又粉碎了“荔枝派“败类的一次攻击。 这次是要拖死我们的邮箱系统
先解释一下,这次为何要点名”荔枝派“: 我们有充分的证据可以肯定是“荔枝派“败类所为。之前我们一而再、再而三的息事宁人,希望对方能就此收手。但现在看来,“荔枝派“败类仍然变本加厉的要置我们网站于死地。既然这样,我也不用再给“荔枝派“留什么情面,直接点名了。
当然,我这里说的是【“荔枝派“群里的败类网友】,而不是说“荔枝派“官方。特此强调一下:我们网站与“荔枝派“官方无怨无仇,私下也有沟通。
注: 如果我们网站以后不再受攻击与骚扰,我们会考虑不再提起”荔树派“这个名字。
“荔枝派“败类最近对我们网站的攻击行为:
1. 2020-3-18 向网警举报我们网站。
2. 2020-3-24 起向我们网站不断的发起DDOS攻击。无数次。
3. 2020-4-22 第二次向网警举报我们网站。
4. 2020-6-3 发起了流量带宽高害60G的DDOS攻击。 这是一个非常恐怖的流量,之前只要1G流量攻击我们网站就会倒下。
5. DDOS攻击一直持续。
6. 期间一直使用脚本试图暴力破解我们的会员帐号,导致很多会员正常使用的帐号出现”错误登录次数过多,锁死15分钟“的提示。
7. 2020-5-23 开始对恶意注册、对论坛邮件系统进行攻击。
阿莫敬告举报者:我已经查出你是谁,回头是岸
https://www.amobbs.com/thread-5732994-1-1.html
这里我详细的介绍这次被恶意注册、邮箱攻击事件。
最近我们不断收到坛友的反映: 使用”忘记密码“功能, 无法收到重置密码的邮件。
之前我是半夜凌晨测试,邮箱系统正常的,所以,忽视了这个问题。昨晚8点由于太多人投诉这个问题,我再重新测试。竟然提示今天发送次数过多的错误。
我们使用的是网易付费VIP邮箱。 攻击者是没有能力黑这种邮箱。但我们购买的邮箱会有一个每天发邮件总数的限制。这个次数是以千为单位,我们平时使用的只是百为单位的数量。
我很奇怪。于是查看过去的发邮件的记录。发现了如下的壮观情景:全部都是找回密码的申请要求。
这次帐号(上图左边一栏的英文)都有特点: 大写字母开头,基本是10位长度,使用大写小写数字组成。 而且这次帐号都是刚刚注册,立即就申请找回密码,而且是提交很多次。
还有恶心的一点:这些邮箱估计是假的。我们发出的邮件,迟些全部退回来.... 收件箱也给爆了。
我们2020-05-23 凌晨一点开始开放免费注册(之前一直80元邀请码), 当天早上8点,就开始被恶意注册与邮箱攻击了。表明这些人时刻关注着我们网站的动态,存心要搞死我们。
我查看到昨天0点开始,到9:45 我们的邮箱就达到了最大发送次数。 也就是说,9:45 之前正常网友还能使用找回密码功能, 9:45 到24点就无法再收到邮件。
我们已经下班。 我马上通知技术人员处理。
首先,我们修改了论坛代码,要求使用手机提出重置密码申请。这样,邮箱就不会再被这些要求重置密码的申请给拖死。
同时,我们再启动了注册需要购买邀请码的规则。 这一次不是80元,而是0.1元。
[
不要少看这0.1元, 我们测试,完全将恶意者挡在门外了。
原因是: 支付这0.1元,需要使用支付宝。支付宝本身已经有比较严格的实名认证, 理论上,我们可以追查到付款者。
上面两招,已经彻底解决了这次的问题。
今天,我们会识别出自5月23号开始的恶意注册帐号, 全部更改密码与屏蔽邮箱, 让恶意者失去对这些帐号的控制。
太可耻了,追查到底,绝不手软 那些垃圾人会不会用大量短信来扰乱你那个手机号码呢? 这是不死不休的节奏 68336016 发表于 2020-6-28 11:47
那些垃圾人会不会用大量短信来扰乱你那个手机号码呢?
