stop-spammer-registrations.php wordpress plugin fix

 

 

 

if (function_exists('bbpress')) {

        add_action('bbp_loaded','kpg_load_all_checks',99); // try hooking into bbpress loaded

} else {

        add_action('init','kpg_load_all_checks'); // loads up normally

function kpg_load_all_checks() {

        // check the Post to see if we load the checks. This is for the validattions only

        if (function_exists('is_user_logged_in')) { // no available in bbpress

                if(is_user_logged_in()) {

                        return;

                }

        }

        // get a session to set the timer

        if (!session_id()) {

                session_start();

        }

        kpg_load_all_checks_no_post();

 

        if(!isset($_POST)) { // no post defined

                $_SESSION['kpg_stop_spammers_time']=time();

                return;

        }

        if (empty($_POST)) { // no post sent

                $_SESSION['kpg_stop_spammers_time']=time();

                return;

        }

        // I am using a plugin with your-email, your-name fields - might as well test them, too.

        if (!array_key_exists('akismet_comment_nonce',$_POST) &&

                !array_key_exists('bbp_anonymous_email',$_POST) &&

                !array_key_exists('email',$_POST) &&

                !array_key_exists('user_email',$_POST) &&

                !array_key_exists('signup_email',$_POST) &&

                !array_key_exists('signup_username',$_POST) && 

                !array_key_exists('user_login',$_POST) &&

                !array_key_exists('author',$_POST) &&

                !array_key_exists('your-name',$_POST) &&

                !array_key_exists('your-email',$_POST) &&

                !array_key_exists('log',$_POST) &&

                !array_key_exists('psw',$_POST) &&

                !array_key_exists('user_name',$_POST)  )

        {

        //

                // none of the required comment or login fields

                $_SESSION['kpg_stop_spammers_time']=time();

                // since we are not int a post we can call the inits for the non-post items

                return;

        }

        // here we can check to see if the posted data is correct

       

        // get the email author and ip

        $em='';

        if (array_key_exists('email',$_POST)) {

                $em=$_POST['email'];

        } else if (array_key_exists('user_email',$_POST)) {

                $em=$_POST['user_email'];

        } else if (array_key_exists('signup_email',$_POST)) {

                $em=$_POST['signup_email'];

        } else if (array_key_exists('bbp_anonymous_email',$_POST)) {

                $em=$_POST['bbp_anonymous_email'];

        }

        //echo "\r\n<!--\r\n step 3 \r\n-->\r\n";

       

        if (strpos($em,'@')===false) { // not an email, but a username (or some other crap)

                $em='';

        }

        // see if they have an author or username

        $author='';

        $bauthor='';

        if (array_key_exists('author',$_POST)) {

                $author=$_POST['author'];

        } else if (array_key_exists('user_name',$_POST)) {

                $author=$_POST['user_name'];

        } else if (array_key_exists('signup_username',$_POST)) {

                $author=$_POST['signup_username'];

        } else if (array_key_exists('your_name',$_POST)) {

                $author=$_POST['your_name'];

        } else if (array_key_exists('user_login',$_POST)) {

                $author=$_POST['user_login'];

        } else if (array_key_exists('log',$_POST)) {

                $author=$_POST['log'];

                if (array_key_exists('pwd',$_POST)) {

                        $bauthor=$author.'/'.$_POST['pwd'];

                }

        }

        //echo "\r\n<!--\r\n step 4 \r\n-->\r\n";

        // get the ip

        $ip=$_SERVER['REMOTE_ADDR'];

        $ip=check_forwarded_ip($ip);

       

        //  this is called once in "init" no need to call it ever again

        sfs_errorsonoff();

    $ansa=kpg_sfs_check($em,$author,$ip,$bauthor);

        sfs_errorsonoff('off');

        $_SESSION['kpg_stop_spammers_time']=time();

       

        return;

function kpg_load_all_checks_no_post() {

        add_action( 'template_redirect', 'kpg_sfs_check_404s' ); // check if bogus search for wp-login

        // optional checks

        $options=kpg_sp_get_options();

        if (array_key_exists('chkwpmail',$options)&&$options['chkwpmail']=='Y'){

                add_filter('wp_mail','kpg_sfs_reg_check_send_mail');

        }

        if (array_key_exists('redherring',$options)&&$options['redherring']=='Y') {

                add_action('comment_form_before','kpg_sfs_red_herring_comment'); // moved to comment form before

                add_filter('login_message','kpg_sfs_red_herring_login');       

                add_filter('before_signup_form','kpg_sfs_red_herring_signup');

        }

        if (array_key_exists('chkjscript',$options)&&$options['chkjscript']=='Y') {

                add_action('comment_form_before_fields','kpg_sfs_javascript');

        }

        return;

 

 

function load_sfs_mu() {

        if (function_exists('is_multisite') && is_multisite() && !function_exists('kpg_ssp_global_setup')) {

                // install the global hooks to globalize the options

                $muswitch='Y';

                global $blog_id;

                // check blog 1 for the main copy of options

                switch_to_blog(1);

                $ansa=get_option('kpg_stop_sp_reg_options');

                restore_current_blog();

                if (empty($ansa)) $ansa=array();

                if (!is_array($ansa)) $ansa=array();

                if (array_key_exists('muswitch',$ansa)) $muswitch=$ansa['muswitch'];

                if ($muswitch!='N') $muswitch='Y';

                if ($muswitch=='Y') { // if it is true then the global options need to be installed.

