IPs diferentes pertencem à mesma sub-rede abusiva. Isso é importante porque, no ataque analisado, o problema não estava concentrado em um único IP, mas sim em grupos de IPs dentro dos mesmos blocos.

A heurística random_gmail atua como sinal adicional de risco quando o formulário de contato recebe e-mails no padrão de geração automática, especialmente quando combinado com honeypot, timestamp e StopForumSpam.

Conclusão

A análise do log confirmou que o AntiSpam Guard bloqueou corretamente uma campanha automatizada contra o formulário de contato do fórum.

O padrão principal identificado foi:

Código: Selecionar todos

Formulário de contato
+ Gmail aleatório
+ IPs rotacionados em poucas sub-redes
+ honeypot
+ timestamp
+ reputação StopForumSpam
+ decisão combinada

A proteção funcionou de forma invisível, sem necessidade de CAPTCHA ou desafio visual ao usuário legítimo.

A versão 3.3.27 reforça esse comportamento, adicionando melhor detecção por sub-rede, identificação de e-mails gerados automaticamente e logs mais explicativos para auditoria no ACP.

[Chico Gois]

Changelog - AntiSpam Guard 3.3.27 até 3.3.35

Versão 3.3.35

• Adicionada tabela de auditoria antispamguard_sfs_review_log para registrar o histórico das ações de revisão dos logs SFS.
• As ações SFS agora registram histórico administrativo:
  • denunciar;
  • bloquear;
  • denunciar e bloquear;
  • permitir;
  • limpar revisão.
• A auditoria armazena o log relacionado, ação executada, status anterior, novo status, ação local anterior, nova ação local, administrador responsável, data/hora e nota interna preparada para uso futuro.
• Adicionada configuração antispamguard_sfs_log_preserve_reviewed.
• Adicionada opção no ACP para preservar logs SFS revisados durante a limpeza.
• A limpeza manual e o cron SFS agora podem preservar logs revisados e logs já denunciados com sucesso ao StopForumSpam.
• Atualizados README, changelogs, traduções e scripts de remoção em contrib.

Versão 3.3.32

• Adicionado campo de busca nos logs SFS por IP, email ou nome de usuário.
• O filtro de busca foi integrado nas áreas do ACP onde os logs SFS são exibidos.
• A paginação agora preserva o filtro de busca aplicado.
• A exportação CSV dos logs SFS agora respeita o filtro de busca.
• Adicionados contadores de revisão SFS no ACP:
  • pendentes;
  • denunciados;
  • bloqueados localmente;
  • denunciados e bloqueados;
  • permitidos;
  • total.
• Adicionado índice auxiliar sfs_ip_created_idx para melhorar consultas por IP e data.
• Atualizados README, changelogs, traduções e documentação técnica.

Versão 3.3.31

• Adicionado botão individual para limpar revisão em logs SFS.
• Adicionada ação em massa para limpar revisão dos logs selecionados.
• Os botões de ação em massa agora ficam desabilitados até que pelo menos uma linha seja selecionada.
• As confirmações das ações em massa agora mostram a quantidade de registros selecionados.
• O bloqueio de IP agora evita duplicar IPs que já estão na blacklist local.
• Quando o IP já estava bloqueado, o log ainda é marcado como bloqueado localmente.
• O resumo das ações de moderação agora separa:
  • denunciados;
  • novos bloqueios;
  • IPs já bloqueados;
  • permitidos;
  • revisões limpas;
  • ignorados;
  • falhas.
• Atualizados README, changelogs, traduções e documentação técnica.

Versão 3.3.30

• Adicionada coluna física action_mode na tabela de logs SFS.
• Adicionado backfill automático de action_mode a partir de details_json._decision.action_mode.
• Adicionados índices para melhorar performance:
  • action_created_idx;
  • blocked_action_created_idx.
• O filtro SFS por ação agora usa a coluna física action_mode, evitando varredura em PHP sobre details_json.
• A exportação CSV SFS também passa a usar o campo físico action_mode.
• Adicionado timeout para debug SFS.
• Adicionada configuração antispamguard_sfs_debug_until.
• O debug SFS agora pode expirar automaticamente após:
  • 10 minutos;
  • 30 minutos;
  • 1 hora;
  • 24 horas.
• Adicionada opção para aplicar a heurística Random Gmail também no registro.
• Adicionada configuração antispamguard_random_gmail_register_enabled.
• A heurística Random Gmail no registro fica desativada por padrão para reduzir falsos positivos.
• Atualizados README, changelogs, traduções e documentação técnica.

Versão 3.3.29

• Adicionadas ações de moderação diretamente nos logs SFS do ACP.
• Adicionado botão por linha para denunciar ao StopForumSpam.
• Adicionado botão por linha para bloquear IP localmente.
• Adicionado botão por linha para permitir/marcar como revisado.
• Adicionadas caixas de seleção por linha nos logs SFS.
• Adicionadas ações em massa:
  • denunciar selecionados;
  • bloquear IPs selecionados;
  • denunciar e bloquear selecionados;
  • permitir selecionados.
• Adicionado limite interno de 50 registros por ação em massa.
• Adicionadas colunas de revisão em antispamguard_sfs_log:
  • review_status;
  • reviewed_at;
  • reviewed_by;
  • local_action.
• Adicionados índices:
  • review_status_idx;
  • local_action_idx;
  • blocked_created_idx.
• Adicionado destaque visual das linhas conforme o estado:
  • denunciado;
  • bloqueado localmente;
  • denunciado e bloqueado;
  • permitido.
• Adicionada proteção contra denúncia duplicada quando já existe envio SFS com status de sucesso.
• Movido o JavaScript de seleção em massa para um único bloco no final do template.
• Adicionado filtro por status de revisão SFS:
  • todos;
  • pendente;
  • denunciado;
  • bloqueado localmente;
  • denunciado e bloqueado;
  • permitido.
• A exportação CSV dos logs SFS agora inclui:
  • review_status;
  • reviewed_at;
  • reviewed_by;
  • local_action.
• Atualizados README, changelogs, traduções e documentação técnica.

Versão 3.3.28

• Melhorias internas relacionadas aos logs SFS e preparação para moderação administrativa.
• Ajustes de documentação e organização para evolução dos recursos de logs, exportação e revisão.
• Correções menores e refinamentos de compatibilidade.

Versão 3.3.27

• Base anterior da série 3.3.x antes das melhorias avançadas de moderação SFS.
• Mantida como ponto de referência para upgrades até a versão 3.3.35.
• As versões posteriores adicionam melhorias progressivas em performance, moderação, auditoria, retenção e investigação dos logs SFS.