又粉碎了“荔枝派“败类的一次攻击。 这次是要拖死我们的邮箱系统

armok.

先解释一下，这次为何要点名”荔枝派“： 我们有充分的证据可以肯定是“荔枝派“败类所为。之前我们一而再、再而三的息事宁人，希望对方能就此收手。但现在看来，“荔枝派“败类仍然变本加厉的要置我们网站于死地。
既然这样，我也不用再给“荔枝派“留什么情面，直接点名了。
当然，我这里说的是【“荔枝派“群里的败类网友】，而不是说“荔枝派“官方。特此强调一下：我们网站与“荔枝派“官方无怨无仇，私下也有沟通。
注： 如果我们网站以后不再受攻击与骚扰，我们会考虑不再提起”荔树派“这个名字。


“荔枝派“败类最近对我们网站的攻击行为：

    1. 2020-3-18 向网警举报我们网站。
    2. 2020-3-24 起向我们网站不断的发起DDOS攻击。无数次。
    3. 2020-4-22 第二次向网警举报我们网站。
    4. 2020-6-3 发起了流量带宽高害60G的DDOS攻击。 这是一个非常恐怖的流量，之前只要1G流量攻击我们网站就会倒下。
    5. DDOS攻击一直持续。
    6. 期间一直使用脚本试图暴力破解我们的会员帐号，导致很多会员正常使用的帐号出现”错误登录次数过多，锁死15分钟“的提示。
    7. 2020-5-23 开始对恶意注册、对论坛邮件系统进行攻击。

阿莫敬告举报者：我已经查出你是谁，回头是岸
https://www.amobbs.com/thread-5732994-1-1.html

---

这里我详细的介绍这次被恶意注册、邮箱攻击事件。

最近我们不断收到坛友的反映： 使用”忘记密码“功能， 无法收到重置密码的邮件。  

之前我是半夜凌晨测试，邮箱系统正常的，所以，忽视了这个问题。  昨晚8点由于太多人投诉这个问题，我再重新测试。竟然提示今天发送次数过多的错误。



我们使用的是网易付费VIP邮箱。 攻击者是没有能力黑这种邮箱。  但我们购买的邮箱会有一个每天发邮件总数的限制。这个次数是以千为单位，我们平时使用的只是百为单位的数量。

我很奇怪。于是查看过去的发邮件的记录。发现了如下的壮观情景：全部都是找回密码的申请要求。



这次帐号（上图左边一栏的英文）都有特点： 大写字母开头，基本是10位长度，使用大写小写数字组成。 而且这次帐号都是刚刚注册，立即就申请找回密码，而且是提交很多次。

还有恶心的一点：这些邮箱估计是假的。我们发出的邮件，迟些全部退回来.... 收件箱也给爆了。



我们2020-05-23 凌晨一点开始开放免费注册（之前一直80元邀请码）， 当天早上8点，就开始被恶意注册与邮箱攻击了。表明这些人时刻关注着我们网站的动态，存心要搞死我们。

我查看到昨天0点开始，到9:45 我们的邮箱就达到了最大发送次数。 也就是说，9:45 之前正常网友还能使用找回密码功能， 9:45 到24点就无法再收到邮件。


我们已经下班。 我马上通知技术人员处理。

首先，我们修改了论坛代码，要求使用手机提出重置密码申请。  这样，邮箱就不会再被这些要求重置密码的申请给拖死。



同时，我们再启动了注册需要购买邀请码的规则。 这一次不是80元，而是0.1元。

[


不要少看这0.1元， 我们测试，完全将恶意者挡在门外了。

原因是： 支付这0.1元，需要使用支付宝。支付宝本身已经有比较严格的实名认证， 理论上，我们可以追查到付款者。


上面两招，已经彻底解决了这次的问题。


今天，我们会识别出自5月23号开始的恶意注册帐号， 全部更改密码与屏蔽邮箱， 让恶意者失去对这些帐号的控制。

lgg88

太可耻了，追查到底，绝不手软

68336016

那些垃圾人会不会用大量短信来扰乱你那个手机号码呢？

dreampet

这是不死不休的节奏

armok.

68336016 发表于 2020-6-28 11:47
那些垃圾人会不会用大量短信来扰乱你那个手机号码呢？

这个不用担心，移动公司有完善的防骚扰机制。

我们手机是三星，拦截骚扰短信功能完善。

armok.

dreampet 发表于 2020-6-28 11:48
这是不死不休的节奏

所以我们这次点名“荔枝派”。

xaofen

看来无耻的人最可怕

PCBBOY1991

论坛表面看起来风平浪静的，其实背后还是挺难的啊。

Bunny_Girl

这是要长年累月地攻击了？能有多大仇，这是有多闲……
我猜肯定还没有生儿育女，特么的这么闲

lb0857

这些家伙  有这么多精力\时间   何不好好学习一下做人基本准则   提升一下自身技能水平  

OOXX110

一样米养百样“人”

jyrpxj

什么仇什么怨……

wochai

这是仇深似海啊！

cc2666

还搞成连续剧了，有钱有闲，干点什么正当职业不好

0.1借用支付宝认证实名真是妙招

hzpyl

维护一个网站，不容易啊！

armok.

cc2666 发表于 2020-6-28 13:54
还搞成连续剧了，有钱有闲，干点什么正当职业不好

0.1借用支付宝认证实名真是妙招 ...