                        load_sfs_mu_options_file();

                        kpg_ssp_global_setup();

                }

        }

function load_sfs_mu_options_file() {

        sfs_errorsonoff();

        include_once('includes/sfr-mu-options.php');

        sfs_errorsonoff('off');

function kpg_sfs_red_herring_comment($query) {

        remove_action('comment_form_before','kpg_sfs_red_herring_comment');

    if (is_feed()) return $query;

        $sname=kpg_sfs_get_SCRIPT_URI();

        if (empty($sname)) return;

        if (strpos($sname,'/feed')) return $query;

   $rhnonce=wp_create_nonce('kpgstopspam_redherring');

<div style="position:absolute;width:1px;height:1px;left:-1000px;top:-1000px;overflow:hidden;display:none;">

<br/>

<br/>

<br/>

<form action="<?php echo site_url( '/wp-comments-post.php' ); ?>" method="post" id="commentform">

<p><input name="author" id="author" value="" size="22"  aria-required="true" type="text">

<label for="author"><small>Name (required)</small></label></p>

 

<p><input name="email" id="email" value="" size="22"  aria-required="true" type="text">

<label for="email"><small>Mail (will not be published) (required)</small></label></p>

 

<p><input name="url" id="url" value="" size="22" type="text">

<label for="url"><small>Website</small></label></p>

<p><textarea name="comment" id="comment" cols="58" rows="10" ></textarea></p>

<p><input name="submit" id="submit" value="Submit Comment" type="submit">

<input name="comment_post_ID" value="<?php echo get_the_ID();?>" id="comment_post_ID" type="hidden">

<input name="comment_parent" id="comment_parent" value="0" type="hidden">

</p>

<p style="display: none;"><input id="akismet_comment_nonce" name="akismet_comment_nonce" value="<?php echo $rhnonce;?>" type="hidden"></p>

</form>

</div>

        return $query;

 

 

function kpg_sfs_red_herring_signup() {

        remove_filter('before_signup_form','kpg_sfs_red_herring_signup');        

        $rhnonce=wp_create_nonce('kpgstopspam_redherring');

        // put a bugus signup form with the akismet nonce - maybe doesn't work but it might

        $errors = new WP_Error();

<div style="position:absolute;width:1px;height:1px;left:-1000px;top:-1000px;overflow:hidden;">

<br/>

<br/>

<br/>

<form id="setupform" method="post" action="wp-signup.php">

 

                <input type="hidden" name="stage" value="validate-user-signup" />

                <?php do_action( 'signup_hidden_fields' ); ?>

<p style="display: none;"><input id="akismet_comment_nonce" name="akismet_comment_nonce" value="<?php echo $rhnonce;?>" type="hidden"></p>             

                <?php show_user_form('', '', $errors); ?>

                <p>

                                        <input id="signupblog" type="radio" name="signup_for" value="blog"  checked='checked' />

                        <label class="checkbox" for="signupblog">Gimme a site!</label>

                        <br />

                        <input id="signupuser" type="radio" name="signup_for" value="user"  />

                        <label class="checkbox" for="signupuser">Just a username, please.</label>

                                </p>

 

                <p class="submit"><input type="submit" name="submit" class="submit" value="Next" /></p>

</form>

</div>

 

        return;

} // end if red herring signup

function kpg_sfs_javascript() {

        //echo "\r\n\r\n<!-- Made it to comment_form_before_fields -->\r\n\r\n";

        remove_filter('comment_form_before_fields','kpg_sfs_javascript');        

        $jsnonce=wp_create_nonce('kpgstopspam_javascript');

        $badjsnonce=wp_create_nonce('kpgstopspam_javascript_bad');

<p style="display: none;">

<input id="kpg_jscript" name="kpg_jscript" value="<?php echo $badjsnonce;?>" type="hidden">

</p>

<script type="text/javascript" >

        var kpg_jscript_id=document.getElementById('kpg_jscript');

        kpg_jscript_id.value='<?php echo $jsnonce;?>';

</script>

 

function kpg_sfs_red_herring_login($message) {

        remove_filter('login_message','kpg_sfs_red_herring_login');    

   $rhnonce=wp_create_nonce('kpgstopspam_redherring');

<div style="position:absolute;width:1px;height:1px;left:-1000px;top:-1000px;overflow:hidden;">

<br/>

<br/>

<br/>

 

 

<form name="loginform" id="loginform" action="<?php echo esc_url( site_url( 'wp-login.php', 'login_post' ) ); ?>?redir=<?php echo $rhnonce; ?>" method="post">

        <p>

                <label for="user_login">User Name<br />

                <input type="text" name="log"  value="" size="20"  /></label>

        </p>

        <p>

                <label for="user_pass">Password<br />

                <input type="password" name="pwd"  value="" size="20"  /></label>

        </p>

<?php do_action('login_form'); ?>

        <p class="forgetmenot"><label for="rememberme"><input name="rememberme" type="checkbox" checked="checked"  value="<?php echo $rhnonce; ?>"  />Remember Me</label></p>

        <p class="submit">

                <input type="submit" name="wp-submit"  value="Log In"  />

                <input type="hidden" name="testcookie" value="1" />

        </p>

        <input id="akismet_comment_nonce" name="akismet_comment_nonce" value="<?php echo $rhnonce;?>" type="hidden">

</form>

 

 

 

</div>

        return $message;

 

 

function kpg_sfs_reg_check_send_mail($stuff) {

        if(is_user_logged_in()) {

                return $stuff;

        }

        $email='';

        $header=array();

        if (is_array($stuff)&&array_key_exists('header',$stuff)) $header=$stuff['header'];

        if (is_array($header)&&array_key_exists('from',$stuff)) $email=$stuff['from'];

        $from_name='';

        $from_email=$email;

        if ( strpos($email, '<' ) !== false ) {

                $from_name = substr( $email, 0, strpos( $email, '<' ) - 1 );

                $from_name = str_replace( '"', '', $from_name );

                $from_name = trim( $from_name );

                $from_email = substr( $email, strpos( $email, '<' ) + 1 );

                $from_email = str_replace( '>', '', $from_email );

                $from_email = trim( $from_email );

        }

        // get the ip

        $ip=$_SERVER['REMOTE_ADDR'];

        $ip=check_forwarded_ip($ip);

        // now call the generic checker

        sfs_errorsonoff();

    kpg_sfs_check($from_email,$from_name,$ip);

        sfs_errorsonoff('off');

        return $stuff;

 

function kpg_sfs_get_SCRIPT_URI() {

        $sname='';

        if (array_key_exists("SCRIPT_URI",$_SERVER)) {

                $sname=$_SERVER["SCRIPT_URI"]; 

        }

        if (empty($sname)) {

                $sname=$_SERVER["REQUEST_URI"];

        }

        return $sname;

 

function kpg_sfs_check_404s() {

        sfs_errorsonoff();

    kpg_sfs_check_404();

        sfs_errorsonoff('off');

    return;

function kpg_sfs_check_404() {

        // fix request_uri on IIS

        if (!isset($_SERVER['REQUEST_URI'])) {

                $_SERVER['REQUEST_URI'] = substr($_SERVER['PHP_SELF'],1 );

                if (isset($_SERVER['QUERY_STRING'])) {

                        $_SERVER['REQUEST_URI'].='?'.$_SERVER['QUERY_STRING'];

                }

        }      

        if (!array_key_exists('SCRIPT_URI',$_SERVER)) {

                $sname=$_SERVER["REQUEST_URI"];

                if (strpos($sname,'?')!==false) $sname=substr($sname,0,strpos($sname,'?'));

                $_SERVER['SCRIPT_URI']=$sname;

        }

        if (!is_404()) return;

        remove_action('template_redirect', 'kpg_sfs_check_404s');

        $plink = $_SERVER['REQUEST_URI'];

        if (strpos($plink,'?')!==false)  $plink=substr($plink,0,strpos($plink,'?'));

        if (strpos($plink,'#')!==false)  $plink=substr($plink,0,strpos($plink,'#'));

        $plink=basename($plink);

        if (strpos($plink."\t","wp-signup.php\t")===false

                && strpos($plink."\t","wp-register.php\t")===false // where is this?

                && strpos($plink."\t","wp-comments-post.php\t")===false

                && strpos($plink."\t","xmlrpc.php\t")===false) {

                        return;

        }

 

       

        // check to see if we should even be here

        $options=kpg_sp_get_options();

        if (!array_key_exists('chkwplogin',$options) || $options['chkwplogin']!='Y') return;   

       

        $ip=$_SERVER['REMOTE_ADDR'];

        $ip=check_forwarded_ip($ip);

    // check the white lists to prevent accidental blockage

        $wlist=$options['wlist'];

        if ((kpg_sp_searchi($ip,$wlist))) {

                return;

        }

       

       

        $stats=kpg_sp_get_stats();

 

        // have a bogus hit on a login or signup

        // register the bad ip

        $now=date('Y/m/d H:i:s',time() + ( get_option( 'gmt_offset' ) * 3600 ));

        $badips=$stats['badips'];

        if (!empty($ip)) $badips[$ip]=$now;

        asort($badips);

        $stats['badips']=$badips;

        // put into the history list

        $blog='';

        if (function_exists('is_multisite') && is_multisite()) {

                global $blog_id;

                if (!isset($blog_id)||$blog_id!=1) {

                        $blog=$blog_id;

                }

        }

        $hist=$stats['hist'];

        $hist[$now]=array($ip,'-','-',$plink,"404 on $plink, added to reject cache.",$blog);

        $hist[$now][4]="404 on $plink, added to reject cache.";

        $stats['hist']=$hist;

    update_option('kpg_stop_sp_reg_stats',$stats);

    return;

 

 

register_activation_hook( __FILE__, 'kpg_sfs_check_admin' );

$sfs_check_activation=substr(md5(uniqid(rand(), true)), 16, 16);

function kpg_sfs_check_admin() {

        global $sfs_check_activation;

        // this confirms that the the current user is able to login

        // it refuses to install the plugin if the user fails spam tests

        $ip=$_SERVER['REMOTE_ADDR'];

        $ip=check_forwarded_ip($ip);

        //echo "Checking IP address for spam conflicts<br/>";

        $sfs_check_activation=substr(md5(uniqid(rand(), true)), 16, 16);

        if (kpg_sfs_check($sfs_check_activation,'Activation test',$ip)===false) {

                // break the installation

                echo "<br/>Your current configuration reports that you will be denied access as a spammer.<br/>

                die();

        }

        $options=kpg_sp_get_options();

        kpg_sfs_reg_add_user_to_whitelist($options);

 

}      

 

 

function kpg_sfs_check($email='',$author='',$ip,$bauthor='') {

    global $sfs_check_activation;

    $sname=$_SERVER["REQUEST_URI"];    

        if (empty($sname)) {

                $sname=$_SERVER["SCRIPT_NAME"];

        }

        if (empty($sname)) {

                $sname=' none? ';

        }

 

        $now=date('Y/m/d H:i:s',time() + ( get_option( 'gmt_offset' ) * 3600 ));

        $options=kpg_sp_get_options();

        extract($options);

        $stats=kpg_sp_get_stats();

        extract($stats);

 

        if ($email!=$sfs_check_activation) {

                if ($chkcomments!='Y') {

                        if (strpos($sname,'wp-comments-post.php')!==false) return $email;

                }

                if ($chklogin!='Y') {

                        if (strpos($sname,'wp-login.php')!==false) return $email;

                }

                if ($chksignup!='Y') {

                        if (strpos($sname,'wp-signup.php')!==false) return $email;

                }

                if ($chkxmlrpc!='Y') {

                        if (strpos($sname,'xmlrpc.php')!==false) return $email;

                }

    }

       

       

        // clean up cache and history  

        while (count($badips)>$kpg_sp_cache) array_shift($badips);

        while (count($badems)>$kpg_sp_cache) array_shift($badems);

        while (count($goodips)>2) array_shift($goodips);

        //$goodips=array(); // limiting good ips to just a few

        while (count($hist)>$kpg_sp_hist) array_shift($hist);

        $stats['badips']=$badips;

        $stats['badems']=$badems;

        $stats['goodips']=$goodips;

        $stats['hist']=$hist;

    $sname=$_SERVER["REQUEST_URI"];    

        if (empty($sname)) {

                $sname=$_SERVER["SCRIPT_NAME"];

        }

        if (empty($sname)) {

                $sname=' none? ';

        }

        $blog='';

        if (function_exists('is_multisite') && is_multisite()) {

                global $blog_id;

                if (!isset($blog_id)||$blog_id!=1) {

                        $blog=$blog_id;

                }

        }

        $em=$email;

        if ($email!=$sfs_check_activation) {

                $email=trim($email);

                $email=strip_tags($email);

 

                // cleanup the input that is breaking the serialize functions here (I hope)

                $em=sanitize_email(strip_tags($email));

                $em=sanitize_text_field($em);

                $em=remove_accents($em);

                $em=utf8_decode($em);

                $em=really_clean($em);

        }

        $author=sanitize_text_field($author);

        $author=remove_accents($author);

        $author=utf8_decode($author);

        $author=really_clean($author);

        $whodunnit='';

        // think of other things that might kill the serialize functions

        if (strlen($author)>80) $author=substr($author,0,77).'...';

        if (strlen($em)>80) $em=substr($em,0,80).'...';

        // set up hist channel

        $hist[$now]=array($ip,mysql_real_escape_string($em),mysql_real_escape_string($author),$sname,'begin',$blog);

        //$accept_head=false;

        //if (array_key_exists('HTTP_ACCEPT',$_SERVER)) $accept_head=true; // real browsers send HTTP_ACCEPT

        // first check the ip address

       

        // check all of the ones that do not require file access

        $deny=false;

        // testing area goes here before other checks including white list

        // move this down past the white lists after testing is done

       

        // first check white lists

 

        // paypal is whitelisted

        if ($email!=$sfs_check_activation) {

                if (!$deny&&kpg_sp_checkPayPal($ip)){

                        $hist[$now][4]='White List PayPal';

                        $stats['hist']=$hist;

                        $cntwhite++;

                        $stats['cntwhite']=$cntwhite;

                        update_option('kpg_stop_sp_reg_stats',$stats);

                        return $email;

                }

                if (!$deny&&(kpg_sp_searchi($ip,$wlist))) {

                        $hist[$now][4]='White List IP';

                        $stats['hist']=$hist;

                        $cntwhite++;

                        $stats['cntwhite']=$cntwhite;

                        update_option('kpg_stop_sp_reg_stats',$stats);

                        return $email;

                }

                if (!$deny&&!empty($em)&&kpg_sp_searchi($em,$wlist)) {

                        $hist[$now][4]='White List EMAIL';

                        $stats['hist']=$hist;

                        $cntwhite++;

                        $stats['cntwhite']=$cntwhite;

                        update_option('kpg_stop_sp_reg_stats',$stats);

                        return $email;

                }

        // check to see if the ip is in the goodips cache

       

                if (!$deny&&kpg_sp_searchKi($ip,$goodips)) {

                        $hist[$now][4]='Cached good ip';

                        $stats['hist']=$hist;

                        $cntgood++;

                        $stats['cntgood']=$cntgood;

                        update_option('kpg_stop_sp_reg_stats',$stats);

                        return $email;

                }

        }

        // not white listed, now try the simple rejects that don't require remote access.

 

        // begin by checking the caches for bad ips. Do this before the regular checks

        // this way only the first appearance of a bad actor is recorded by type

 

        if (!$deny&&kpg_sp_searchKi($ip,$badips)) {

                $whodunnit.='Cached bad ip';

                $deny=true;

                $cntcacheip++;

        }

        if (!$deny && kpg_sp_searchi($ip,$blist)) {

            $whodunnit.='Black List IP';

                $deny=true;

                $cntblip++;

        }

       

       

        // check to see if they are coming in from the comment form and a post

        if (!$deny&&$chksession!='N') {

                if (!defined("WP_CACHE")||(!WP_CACHE)) { // checking the cache does not work id caching

                        // we are in a comment - we need to check the transient variable

                        // only works for comments - not doing logins because I can login in under a second

                        // modify this so only login is excluded. If we are this far then we need to

                        // check the POST

                        //if (strpos($sname,'wp-comments-post.php')!==false

                                // can't include login.php because in firefox its filled in and I just press the button.

                                //||strpos($sname,'wp-login.php')!==false

                        //      ||strpos($sname,'signup.php')!==false

                        //)

                        if (strpos($sname,'wp-login.php')===false) {

                                if (isset($_SESSION['kpg_stop_spammers_time'])) {

                                        $stime=$_SESSION['kpg_stop_spammers_time'];

                                        $tm=time()-$stime;

                                        if ($tm>0&&$tm<5) { // zero seconds is wrong, too. it means that session was set somewhere.

                                                // takes longer than 4 seconds to really type a comment

                                                $whodunnit.="Too Quick ($tm)";

                                                $deny=true;

                                                $cntsession++;

                                        } else {

                                                $whodunnit.="($tm) "; // to follow timing

                                        }

                                }

                        }

                }

        }

       

        // check to see if it is coming from the red herring form

        $nonce='';

        if (!$deny&&array_key_exists('akismet_comment_nonce',$_POST)) {

                $nonce=$_POST['akismet_comment_nonce'];

                if (!empty($nonce)&&kpg_verify_nonce($nonce,'kpgstopspam_redherring')) {

                                $whodunnit.='Red Herring';

                                $deny=true;

                                $cntrh++;

                }

        }

        if (!$deny&&array_key_exists('rememberme',$_POST)) {

                $nonce=$_POST['rememberme'];

                if (!empty($nonce)&&kpg_verify_nonce($nonce,'kpgstopspam_redherring')) {

                                $whodunnit.='Red Herring';

                                $deny=true;

                                $cntrh++;

                }

        }

        if (!$deny&&!empty($_GET)&&array_key_exists('redir',$_GET)) {

                $nonce=$_GET['redir'];

                if (!empty($nonce)&&kpg_verify_nonce($nonce,'kpgstopspam_redherring')) {

                                $whodunnit.='Red Herring';

                                $deny=true;

                                $cntrh++;

                }

        }

        // chkjscript

        if (!$deny&&array_key_exists('kpg_jscript',$_POST)) {

                $nonce=$_POST['kpg_jscript'];

                if (!empty($nonce)&&kpg_verify_nonce($nonce,'kpgstopspam_javascript_bad')) {

                                $whodunnit.='JavaScript Trap';

                                $cntjscript++;

                                $deny=true;

                }

        }

        $ref='';

        if (array_key_exists('HTTP_REFERER',$_SERVER)) {

                $ref=$_SERVER['HTTP_REFERER'];

        }

        $ua='';

        if (array_key_exists('HTTP_USER_AGENT',$_SERVER)) {

                $ua=$_SERVER['HTTP_USER_AGENT'];

        }

       

       

       

        // try checking to see if there is a referrer

        if (!$deny&&$chkreferer=='Y') {

                // someone is sending a post. Therefore the referer must be from our site.

                // apple safari on the iphone does not send the referrer so we need to ignore this.

                if (strpos(strtolower($ua),'iphone')===false&&strpos(strtolower($ua),'ipad')===false) {

                        // require the referer

                        // check to see if our domain is found in the referer

                        $host=$_SERVER['HTTP_HOST'];

                        if (empty($ref)||strpos($ref,$host)===false) {

                                // bad referer

                                $whodunnit.="http referer";

                                $deny=true;

                                $cntreferer++;

                        }

                }

        }

       

        if (!$deny && $chkagent=='Y') {

                if (!array_key_exists('HTTP_USER_AGENT',$_SERVER)) {

                        $whodunnit.='Missing User Agent';

                        $deny=true;

                }

                if (!$deny) {

                        $bua=kpg_check_bad_agents();

                        if ($bua!==false) {

                                $deny=true;

                                $whodunnit.='Blacklist User agent:'.$bua;

                                $cntagent++;

                        }

                }

        }

                       

        if (!$deny && !empty($badTLDs)) {

                // check the ending to see if the tld should be banned

                if (kpg_sp_searchL($em,$badTLDs)) {

                        $whodunnit.='Bad TLD';

                        $deny=true;

                        $cnttld++;

                }

        }

 

        // These are the simple email checks

        if (!empty($em)) {

                if (!$deny && kpg_sp_searchi($em,$blist)) {

                        $whodunnit.='Black List EMAIL';

                        $deny=true;

                        $cntblem++;

                }

                if (!$deny) {

                        $emdomain=explode('@',$em);

                        if (count($emdomain)==2&&kpg_sp_searchi($em[1],$baddomains)) {

                                $whodunnit.='Blocked Domain';

                                $deny=true;

                                $cntemdom++;

                        }

                }

                if (!$deny && array_key_exists($em,$badems)) {

                        $deny=true;

                        $whodunnit.='Cached bad email';

                        $cntcacheem++;

                }

                if (!$deny && $chklong=='Y' && strlen($em)>64) {

                        $deny=true;

                        $whodunnit.='email too long';

                        $cntlong++;

                }

                if (!$deny && $chklong=='Y' && strlen($em)<7) {

                        $deny=true;

                        $whodunnit.='email too short';

                        $cntlong++;

                }

                if (!$deny && $chkdisp=='Y') {

                        $ansa=kpg_check_disp($em);

                        if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.='Disposable em:'.$em;

                                $cntdisp++;

                        }

                }

                if (!$deny && $chkspamwords=='Y') {

                        $ansa=kpg_check_spamwords($em,$spamwords);

                        if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.='Email Spamwords:'.$ansa;

                                $cntspamwords++;

                        }

                }

        }

        // check the author field

    // getting a lot of huge author names

        if (!empty($author)) {

                if (!$deny && $chklong=='Y' && strlen($author)>64) {

                                $whodunnit.='long author name '.strlen($author);

                                $deny=true;

                                $cntlongauth++;

                }

                if (!$deny && $chkspamwords=='Y') {

                        $ansa=kpg_check_spamwords($author,$spamwords);

                        if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.='Author Spamwords:'.$ansa;

                                $cntspamwords++;

                        }

                }

        }

        $accept_head=false;

        if (array_key_exists('HTTP_ACCEPT',$_SERVER)) $accept_head=true; // real browsers send HTTP_ACCEPT

        if (!$deny&&$accept=='Y'&&!$accept_head) {

                // no accept header - real browsers send the HTTP_ACCEPT header

                $whodunnit.='No Accept header;';

                $deny=true;

                $cntaccept++;

        }

        // Ubiquity servers rent their servers to spammers and should be blocked

        if (!$deny&&$chkubiquity=='Y') {

                $ansa=kpg_check_ubiquity($ip);

                if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.=$ansa;

                                $cntubiquity++;

                }

        }

        // try akismet

        if (!$deny&&$chkakismet=='Y'&&(strpos($sname,'login.php')!==false||strpos($sname,'register.php')!==false||strpos($sname,'signup.php')!==false)) {

                $ansa=kpg_akismet_check($ip);

                if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.='Akismet';

                                $cntakismet++;

                }

        }

        // here is the database lookups section. Simple checks did not work. We need to do a lookup

        if (!$deny && $chksfs=='Y' ) {

                $query="http://www.stopforumspam.com/api?ip=$ip";

                if ($chkemail=='Y'&&!empty($em)) {

                        $query=$query."&email=$em";

                }

                $check='';

                $check=kpg_sfs_reg_getafile($query);

                if (!empty($check)) {

                        if (substr($check,0,4)=="ERR:") {

                                $whodunnit.=$check.', ';

                        }

                        $lastseen='';

                        $frequency='';

                        $n=strpos($check,'<appears>yes</appears>');

                        if ($n!==false) {

                            if (strpos($check,'<lastseen>',$n)!==false) {

                                        $k=strpos($check,'<lastseen>',$n);

                                        $k+=10;

                                        $j=strpos($check,'</lastseen>',$k);

                                        $lastseen=date('Y-m-d',time() + ( get_option( 'gmt_offset' ) * 3600 ));

                                        if (($j-$k)>12&&($j-$k)<24) $lastseen=substr($check,$k,$j-$k); // should be about 20 characters

                                        if (strpos($lastseen,' ')) $lastseen=substr($lastseen,0,strpos($lastseen,' ')); // trim out the time to save room.

                                        if (strpos($check,'<frequency>',$n)!==false) {

                                                $k=strpos($check,'<frequency>',$n);

                                                $k+=11;

                                                $j=strpos($check,'</frequency',$k);

                                                $frequency='9999';                     

                                                if (($j-$k)&&($j-$k)<7) $frequency=substr($check,$k,$j-$k); // should be a number greater than 0 and probably no more than a few thousand.

                                        }

                                }

 

                                // have freqency and lastseen date - make these options in next release

                                // check freq and age

                                if (!empty($frequency) && !empty($lastseen) && ($frequency!=255) && ($frequency>=$sfsfreq) && (strtotime($lastseen)>(time()-(60*60*24*$sfsage))) )   {

                                //if ( ($frequency>=$sfsfreq) && (strtotime($lastseen)>(time()-(60*60*24*$sfsage))) )   {

                                // frequency we got from the db, sfsfreq is the min we'll accept (default 0)

                                // sfsage is the age in days. we get lastscene from

                                        $deny=true;

                                        $whodunnit.="SFS, $lastseen, $frequency";

                                        $cntsfs++;

                                }

                        }

                }

                //$whodunnit.="Passed SFS, $query $check";

        }

       

        // testing the DNSBL sites for a bad ip. This is useful for email spammers, but I do not know if

        // email spammers are the same as comment spammers.

        if (!$deny&&$chkdnsbl=='Y') {

                $ansa=@kpg_check_all_dnsbl($ip);

                if ($ansa!==false) {

                                $deny=true;

                                $whodunnit.=$ansa;

                                $cntdnsbl++;

                }

        }

 

        if (!$deny&&$honeyapi!='') {

                // do a further check on project honeypot here

                $lookup = $honeyapi . '.' . implode('.', array_reverse(explode ('.', $ip ))) . '.dnsbl.httpbl.org';

                $result = explode( '.', @gethostbyname($lookup));

                if (count($result)>2) {

                        if ($result[0] == 127) {

                                // query successful

                                // 127 is a good lookup

                                //  [3] = type of threat - we are only interested in comment spam at this point - if user demand I will change.

