Завелись "крысы" . ;(( SMF 2.0.6 последний патч...

Автор den812, 12 декабря 2013, 02:26:30

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

den812

Всем привет,

Завелись "крысы"  на  SMF 2.0.6  последний патч...

уже 70 тысяч аккаунтов наплодили .. сделали несколько постов..
  очень много не авторизированных соответсвенно стоит авторизация по емейлу + капча + секр. вопрос

встает вопрос как они поломали аутентификацию?

и как собственно сейчас почистить юзеров..

выбираю удалить все не автивированные аккаунты за все время ( около 70 тыс) ну и конечно они не удаляются
происходит таймаут сервера ( nic.ru) хостинг ...  "502 Bad Gateway  nginx/1.0.6"

помогите избавиться от "крыс"  .. ну и что за дыру они нашли?

den812

покопавшись нашел что был открыт поиск гостям .. отключил.. что еще то посмотреть?

iaroslav

Аутетинфикацию никто не ломал.
Просто капчу боты научились ломать уже ооочень давно (посему толку, имхо, с неё в наше время не особо много). А секретный вопрос у вас либо такой, что уже есть в базе. Либо просто кто-то вручную вбил его ответ в базу ботам.
Соответственно лучше всего вам сменить вопрос и подождать что будет. Есть весьма приличный шанс, что регулярная смена вопросов окажется эффективной (по крайней мере мне в сходной ситуации оно помогло).

От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.
Посему, переводите сайт и сервер в ручной режим, гуглите как выставлять в нгиксе ограничение на количетсов подключений с одного ip и выставляете. Всё.
Ну или не гуглите, а просто почитайте соотвествующую тему на форуме руцентра. Но там, вроде, несколько устаревшие данные.

den812

Цитата: iaroslav от 12 декабря 2013, 14:37:11
Аутетинфикацию никто не ломал.
Просто капчу боты научились ломать уже ооочень давно (посему толку, имхо, с неё в наше время не особо много). А секретный вопрос у вас либо такой, что уже есть в базе. Либо просто кто-то вручную вбил его ответ в базу ботам.
Соответственно лучше всего вам сменить вопрос и подождать что будет. Есть весьма приличный шанс, что регулярная смена вопросов окажется эффективной (по крайней мере мне в сходной ситуации оно помогло).

От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.
Посему, переводите сайт и сервер в ручной режим, гуглите как выставлять в нгиксе ограничение на количетсов подключений с одного ip и выставляете. Всё.
Ну или не гуглите, а просто почитайте соотвествующую тему на форуме руцентра. Но там, вроде, несколько устаревшие данные.
спасибо, почитаю..  может все-же  по таймауту кто сталкивался с этим на руцентере и как то уже решил?  можно конечно полезть в базу написать запрост и в ручную удалить..юзеров.. просто боюсь связи какие то не потрутся..

iaroslav

Я сталкивался. Правда сперва с 502й ошибкой нгикса (даже тему про это создавал) а потом с нашествием ботов (так как проблему с 502й ошибкой я решил раньше и про смену вопросов знал, то нашествие удалось задавить в зародыше, на первых десятках).
Решил как написано выше.
Цитата: iaroslav от 12 декабря 2013, 14:37:11
От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.
А пользователей лучше действительно вручную из админки поудаляйте.

den812

Цитата: iaroslav от 12 декабря 2013, 17:44:02Я сталкивался. Правда сперва с 502й ошибкой нгикса (даже тему про это создавал) а потом с нашествием ботов (так как проблему с 502й ошибкой я решил раньше и про смену вопросов знал, то нашествие удалось задавить в зародыше, на первых десятках).
Решил как написано выше.
Цитата: iaroslav от Сегодня в 14:37:11

    От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.

А пользователей лучше действительно вручную из админки поудаляйте.

почитал тему, что - то в ней решения не увидел.. только нашел что ДДОС можек положить сервак и видимо потом бот может проломить защиту

про ручное удаление 70 тыс аккаунтов .. это вы шутите? ;)) по 20 на странице ;))

iaroslav

А, это я первое сообщение неправильно понял. В том смысле что я так понял что они к вам и по сей день ломятся, оттуда и 502я ошибка.
А так да, тогда сделайте бэкап базы. А потом действительно удаляйте всех через базу, после запустив пункт "найти и исправить любые ошибки" из админки.

den812

Закрыл поиск от гостей( странно, что он открыт по умолчанию ;(   ),
убрал капчу и добавил еще пару новых вопросов и поменял сатрые

поток сообщений конечно иссяк, но   
строки в логах:

"Ваш email должен быть проверен, прежде чем Вы сможете войти. - AswaiBat"

с разными логинами каждую минуту выпятся прмиено..   
что они этим хотят добиться?

ну и тех кого я забанил от имени кого были последние посты .. пытались снова зайти ..   видно по логу банов:
5.249.162.46       Eminfublilymn1    Вчера в 17:14:22    
31.184.238.202       VictorNUMN    Вчера в 04:11:46    
31.184.238.202       JosephFum    Вчера в 02:43:57



iaroslav

Цитата: den812 от 13 декабря 2013, 01:08:57
что они этим хотят добиться?
Дык боты же. Их как разок запустили, так они и будут выполнять запрограммированные алгоритмы действий неопределённо долгое время.
Если у них небольшой набор адресов, можете их по ip банить непосредственно в конфиге нгикса. Или в .htacess ... Ибо на форуме ботов по ip банить особого смысла не вижу.
Ну и, всё-таки, ограничьте количество одновременных заходов с одного ip (как советовалось ранее).