这个不用担心,移动公司有完善的防骚扰机制。
我们手机是三星,拦截骚扰短信功能完善。
dreampet 发表于 2020-6-28 11:48
这是不死不休的节奏
所以我们这次点名“荔枝派”。 看来无耻的人最可怕 论坛表面看起来风平浪静的,其实背后还是挺难的啊。 本帖最后由 Bunny_Girl 于 2020-6-28 13:10 编辑
这是要长年累月地攻击了?能有多大仇,这是有多闲……
我猜肯定还没有生儿育女,特么的这么闲 这些家伙有这么多精力\时间 何不好好学习一下做人基本准则 提升一下自身技能水平 一样米养百样“人” 什么仇什么怨…… 这是仇深似海啊! 还搞成连续剧了,有钱有闲,干点什么正当职业不好
0.1借用支付宝认证实名真是妙招 维护一个网站,不容易啊! cc2666 发表于 2020-6-28 13:54
还搞成连续剧了,有钱有闲,干点什么正当职业不好
0.1借用支付宝认证实名真是妙招 ...
其实1元/年的年费,也是借用支付宝的实名认证。不单止免费,我们还要贴钱。
1元连我们的电话认证费用都无法支付。 搞不懂,什么仇什么怨,至于这样吗? 真不懂,无法理解他们的这种行为,三观不同吧 林子大了,啥鸟都有。损人不利已。 这就叫做小人报仇,从早到晚。应该让乐哥带他去钓鱼。 我说怎么突然登陆不上去了 申请密码重置了 以后可不可以使用手机号直接登陆? 下三滥。。。 lwjsnj 发表于 2020-6-28 14:59
以后可不可以使用手机号直接登陆?
会!但不会现在。
我们的短信费用每条5分钱。如果对方使用某些方法,会让我们不停到花钱。。。。
这次的邮箱攻击,我们花了一个月才发现... 老大 要不要出狠招 反击一下啊 HZKJ 发表于 2020-6-28 16:34
老大 要不要出狠招 反击一下啊
冤冤相报何时了。
我们网站目前没事。我还是希望可以息事宁人。
另外呼吁一下我们的坛友,保持克制。没有我的呼吁,请不要私自行动。私自行动会让事情越搞越糟的。
另外我可以非常明确的告诉“荔枝派”败类:如果我们网站出事了,我会使用我的自己的方法大开杀戒。 这群人咋这么无聊呢???? 本帖最后由 dukelec 于 2020-6-28 19:16 编辑
和郵箱發件的相關事務,要求用戶輸入 captcha 字符驗證碼不就好了。
收短信驗證一樣可以發海量短訊讓你無法處理正常短信。 涨见识了,原来还有这么多种无底线的攻击方式。 dukelec 发表于 2020-6-28 19:13
和郵箱發件的相關事務,要求用戶輸入 captcha 字符驗證碼不就好了。
收短信驗證一樣可以發海量短訊讓你無法 ...
discuz的“找回密码” 没有验证码功能。
注册有,已经加到注册上了。
“找回密码”的验证码功能我已经安排技术人员编程。
解决这个技术问题后,0.1元的注册邀请码又可以取消,直接开放注册。 ”找回密码“ 原版 discuz 没有验证码功能的。
我让技术人员加上去了。
已经测试通过。。。。
那些没有消灭你的东西,会使你变得更强壮。—弗里德里希·威廉·尼采 哎,真不能理解,这样对他们有什么好处吗? armok. 发表于 2020-6-28 21:51
”找回密码“ 原版 discuz 没有验证码功能的。
我让技术人员加上去了。
已经将找回密码需要手机验证的要求取消了。
我们会继续观察。 Yuki. 发表于 2020-6-28 22:17
哎,真不能理解,这样对他们有什么好处吗?