                                // [2] is the threat level. 25 is recommended

                                // [1] is numbr of days since last report

                                //if ($result[2]>25&&$result[3]==4) { // 4 - comment spam, threat level 25 is average.

                                if ($result[1]<$hnyage&&$result[2]>$hnylevel&&$result[3]>=4) { // 4 - comment spam, threat level 25 is average.

                                        $deny=true;

                                        $whodunnit.='HTTP:bl, '.$result[1].', '.$result[2].', '.$result[3];

                                        $cnthp++;

                                }

                        }

                }

        }

        if (!$deny&&$botscoutapi!='') {

                // try the ip on botscoutapi

            $query="http://botscout.com/test/?ip=$ip&key=$botscoutapi";

                $check='';

                $check=@kpg_sfs_reg_getafile($query);

                if (!empty($check)) {

                        if (substr($check,0,4)=="ERR:") {

                                $whodunnit.=$check.', ';

                        }

                        if(strpos($check,'|')) {

                                $result=explode('|',$check);

                                if (count($result)>2) {

                                        //  Y|IP|3 - found, type, database occurences

                                        if ($result[0]=='Y'&&$result[2]>$botfreq) {

                                                $deny=true;

                                                $whodunnit.='BotScout, '.$result[2];

                                                $cntbotscout++;

                                        }

                                }

                        }

                }

        }

        $hist[$now][4]=$whodunnit;

        if (!$deny) {

                $hist[$now][4].=' passed';

                $goodips[$ip]=$now;

                $stats['hist']=$hist;

                $stats['cntpassed']=$cntpassed+1;

                $stats['goodips']=$goodips; // uncomment to cache good ips.

                update_option('kpg_stop_sp_reg_stats',$stats);

                return;

        }

        $hist[$now][2]=$bauthor;

 

        if ($email!=''&&$email==$sfs_check_activation) {

                // failed activation check

                // report reason

                echo "<br/>Reason code: $whodunnit <br/>

               

                return false;

        }

 

        // update the history files.

        // record the last few guys that have  tried to spam

        // add the bad spammer to the history list

        $spcount++;

        $spmcount++;

        $stats['spcount']=$spcount;

        $stats['spmcount']=$spmcount;

        // Cache the bad guy

        if (!empty($em)) $badems[$em]=$now;

        if (!empty($ip)) $badips[$ip]=$now;

        asort($badips);

        asort($badems);

        while (count($badips)>$kpg_sp_cache) array_shift($badips);

        while (count($badems)>$kpg_sp_cache) array_shift($badems);

        $stats['badips']=$badips;

        $stats['badems']=$badems;

        $stats['hist']=$hist;

        // reason types

                        $stats['cntjscript']=$cntjscript;

                        $stats['cntsfs']=$cntsfs;

                        $stats['cntreferer']=$cntreferer;

                       

                        $stats['cntdisp']=$cntdisp;

                        $stats['cntrh']=$cntrh;

                        $stats['cntdnsbl']=$cntdnsbl;

                       

                        $stats['cntubiquity']=$cntubiquity;

                        $stats['cntakismet']=$cntakismet;

                        $stats['cntspamwords']=$cntspamwords;

                       

                        $stats['cntsession']=$cntsession;

                        $stats['cntlong']=$cntlong;

                        $stats['cntagent']=$cntagent;

                       

                        $stats['cnttld']=$cnttld;

                        $stats['cntemdom']=$cntemdom;                  

                        $stats['cntcacheip']=$cntcacheip;

                       

                        $stats['cntcacheem']=$cntcacheem;

                        $stats['cnthp']=$cnthp;

                        $stats['cntbotscout']=$cntbotscout;

                       

                        $stats['cntaccept']=$cntaccept;

                        $stats['cntpassed']=$cntpassed;

                        $stats['cntwhite']=$cntwhite;

                        $stats['cntgood']=$cntgood;

       

        //

        update_option('kpg_stop_sp_reg_stats',$stats);

       

        if ($redir=='Y'&&!empty($redirurl)) {

                sleep(5); // sleep for a few seconds to annoy spammers and maybe delay next hit on stopforumspam.com

                header('HTTP/1.1 307 Moved');

                header('Status: 307 Moved');

                header("location: $redirurl");

                exit();

        }

 

        sleep(5); // sleep for a few seconds to annoy spammers and maybe delay next hit on stopforumspam.com

        // here we do wp_die

        //header('HTTP/1.1 403 Forbidden');

        //echo $rejectmessage;

       

        // add the reason code to the login message

        $rejectmessage=str_replace('[reason]',$whodunnit,$rejectmessage);

        $rejectmessage=str_replace('[ip]',$ip,$rejectmessage);

        wp_die("$rejectmessage","Login Access Denied",array('response' => 403));

        exit();

function check_forwarded_ip($ip) {

        if (substr($ip,0,3)=='10.' ||

                $ip=='127.0.0.1' ||

                substr($ip,0,8)=='192.168.' ||

                (substr($ip,0,7)>='172.16.' && substr($ip,0,7)<='172.31.')

        ) {

                $oldip=$ip;

                // see if there is a forwarded header

                if (function_exists('getallheaders')) {

                        $hlist=getallheaders();

                        // ucase

                        $ip='';

                        foreach ($hlist as $key => $data) {

                                if (substr(strtoupper($key),0,strlen('X-FORWARDED-FOR'))=='X-FORWARDED-FOR') {

                                        // hit on the forwarded ip

                                        if (strpos($data,',')!==false) {

                                                $ips=explode(',',$data);

                                        } else {

                                                $ips=array($data);

                                        }

                                        $ip=trim($ips[count($ips)-1]); // gets the last ip - most likely to be spoofed, perhaps the first ip would be better?

                                        break;

                                }

                        }

                        if (empty($ip)) return $oldip;

                }

        }

        return $ip;

function really_clean($s) {

        // try to get all non 7-bit things out of the string

        if (empty($s)) return $s;

        $ss=array_slice(unpack("c*", "\0".$s), 1);

        if (empty($ss)) return $s;

        $s='';

        for ($j=0;$j<count($ss);$j++) {

                if ($ss[$j]<127&&$ss[$j]>31) $s.=pack('C',$ss[$j]);

        }

        return $s;

function kpg_check_bad_agents() {

        $badagents=array("asterias","Atomic_Email_Hunter","b2w/0.1","BackDoorBot/1.0","Black Hole","BlowFish/1.0","BotALot","BotRightHere","BuiltBotTough","Bullseye/1.0","BunnySlippers","Cegbfeieh","CheeseBot","CherryPicker","CherryPickerElite/1.0","CherryPickerSE/1.0","CopyRightCheck","cosmos","Crescent","Crescent Internet ToolPak HTTP OLE Control v.1.0","discobot","DittoSpyder","DOC","Download Ninja","EmailCollector","EmailSiphon","EmailWolf","EroCrawler","ExtractorPro","Fasterfox","Fetch","Foobot","grub-client","Harvest/1.5","hloader","httplib","HTTrack","humanlinks","ieautodiscovery","InfoNaviRobot","JennyBot","k2spider","Kenjin Spider","Keyword Density/0.9","larbin","LexiBot","libWeb/clsHTTP","libwww","LinkextractorPro","linko","LinkScan/8.1a Unix","LinkWalker","LNSpiderguy","lwp-trivial","lwp-trivial/1.34","Mata Hari","Microsoft.URL.Control","Microsoft URL Control - 5.01.4511","Microsoft URL Control - 6.00.8169","MIIxpc","MIIxpc/4.2","Missigua Locator","Mister PiX","moget","moget/2.1","MSIECrawler","NetAnts","NICErsPRO","NPBot","Offline Explorer","Openfind","Openfind data gathere","ProPowerBot/2.14","ProWebWalker","QueryN Metasearch","RepoMonkey","RepoMonkey Bait & Tackle/v1.01","RMA","sitecheck.Internetseer.com","SiteSnagger","SnapPreviewBot","SpankBot","spanner","suzuran","Szukacz/1.4","Teleport","TeleportPro","Teleport Pro/1.29","Telesoft","TurnitinBot","The Intraformant","TheNomad","TightTwatBot","Titan","toCrawl/UrlDispatcher","True_Robot","True_Robot/1.0","turingos","UbiCrawler","URLy Warning","VCI","VCI WebViewer VCI WebViewer Win32","Web Image Collector","Web Downloader/6.9","WebAuto","WebBandit","WebBandit/3.50","WebCopier","WebCopier v4.0","WebEnhancer","WebmasterWorldForumBot","WebReaper","WebSauger","Website Quester","Webster Pro","WebStripper","WebZip","WebZip/4.0","Wget","Wget/1.5.3","Wget/1.6","WWW-Collector-E","Xenu's","Xenu's Link Sleuth 1.1c","Zao","Zeus","Zeus 32297 Webster Pro V2.9 Win32","ZyBORG","Java/1.");

        $agent=$_SERVER['HTTP_USER_AGENT'];

        if (empty($agent)) return false;

        foreach ($badagents as $a) {

                if (strpos(strtolower($agent),strtolower($a))!==false) {

                        return $a;

                }

        }

        return false;

function kpg_check_spamwords($chk,$spamwords) {

        // list of common spam words form wordpress: http://codex.wordpress.org/Spam_Words

        // these should be safe except for sites selling drugs, porn or gambling

        // there has to be better lists than this somewhere. This is dated and not especially applicable, although safe.

        // if these appear in email address or user id, we don't want them.

        if(empty($spamwords)) return false;

        if(empty($chk)) return false;

        $c=strtolower($chk);

        $c=str_replace(' ','-',$c);

        $c=str_replace('_','-',$c);

        $c=str_replace('.','-',$c);

        foreach ($spamwords as $s) {

                if (strpos($c,$s)!==false) {

                        return $s;

                }

        }

        return false;

 

function kpg_check_disp($em) {

        if (empty($em)) return false;

 