其实1元/年的年费，也是借用支付宝的实名认证。不单止免费，我们还要贴钱。

1元连我们的电话认证费用都无法支付。

jingwaner

搞不懂，什么仇什么怨，至于这样吗？

woodlynn

真不懂，无法理解他们的这种行为，三观不同吧

kk2008

林子大了，啥鸟都有。损人不利已。

honami520

这就叫做小人报仇，从早到晚。应该让乐哥带他去钓鱼。

lwjsnj

   我说怎么突然登陆不上去了 申请密码重置了

lwjsnj

  以后可不可以使用手机号直接登陆？

Ponker

下三滥。。。

armok.

lwjsnj 发表于 2020-6-28 14:59
以后可不可以使用手机号直接登陆？

会！但不会现在。

我们的短信费用每条5分钱。如果对方使用某些方法，会让我们不停到花钱。。。。


这次的邮箱攻击，我们花了一个月才发现...

HZKJ

老大 要不要出狠招 反击一下啊

armok.

HZKJ 发表于 2020-6-28 16:34
老大 要不要出狠招 反击一下啊

冤冤相报何时了。

我们网站目前没事。我还是希望可以息事宁人。

另外呼吁一下我们的坛友，保持克制。没有我的呼吁，请不要私自行动。私自行动会让事情越搞越糟的。


另外我可以非常明确的告诉“荔枝派”败类：如果我们网站出事了，我会使用我的自己的方法大开杀戒。

tangxh

这群人咋这么无聊呢？？？？

dukelec

和郵箱發件的相關事務，要求用戶輸入 captcha 字符驗證碼不就好了。
收短信驗證一樣可以發海量短訊讓你無法處理正常短信。

Pjm2008

涨见识了，原来还有这么多种无底线的攻击方式。

armok.

dukelec 发表于 2020-6-28 19:13
和郵箱發件的相關事務，要求用戶輸入 captcha 字符驗證碼不就好了。
收短信驗證一樣可以發海量短訊讓你無法 ...

discuz的“找回密码” 没有验证码功能。

注册有，已经加到注册上了。

“找回密码”的验证码功能我已经安排技术人员编程。

解决这个技术问题后，0.1元的注册邀请码又可以取消，直接开放注册。

armok.

”找回密码“ 原版 discuz 没有验证码功能的。

我让技术人员加上去了。

已经测试通过。。。。

myxiaonia

那些没有消灭你的东西，会使你变得更强壮。—弗里德里希·威廉·尼采

Yuki.

哎，真不能理解，这样对他们有什么好处吗？

armok.

armok. 发表于 2020-6-28 21:51
”找回密码“ 原版 discuz 没有验证码功能的。

我让技术人员加上去了。

已经将找回密码需要手机验证的要求取消了。

我们会继续观察。

armok.

Yuki. 发表于 2020-6-28 22:17
哎，真不能理解，这样对他们有什么好处吗？

杀身之祸有时就是这样招惹回来的。

如果我们的网站被关了，我这后半辈子的工作就是找出这些人一个一个的xx。

趁我还愿意息事宁人的时候，赶紧收手。

liyuncan

哎，他们这种人不配搞技术。玷污了咱们的环境。

zcllom

站长以及站长麾下的技术人员，可谓是兵来将挡、水来土掩，做到了一夫当关万夫莫开，对discuz有着颠覆性的创新！

armok.

zcllom 发表于 2020-6-28 22:40
站长以及站长麾下的技术人员，可谓是兵来将挡、水来土掩，做到了一夫当关万夫莫开，对discuz有着颠覆性的创 ...

我们现在有对discuz非常强的二次开发能力。

最近几次都紧急事件，我们都是1小时内开发出相应的功能。

armok.

半夜起来，查看被恶意注册、邮箱被使用“忘记密码”攻击情况。。

首先，昨天一整天的退信只有10封。 前一天被攻击的时候数以千计。

armok.