杀身之祸有时就是这样招惹回来的。
如果我们的网站被关了,我这后半辈子的工作就是找出这些人一个一个的xx。
趁我还愿意息事宁人的时候,赶紧收手。 哎,他们这种人不配搞技术。玷污了咱们的环境。 站长以及站长麾下的技术人员,可谓是兵来将挡、水来土掩,做到了一夫当关万夫莫开,对discuz有着颠覆性的创新! zcllom 发表于 2020-6-28 22:40
站长以及站长麾下的技术人员,可谓是兵来将挡、水来土掩,做到了一夫当关万夫莫开,对discuz有着颠覆性的创 ...
我们现在有对discuz非常强的二次开发能力。
最近几次都紧急事件,我们都是1小时内开发出相应的功能。
半夜起来,查看被恶意注册、邮箱被使用“忘记密码”攻击情况。。
首先,昨天一整天的退信只有10封。 前一天被攻击的时候数以千计。
邮箱发出的邮件也很正常了。里面的用户号都可以追踪到时有意义的 这些人心理极其变态,让我知道他的网站我要6千G流量DDS攻击之。 CoolBird007 发表于 2020-6-29 07:44
这些人心理极其变态,让我知道他的网站我要6千G流量DDS攻击之。
这些人是光脚不的不怕穿鞋的,哪有能力精力建网站。 qq78929709 发表于 2020-6-29 09:44
这些人是光脚不的不怕穿鞋的,哪有能力精力建网站。
老实说,以我的性格,如果我们网站倒了,“荔枝派” 也别想搞下去。
我后半辈子的工作,除了报复这些攻击我们的人,另外一个工作就是彻底摧毁荔枝派。
这些人都是在荔枝派活动的。摧毁他们的老巢,这种报复也是合情合理。
重申一次:没有我的呼吁,现在大家千万不要去报复攻击荔枝派官方。因为目前我们还没有撕破脸,我还是希望这事情能息事宁人,就此结束。
当然,如果以后我们网站被这些人搞得倒掉了,我就会发出对荔枝派官方的追杀令,并且我会使用我的所有资源摧、甚至我生命的全部去摧毁荔枝派。
荔枝派官方不是无辜的:
1。这些人在荔枝派群里公认讨论举报我们网站的细节。荔枝派官方没有制止。
2。我们提出抗议,跟荔枝派官方联系上,荔枝派也只是给这些人禁言1天。这么严重的事件,仅仅禁言1天!!!
3。之后这些人继续在荔枝派群里讨论和举报我们网站,荔枝派官方仍然没有禁止和处理。
这种渣渣必须怼 6. 期间一直使用脚本试图暴力破解我们的会员帐号,导致很多会员正常使用的帐号出现”错误登录次数过多,锁死15分钟“的提示。
-----------------------------------------------------------------
目前论坛账号是有这个bug,通过最新注册人的ID可以遍历之前所有人的账号,所以建议坛主屏蔽这个id页面, 这个页面一般用户也用不上,但是 想攻击论坛的人到可以用上。
举个例子,现在论坛最新注册者的页面是
https://www.amobbs.com/space-username-12color.html
进入这个页面,我能看到他的id
https://www.amobbs.com/index.php?1390706
通过这个页面,最后的数字减1,就能看到上一个的账号,不停的减1,就遍历的很多账号。建议把这个页面关闭了。
攻击论坛的人应该就是这样得到账号的。
Corewind 发表于 2020-6-29 10:49
6. 期间一直使用脚本试图暴力破解我们的会员帐号,导致很多会员正常使用的帐号出现”错误登录次数过多 ...
使用UID 遍历帐号这的确是一个漏洞。
但就算我们将这个页面关闭,也没有多少用处,因为这个论坛就是使用UID作为用户唯一标识的,太多地方需要使用到UID ... 可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https://www.amobbs.com/index.php?1390706
上面两个界面是一样的内容,不知道discuz有没有选项值显示用户名的链接,而不显示id的链接。’
Corewind 发表于 2020-6-29 10:56
可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https:/ ...
这个论坛的设计是基于uid作为用户的唯一标识。
用户名可以修改,uid无法修改。
基本每一个功能需要调用用户的都是使用uid。估计你的猜想无法实现。 这咋还没完没了了呢,这些人这么闲么,有这时间干点啥不好 最新消息:
注册界面、找回密码界面,都已经加入了图形验证码。所以,注册不需要再购买0.1元的邀请码,找回密码可以继续使用邮箱而不需要使用手机短信。
这验证码的复杂程度可以后台设置的。如果100%是最复杂的,目前使用的大概是20%难度。
这个难度正常人肉眼不费力就可以识别。恶意者的脚本估计这个难度都破解不了。
Bunny_Girl 发表于 2020-6-28 13:08
这是要长年累月地攻击了?能有多大仇,这是有多闲……
我猜肯定还没有生儿育女,特么的这么闲 ...
你这话说到点上了。哈哈哈,有孩子还能有这份闲心的,就得是深仇大恨了。。。。。。。比如夺妻啊什么的 chengtina 发表于 2020-6-29 11:12
你这话说到点上了。哈哈哈,有孩子还能有这份闲心的,就得是深仇大恨了。。。。。。。比如夺妻啊什么的 ...
写小说了? armok. 发表于 2020-6-29 11:05
最新消息:
注册界面、找回密码界面,都已经加入了图形验证码。所以,注册不需要再购买0.1元的邀请码,找 ...
6小时了,还没有注册、忘记密码被攻破的迹象。
是否考虑向东莞网监大队报案取证,毕竟还有个破坏计算机罪 chengtina 发表于 2020-6-29 11:12
你这话说到点上了。哈哈哈,有孩子还能有这份闲心的,就得是深仇大恨了。。。。。。。比如夺妻啊什么的 ...
一颗心经常被小朋友悬到半空中……
妈妈没得开电脑,爸爸没得玩游戏,还经常得外援……
如果一个小朋友不够,可以来俩…… 老大家里4个娃 太过分,灭了它吧,我出10块钱,大家都出点力 在这里我可能不会买VIP++,但是如果怼“”数派“”那么我会捐款! Wwdzaefd 发表于 2020-6-29 23:35
在这里我可能不会买VIP++,但是如果怼“”数派“”那么我会捐款!
你购买VIP++就是相当于捐款给论坛。
半夜起来检查我们的邮件系统。
昨天整天才产生了7个退件。其中有1个是我们故意填错邮箱测试的。另外6个估计是坛友真的填错邮箱。
这是正常的情况。
前天被攻击的时候每天产生几千个退件。 解决了就是好事情 armok. 发表于 2020-6-29 10:52
使用UID 遍历帐号这的确是一个漏洞。
但就算我们将这个页面关闭,也没有多少用处,因为这个论坛就是使用 ...
看看能否用用户名,用户名ID,密码的MD5,日期,生成一个MD5摘要,这个值放在一个表内做收索索引,在可控范围(管理员,用户登录)访问用户IDx时,生成一个MD5x,此后其它地方都使用MD5x来访问用户信息 dellric 发表于 2020-6-30 09:28
看看能否用用户名,用户名ID,密码的MD5,日期,生成一个MD5摘要,这个值放在一个表内做收索索引,在可控 ...
discuz系统其实非常庞大,无数地方使用uid,自己改不过来的。
为了从2014年开始强制使用强密码(大写,小写,数字混合),还没有发生过有用户的密码被破解。
用坛友建议我们帖子里显示的是呢称,而不是用户名。 这是历史问题, 如果大家看到所有的用户名都不同了,会非常困惑的。
直接揪出来,法庭上见,我看他还在乱搞。 目前来看,这个情况是对方已经黔驴技穷了。就像小孩之间打架,打不过的一方,夜里跑到对方家门口撒泡尿,在墙上写“XXX是猪”,一样的性质,一样的心智。
我带过两年互联网公司的服务器运维团队,这种黑不进系统,DDOS也没招,转身去消耗对方的三方认证资源,如短信平台,语音平台,邮件平台资源,实在是不入流的下三滥手段。
Corewind 发表于 2020-6-29 10:56
可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https:/ ...