        $disposables=array('0815.ru','0clickemail.com','0wnd.net','0wnd.org','10minutemail.com','1chuan.com','1zhuan.com','20minutemail.com','2prong.com','3d-painting.com','4warding.com','4warding.net','4warding.org','675hosting.com','675hosting.net','675hosting.org','6url.com','75hosting.com','75hosting.net','75hosting.org','9ox.net','a-bc.net','afrobacon.com','ajaxapp.net','amilegit.com','amiri.net','amiriindustries.com','anonbox.net','anonymail.dk','anonymbox.com','antichef.com','antichef.net','antispam.de','baxomale.ht.cx','beefmilk.com','binkmail.com','bio-muesli.net','blogmyway.org','bobmail.info','bodhi.lawlita.com','bofthew.com','brefmail.com','bsnow.net','bugmenot.com','bumpymail.com','buyusedlibrarybooks.org','casualdx.com','centermail.com','centermail.net','chogmail.com','choicemail1.com','cool.fr.nf','correo.blogos.net','cosmorph.com','courriel.fr.nf','courrieltemporaire.com','curryworld.de','cust.in','dacoolest.com','dandikmail.com','deadaddress.com','deadspam.com','despam.it','despammed.com','devnullmail.com','dfgh.net','digitalsanctuary.com','discardmail.com','discardmail.de','disposableaddress.com','disposeamail.com','disposemail.com','dispostable.com','dm.w3internet.co.uk example.com','dodgeit.com','dodgit.com','dodgit.org','dontreg.com','dontsendmespam.de','dotmsg.com','dresssmall.com','dump-email.info','dumpandjunk.com','dumpmail.de','dumpyemail.com','e4ward.com','email60.com','emaildienst.de','emailias.com','emailinfive.com','emailmiser.com','emailtemporario.com.br','emailto.de','emailwarden.com','emailxfer.com','emz.net','enterto.com','ephemail.net','etranquil.com','etranquil.net','etranquil.org','explodemail.com','fakeinbox.com','fakeinformation.com','fakemailz.com','fastacura.com','fastchevy.com','fastchrysler.com','fastkawasaki.com','fastmazda.com','fastmitsubishi.com','fastnissan.com','fastsubaru.com','fastsuzuki.com','fasttoyota.com','fastyamaha.com','filzmail.com','fizmail.com','footard.com','forgetmail.com','frapmail.com','front14.org','fux0ringduh.com','garliclife.com','get1mail.com','getonemail.com','getonemail.net','ghosttexter.de','girlsundertheinfluence.com','gishpuppy.com','gowikibooks.com','gowikicampus.com','gowikicars.com','gowikifilms.com','gowikigames.com','gowikimusic.com','gowikinetwork.com','gowikitravel.com','gowikitv.com','great-host.in','greensloth.com','gsrv.co.uk','guerillamail.biz','guerillamail.com','guerillamail.net','guerillamail.org','guerrillamail.com','guerrillamail.net','guerrillamailblock.com','h8s.org','haltospam.com','hatespam.org','hidemail.de','hotpop.com','ieatspam.eu','ieatspam.info','ihateyoualot.info','iheartspam.org','imails.info','imstations.com','inboxclean.com','inboxclean.org','incognitomail.com','incognitomail.net','ipoo.org','irish2me.com','iwi.net','jetable.com','jetable.fr.nf','jetable.net','jetable.org','jnxjn.com','junk1e.com','kasmail.com','kaspop.com','killmail.com','killmail.net','klassmaster.com','klassmaster.net','klzlk.com','kulturbetrieb.info','kurzepost.de','lifebyfood.com','link2mail.net','litedrop.com','lookugly.com','lopl.co.cc','lortemail.dk','lovemeleaveme.com','lr78.com','maboard.com','mail.by','mail.mezimages.net','mail2rss.org','mail333.com','mail4trash.com','mailbidon.com','mailblocks.com','mailcatch.com','maileater.com','mailexpire.com','mailfreeonline.com','mailin8r.com','mailinater.com','mailinator.com','mailinator.net','mailinator2.com','mailincubator.com','mailme.lv','mailmoat.com','mailnator.com','mailnull.com','mailquack.com','mailshell.com','mailsiphon.com','mailslapping.com','mailzilla.com','mailzilla.org','mbx.cc','mega.zik.dj','meinspamschutz.de','meltmail.com','messagebeamer.de','mierdamail.com','mintemail.com','moncourrier.fr.nf','monemail.fr.nf','monmail.fr.nf','mt2009.com','mx0.wwwnew.eu','mycleaninbox.net','myspaceinc.com','myspaceinc.net','myspaceinc.org','myspacepimpedup.com','myspamless.com','mytrashmail.com','neomailbox.com','nervmich.net','nervtmich.net','netmails.com','netmails.net','netzidiot.de','neverbox.com','no-spam.ws','nobulk.com','noclickemail.com','nogmailspam.info','nomail.xl.cx','nomail2me.com','nospam.ze.tc','nospam4.us','nospamfor.us','nowmymail.com','nurfuerspam.de','objectmail.com','obobbo.com','oneoffemail.com','oneoffmail.com','onewaymail.com','oopi.org','ordinaryamerican.net','ourklips.com','outlawspam.com','owlpic.com','pancakemail.com','pimpedupmyspace.com','poofy.org','pookmail.com','privacy.net','proxymail.eu','punkass.com','putthisinyourspamdatabase.com','quickinbox.com','rcpt.at','recode.me','recursor.net','recyclemail.dk','regbypass.comsafe-mail.net','rejectmail.com','rklips.com','safersignup.de','safetymail.info','sandelf.de','saynotospams.com','selfdestructingmail.com','sendspamhere.com','shiftmail.com','shitmail.me','shortmail.net','sibmail.com','skeefmail.com','slaskpost.se','slopsbox.com','smellfear.com','snakemail.com','sneakemail.com','sofort-mail.de','sogetthis.com','soodonims.com','spam.la','spamavert.com','spambob.com','spambob.net','spambob.org','spambog.com','spambog.de','spambog.ru','spambox.info','spambox.us','spamcannon.com','spamcannon.net','spamcero.com','spamcon.org','spamcorptastic.com','spamcowboy.com','spamcowboy.net','spamcowboy.org','spamday.com','spamex.com','spamfree24.com','spamfree24.de','spamfree24.eu','spamfree24.info','spamfree24.net','spamfree24.org','spamgourmet.com','spamgourmet.net','spamgourmet.org','spamherelots.com','spamhereplease.com','spamhole.com','spamify.com','spaminator.de','spamkill.info','spaml.com','spaml.de','spammotel.com','spamobox.com','spamoff.de','spamslicer.com','spamspot.com','spamthis.co.uk','spamthisplease.com','spamtrail.com','speed.1s.fr','suremail.info','tempalias.com','tempe-mail.com','tempemail.biz','tempemail.com','tempemail.net','tempinbox.co.uk','tempinbox.com','tempomail.fr','temporarily.de','temporaryemail.net','temporaryforwarding.com','temporaryinbox.com','thankyou2010.com','thisisnotmyrealemail.com','throwawayemailaddress.com','tilien.com','tmailinator.com','tradermail.info','trash-amil.com','trash-mail.at','trash-mail.com','trash-mail.de','trash2009.com','trashdevil.com','trashdevil.de','trashmail.at','trashmail.com','trashmail.de','trashmail.me','trashmail.net','trashmail.org','trashmailer.com','trashymail.com','trashymail.net','turual.com','twinmail.de','tyldd.com','uggsrock.com','upliftnow.com','uplipht.com','venompen.com','viditag.com','viewcastmedia.com','viewcastmedia.net','viewcastmedia.org','walala.org','wegwerfadresse.de','wegwerfmail.de','wegwerfmail.net','wegwerfmail.org','wetrainbayarea.com','wetrainbayarea.org','wh4f.org','whopy.com','whyspam.me','wilemail.com','willselfdestruct.com','winemaven.info','wronghead.com','wuzup.net','wuzupmail.net','wwwnew.eu','xagloo.com','xemaps.com','xents.com','xmaily.com','xoxy.net','yep.it','yogamaven.com','yopmail.com','yopmail.fr','yopmail.net','yuurok.com','zippymail.info','zoemail.org');