邮箱发出的邮件也很正常了。里面的用户号都可以追踪到时有意义的

CoolBird007

这些人心理极其变态，让我知道他的网站我要6千G流量DDS攻击之。

qq78929709

CoolBird007 发表于 2020-6-29 07:44
这些人心理极其变态，让我知道他的网站我要6千G流量DDS攻击之。

这些人是光脚不的不怕穿鞋的，哪有能力精力建网站。

armok.

qq78929709 发表于 2020-6-29 09:44
这些人是光脚不的不怕穿鞋的，哪有能力精力建网站。

老实说，以我的性格，如果我们网站倒了，“荔枝派” 也别想搞下去。

我后半辈子的工作，除了报复这些攻击我们的人，另外一个工作就是彻底摧毁荔枝派。

这些人都是在荔枝派活动的。摧毁他们的老巢，这种报复也是合情合理。

重申一次：没有我的呼吁，现在大家千万不要去报复攻击荔枝派官方。因为目前我们还没有撕破脸，我还是希望这事情能息事宁人，就此结束。

当然，如果以后我们网站被这些人搞得倒掉了，我就会发出对荔枝派官方的追杀令，并且我会使用我的所有资源摧、甚至我生命的全部去摧毁荔枝派。


荔枝派官方不是无辜的：

1。这些人在荔枝派群里公认讨论举报我们网站的细节。荔枝派官方没有制止。

2。我们提出抗议，跟荔枝派官方联系上，荔枝派也只是给这些人禁言1天。这么严重的事件，仅仅禁言1天！！！

3。之后这些人继续在荔枝派群里讨论和举报我们网站，荔枝派官方仍然没有禁止和处理。

yce

这种渣渣必须怼

Corewind

    6. 期间一直使用脚本试图暴力破解我们的会员帐号，导致很多会员正常使用的帐号出现”错误登录次数过多，锁死15分钟“的提示。
-----------------------------------------------------------------
目前论坛账号是有这个bug，通过最新注册人的ID可以遍历之前所有人的账号，所以建议坛主屏蔽这个id页面， 这个页面一般用户也用不上，但是 想攻击论坛的人到可以用上。
举个例子，现在论坛最新注册者的页面是
https://www.amobbs.com/space-username-12color.html
进入这个页面，我能看到他的id
https://www.amobbs.com/index.php?1390706
通过这个页面，最后的数字减1，就能看到上一个的账号，不停的减1，就遍历的很多账号。建议把这个页面关闭了。
攻击论坛的人应该就是这样得到账号的。

armok.

Corewind 发表于 2020-6-29 10:49
6. 期间一直使用脚本试图暴力破解我们的会员帐号，导致很多会员正常使用的帐号出现”错误登录次数过多 ...

使用UID 遍历帐号这的确是一个漏洞。

但就算我们将这个页面关闭，也没有多少用处，因为这个论坛就是使用UID作为用户唯一标识的，太多地方需要使用到UID ...

Corewind

可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https://www.amobbs.com/index.php?1390706
上面两个界面是一样的内容，不知道discuz有没有选项值显示用户名的链接，而不显示id的链接。’

armok.

Corewind 发表于 2020-6-29 10:56
可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https:/ ...

这个论坛的设计是基于uid作为用户的唯一标识。

用户名可以修改，uid无法修改。

基本每一个功能需要调用用户的都是使用uid。估计你的猜想无法实现。

dykwai1

这咋还没完没了了呢，这些人这么闲么，有这时间干点啥不好

armok.

最新消息：

注册界面、找回密码界面，都已经加入了图形验证码。所以，注册不需要再购买0.1元的邀请码，找回密码可以继续使用邮箱而不需要使用手机短信。

这验证码的复杂程度可以后台设置的。如果100%是最复杂的，目前使用的大概是20%难度。

这个难度正常人肉眼不费力就可以识别。恶意者的脚本估计这个难度都破解不了。

chengtina

Bunny_Girl 发表于 2020-6-28 13:08
这是要长年累月地攻击了？能有多大仇，这是有多闲……
我猜肯定还没有生儿育女，特么的这么闲 ...

你这话说到点上了。哈哈哈，有孩子还能有这份闲心的，就得是深仇大恨了。。。。。。。比如夺妻啊什么的

armok.

chengtina 发表于 2020-6-29 11:12
你这话说到点上了。哈哈哈，有孩子还能有这份闲心的，就得是深仇大恨了。。。。。。。比如夺妻啊什么的 ...

写小说了？

armok.

armok. 发表于 2020-6-29 11:05
最新消息：

注册界面、找回密码界面，都已经加入了图形验证码。所以，注册不需要再购买0.1元的邀请码，找 ...

6小时了，还没有注册、忘记密码被攻破的迹象。

z417078485

是否考虑向东莞网监大队报案取证，毕竟还有个破坏计算机罪

Bunny_Girl

chengtina 发表于 2020-6-29 11:12
你这话说到点上了。哈哈哈，有孩子还能有这份闲心的，就得是深仇大恨了。。。。。。。比如夺妻啊什么的 ...