处理这个问题没有那么复杂,这个页面也不用关闭,毕竟站内用户还是需要使用的。
已登陆用户会有一个有效的TOKEN,具体是那种,要看Discuz,对于请求这个页面
的客户端,检查一下是否具有有效TOKEN就行,没有的不提供。
如果有用户自己登陆了,具备了有效TOKEN,但是他拿来大量枚举其他用户,这个在后台
一查就知道谁干的了。 Appcat 发表于 2020-6-30 11:33
处理这个问题没有那么复杂,这个页面也不用关闭,毕竟站内用户还是需要使用的。
已登陆用户会有一个有效 ...
对头。
游客是无法查看用户页面的。只有登录了才能查看。
而我们后台记录了用户的每一个操作,很容易查出大量查看用户信息的人。
而且每一个用户我们都是严格的手机实名认证,人工电话,问过几个问题,有录音。这对恶意者有震慑作用。 armok. 发表于 2020-6-30 11:42
对头。
游客是无法查看用户页面的。只有登录了才能查看。
discuz 的系统设置游客可以查看这个页面。并且后台没有功能控制。
昨晚我已经让技术人员修正这个问题。 一会安装上去就解决了。
Appcat 发表于 2020-6-30 11:33
处理这个问题没有那么复杂,这个页面也不用关闭,毕竟站内用户还是需要使用的。
已登陆用户会有一个有效 ...
还有什么页面会被游客利用,泄露我们信息的?
大家列出来,我们一并处理。 armok. 发表于 2020-6-30 11:42
对头。
游客是无法查看用户页面的。只有登录了才能查看。
已经编程完成。我们只设置了 VIP, VIP+, VIP++ VIP+++ ,管理员与版主可以查看资料。其它等级与游客不允许查看。
这是我们的后台界面:
xx想不到荔枝派的人这么龌龊。。。。真的是林子大了 什么鸟都有 Appcat 发表于 2020-6-30 11:29
目前来看,这个情况是对方已经黔驴技穷了。就像小孩之间打架,打不过的一方,夜里跑到对方家门口撒泡尿,在 ...
感觉个人作案的话,应该到不了这个程度吧,是否可以判定为有团伙作案的嫌疑了 厉害了,服气服气,66 本帖最后由 lovewind 于 2020-7-10 22:03 编辑
Appcat 发表于 2020-6-30 11:29
目前来看,这个情况是对方已经黔驴技穷了。就像小孩之间打架,打不过的一方,夜里跑到对方家门口撒泡尿,在 ...
之前网站之前的短信被消耗完了,难怪网友说无法注册,我看了下数据库,我操,都是发送短信的的记录,还好我里面不多的余额,每个手机号都换一个IP,于是我加了验证就好了
主要是没有得罪谁啊,感觉是吃饱没事干的,还收到过DDOS,一个月1-2次,持续了几个月 lovewind 发表于 2020-7-10 22:00
之前网站之前的短信被消耗完了,难怪网友说无法注册,我看了下数据库,我操,都是发送短信的的记录,还好 ...
有一种可能情况,某些小短信运营商监守自盗,因为他的端口代理级别低,用户量小,所以利润上不来,成本也下不去。利用客户系统的漏洞或者是
审核以及日志的不严格,利用自动化脚本冒充客户系统盗用账户中的短信流量。客户发现不正常了,他们平台的日志里记录是是客户系统自己的发送记录。
结果谁也数不清楚。 Appcat 发表于 2020-7-11 00:02
有一种可能情况,某些小短信运营商监守自盗,因为他的端口代理级别低,用户量小,所以利润上不来,成本也 ...
也许吧,概率低,我有数据库记录的,后来加了验证码就没有发生了
页:
[1]