Кстати, а это вы как так делаете?
Цитата: den812 от 12 декабря 2013, 03:34:10
покопавшись нашел что был открыт поиск гостям .. отключил..
Цитата: den812 от 13 декабря 2013, 01:08:57
Закрыл поиск от гостей( странно, что он открыт по умолчанию ;(   ),
В смысле два дня подряд закрываете поиск от гостей.
А вообще зря вы с поиском заморачиваетесь. Для гостей при поиске требуют те же контрольные вопросы что и при регистрации. Соответственно он мало чем вам помешает.

Ну а с вопросами и капчёй всё правильно! Единственное что будьте готовы что вопросы придётся периодически обновлять, так как ботам могут говорить на них ответы.

den812

Цитата: iaroslav от 13 декабря 2013, 09:52:34
Дык боты же. Их как разок запустили, так они и будут выполнять запрограммированные алгоритмы действий неопределённо долгое время.
Если у них небольшой набор адресов, можете их по ip банить непосредственно в конфиге нгикса. Или в .htacess ... Ибо на форуме ботов по ip банить особого смысла не вижу.
Ну и, всё-таки, ограничьте количество одновременных заходов с одного ip (как советовалось ранее).

Кстати, а это вы как так делаете?В смысле два дня подряд закрываете поиск от гостей.
А вообще зря вы с поиском заморачиваетесь. Для гостей при поиске требуют те же контрольные вопросы что и при регистрации. Соответственно он мало чем вам помешает.

Ну а с вопросами и капчёй всё правильно! Единственное что будьте готовы что вопросы придётся периодически обновлять, так как ботам могут говорить на них ответы.

просто перечислил какие предпринял действия..   на второй форум сходил а там сходная картина .. буду чистить
   про нгикс по подробнее где его настроить и как на ру центре?

den812

В продолжении борьбы:

лог файл в среднем каждую минут наполняется этим:

Применить фильтр: Показать сообщения об ошибках этого пользователя Гость
Применить фильтр: Показать сообщения об ошибках этого IP адреса 91.200.14.96 
  Показать в обратном хронологическом порядке Сегодня в 05:42:32
Применить фильтр: Показать сообщения об ошибках этой сессии 83f411a85733923c669f0145ac00a73e
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://1.spb.ru/index.php?action=login2
Применить фильтр: Показать ошибки только с теми сообщениями
Ваш email должен быть проверен, прежде чем Вы сможете войти. - pymbompangarm


Применить фильтр: Показать сообщения об ошибках этого пользователя Гость
Применить фильтр: Показать сообщения об ошибках этого IP адреса 178.150.142.210 
  Показать в обратном хронологическом порядке Сегодня в 05:41:39
Применить фильтр: Показать сообщения об ошибках этой сессии 3b7071c276e2de2d31e8ee6fef6fdae2
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://1.spb.ru/index.php?action=login2
Применить фильтр: Показать ошибки только с теми сообщениями
Ваш email должен быть проверен, прежде чем Вы сможете войти. - coffeeplup


итд с разных IP иногда повторяются

видимо те что смогли зарегаться все-таки логинятся, но мессаджи постить не могутЪ т.к. новых спам сообщений нет
этих баню ..  потом наблюдаю попытки входа с бан адресов и имен.

в основном у всех в подписи есть урлы на всякие сайты для раскруток, кто-то пытался сливать в МВД спамеров?
результаты от этого есть, потмоу как явно некоторые ИП конторские на территории РФ.. ясно что могут быть хакнутые компы.
но много рекламы местной они  в мессаджах и подписях размещали..   вполне вероятно что можно выйти на прямой след..

явно заходят куками , пробуют решить вопросы и потом натравливают ботов:

вот например один из таких:

https://apps.db.ripe.net/search/query.html?searchtext=46.41.88.249#resultsAnchor

46.41.88.249 Гость Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 Сегодня в 01:22:33
46.41.88.249 Гость Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 Вчера в 19:45:42
46.41.88.249 Гость Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 Вчера в 13:39:17


% Information related to '46.41.64.0/19AS21479'

                                           

route:          46.41.64.0/19
descr:          Routing object of
descr:          Division of JSC "UTK" "Rostovelectrosviaz" and its deport
origin:         AS21479
mnt-routes:     ROSTOV-TELEGRAF-MNT
mnt-by:         ROSTOV-TELEGRAF-MNT
source:         RIPE #Filtered

https://stat.ripe.net/46.41.64.0/19?sourceapp=ripedb#tabId=at-a-glance

kak2z

Попали в базу хрумера вот Вас и долбят... поставьте что то хорошее для регистрации и забудьте про эти логи. Пусть долбят - потом из базы удалят.
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

den812

Цитата: kak2z от 14 декабря 2013, 10:38:20
Попали в базу хрумера вот Вас и долбят... поставьте что то хорошее для регистрации и забудьте про эти логи. Пусть долбят - потом из базы удалят.
спс.. что есть "хрумера" ?

GeorG

Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru