armok. 发表于 2020-11-3 15:52:59

最近论坛记录到一次暴力登录的攻击,高手进来分析一下【14楼mangolu接受处理】

我们通过后台数据抓包的方法,记录到最近有人使用这个密码: g00dPa$$w0rD 短时间内,对我们网站进行了6612次的登录。



发现异常情况后, 我们编写的自动脚本,开始收集这个密码的攻击信息。下面是使用这个密码登录的用户名。

有时用户名看起来正常,但规则跟上次暴力注册大量用户名的规律一样、攻击时间也与之前的一致。所以,我几乎100% 认为是同一批人。上次我们已经认定是荔枝派的败类干的。

有时用户名就是一段代码:






我将这6612次攻击数据,整理成EXCEL文件, 供大家分析研究。




shamiao 发表于 2020-11-3 16:20:24

本帖最后由 shamiao 于 2020-11-3 16:21 编辑

SQL注入啊,太低级的攻击了。
真当discuz开发者(尤其是开发登录部分的)是白拿钱的啊?

** 从截图的特征来看,攻击者不是希望攻破或毁损数据,而是希望通过执行网络请求、线程同步休眠等耗时操作,来拖垮服务器资源。

cantonguy 发表于 2020-11-3 16:21:11

用户名用代码还要这么长去暴力测试,会有命中率吗?除了拖死网站流量嫌疑外没看出为什么要这样做
难道是为了注册大量没用的用户然后撑爆服务器?

lusson 发表于 2020-11-3 16:41:07

这个密码也比较有意思,goodpassword,看来很多人用这种意形。

cc2666 发表于 2020-11-3 16:43:37

小白问题:登录很耗资源吗?

如果是,那是不是可以改一下后台限制一个用户名短时间(比如72小时)登录次数不超过200次

毕竟正常人应该用不了这么多次

dreampet 发表于 2020-11-3 19:04:43

没想到这年头还有SQL注入攻击

armok. 发表于 2020-11-3 19:20:26

cc2666 发表于 2020-11-3 16:43
小白问题:登录很耗资源吗?

如果是,那是不是可以改一下后台限制一个用户名短时间(比如72小时)登录次数 ...

你没有了解问题的性质。

DDoS攻击,你的服务器可以拒绝,但拒绝需要消耗资源的。太多的申请要求,你的服务器就瘫痪了

Himem 发表于 2020-11-3 20:01:40

本帖最后由 Himem 于 2020-11-3 20:02 编辑

觉得像是工具自动扫描找漏洞,还不是正式攻击阶段
pg_sleep是针对pgsql不是mysql
bxss.me貌似是域名?记录如何请求子域名的那种

剑舞 发表于 2020-11-3 20:20:06

这个完全不懂,专注于硬件开发的电工飘过,真心希望坛子里的大牛能搞个大讲堂,带底层的兄弟们入个门

pcwhy 发表于 2020-11-4 04:07:14

剑舞 发表于 2020-11-3 20:20
这个完全不懂,专注于硬件开发的电工飘过,真心希望坛子里的大牛能搞个大讲堂,带底层的兄弟们入个门 ...

找一本Penetration Test的PDF看看就懂了。

电子喵星人 发表于 2020-11-4 04:20:25

这种并不是DDOS攻击,是渗透攻击。IP都是同一个,其实是可以在web服务之前再前置一个类似nginx之类的反向代理服务器程序,以很低的资源耗费成本挡住,如配置每分钟每个IP地址允许的连接数。

armok. 发表于 2020-11-4 05:01:43

电子喵星人 发表于 2020-11-4 04:20
这种并不是DDOS攻击,是渗透攻击。IP都是同一个,其实是可以在web服务之前再前置一个类似nginx之类的反向代 ...

这种攻击根本无法影响我们。只是我们捕获到这样的攻击,分析一下而已。

mangolu 发表于 2020-11-4 05:36:56

shamiao 发表于 2020-11-3 16:20
SQL注入啊,太低级的攻击了。
真当discuz开发者(尤其是开发登录部分的)是白拿钱的啊?



dusscuz也是中国人开发的吧?以本坛逻辑,中国人行吗?:)

armok. 发表于 2020-11-4 07:48:02

mangolu 发表于 2020-11-4 05:36
dusscuz也是中国人开发的吧?以本坛逻辑,中国人行吗?:)

1。政治敏感警告一次。
2。政治敏感警告2次,永久封锁ID。
3。请48小时内道歉并且保证永远不再违法,并且接受封锁两个星期的处理,否则永久封锁ID。
   因为你是VIP++,如果是VIP已经马上永久封锁ID了。

zhongsandaoren 发表于 2020-11-4 08:33:02

mangolu 发表于 2020-11-4 05:36
dusscuz也是中国人开发的吧?以本坛逻辑,中国人行吗?:)

1、这不是本坛逻辑,不能戴帽子;
2、中国人民勤劳善良,请不要否定所有。

shamiao 发表于 2020-11-4 12:00:08

本帖最后由 shamiao 于 2020-11-4 12:02 编辑

mangolu 发表于 2020-11-4 05:36

你哪怕讨论“康盛”(discuz开发商)和“腾讯”(康盛的母公司)的开发水平如何,都很好啊。
没人跟你讨论“中国人如何如何”这种宏大的命题。一开口就把讨论范围拉这么大,我怀疑你是研究社科的学生来骗论文。

mangolu 发表于 2020-11-6 18:34:51

在此向各位坛友和阿莫道歉,不应该使用“本坛逻辑”这样的字眼!
本人承诺以后不再参与非技术性讨论!

armok. 发表于 2020-11-6 18:58:34

mangolu 发表于 2020-11-6 18:34
在此向各位坛友和阿莫道歉,不应该使用“本坛逻辑”这样的字眼!
本人承诺以后不再参与非技术性讨论! ...

好,这次就算了。

mangolu 发表于 2020-11-6 21:51:36

armok. 发表于 2020-11-6 18:58
好,这次就算了。

谢谢!希望莫大可以搞像以前那样技术区和非技术区分开的。

armok. 发表于 2020-11-7 00:00:12

mangolu 发表于 2020-11-6 21:51
谢谢!希望莫大可以搞像以前那样技术区和非技术区分开的。

没用的,你违规的是“论坛建设”,这个在纯技术论坛汇总也会出现的。

管住自己的嘴,发言前知道自己说什么,才是正道。
页: [1]
查看完整版本: 最近论坛记录到一次暴力登录的攻击,高手进来分析一下【14楼mangolu接受处理】