一颗心经常被小朋友悬到半空中……
妈妈没得开电脑，爸爸没得玩游戏，还经常得外援……

如果一个小朋友不够，可以来俩…… 老大家里4个娃

cnxh

太过分,灭了它吧,我出10块钱,大家都出点力

Wwdzaefd

在这里我可能不会买VIP++，但是如果怼“”数派“”那么我会捐款！

armok.

Wwdzaefd 发表于 2020-6-29 23:35
在这里我可能不会买VIP++，但是如果怼“”数派“”那么我会捐款！

你购买VIP++就是相当于捐款给论坛。

armok.

半夜起来检查我们的邮件系统。

昨天整天才产生了7个退件。其中有1个是我们故意填错邮箱测试的。另外6个估计是坛友真的填错邮箱。

这是正常的情况。

前天被攻击的时候每天产生几千个退件。

rei1984

解决了就是好事情

dellric

armok. 发表于 2020-6-29 10:52
使用UID 遍历帐号这的确是一个漏洞。

但就算我们将这个页面关闭，也没有多少用处，因为这个论坛就是使用 ...

看看能否用用户名，用户名ID，密码的MD5，日期，生成一个MD5摘要，这个值放在一个表内做收索索引，在可控范围（管理员，用户登录）访问用户IDx时，生成一个MD5x，此后其它地方都使用MD5x来访问用户信息

armok.

dellric 发表于 2020-6-30 09:28
看看能否用用户名，用户名ID，密码的MD5，日期，生成一个MD5摘要，这个值放在一个表内做收索索引，在可控 ...

discuz系统其实非常庞大，无数地方使用uid，自己改不过来的。

为了从2014年开始强制使用强密码（大写，小写，数字混合），还没有发生过有用户的密码被破解。


用坛友建议我们帖子里显示的是呢称，而不是用户名。 这是历史问题， 如果大家看到所有的用户名都不同了，会非常困惑的。

JZcrystalwlh888

直接揪出来，法庭上见，我看他还在乱搞。

Appcat

目前来看，这个情况是对方已经黔驴技穷了。就像小孩之间打架，打不过的一方，夜里跑到对方家门口撒泡尿，在墙上写“XXX是猪”，一样的性质，一样的心智。
我带过两年互联网公司的服务器运维团队，这种黑不进系统，DDOS也没招，转身去消耗对方的三方认证资源，如短信平台，语音平台，邮件平台资源，实在是不入流的下三滥手段。

Appcat

Corewind 发表于 2020-6-29 10:56
可以考虑把显示UID界面的统一换为用户名链接
https://www.amobbs.com/space-username-12color.html
https:/ ...

处理这个问题没有那么复杂，这个页面也不用关闭，毕竟站内用户还是需要使用的。
已登陆用户会有一个有效的TOKEN，具体是那种，要看Discuz，对于请求这个页面
的客户端，检查一下是否具有有效TOKEN就行，没有的不提供。

如果有用户自己登陆了，具备了有效TOKEN，但是他拿来大量枚举其他用户，这个在后台
一查就知道谁干的了。

armok.

Appcat 发表于 2020-6-30 11:33
处理这个问题没有那么复杂，这个页面也不用关闭，毕竟站内用户还是需要使用的。
已登陆用户会有一个有效 ...

对头。

游客是无法查看用户页面的。只有登录了才能查看。

而我们后台记录了用户的每一个操作，很容易查出大量查看用户信息的人。

而且每一个用户我们都是严格的手机实名认证，人工电话，问过几个问题，有录音。这对恶意者有震慑作用。

armok.

armok. 发表于 2020-6-30 11:42
对头。

游客是无法查看用户页面的。只有登录了才能查看。

discuz 的系统设置游客可以查看这个页面。并且后台没有功能控制。

昨晚我已经让技术人员修正这个问题。 一会安装上去就解决了。

armok.

Appcat 发表于 2020-6-30 11:33
处理这个问题没有那么复杂，这个页面也不用关闭，毕竟站内用户还是需要使用的。
已登陆用户会有一个有效 ...

还有什么页面会被游客利用，泄露我们信息的？

大家列出来，我们一并处理。

armok.

armok. 发表于 2020-6-30 11:42
对头。

游客是无法查看用户页面的。只有登录了才能查看。

已经编程完成。  我们只设置了 VIP, VIP+, VIP++ VIP+++ ，管理员与版主可以查看资料。其它等级与游客不允许查看。




这是我们的后台界面：

ecba

xx想不到荔枝派的人这么龌龊。。。。真的是林子大了 什么鸟都有

cc2666

Appcat 发表于 2020-6-30 11:29
目前来看，这个情况是对方已经黔驴技穷了。就像小孩之间打架，打不过的一方，夜里跑到对方家门口撒泡尿，在 ...

感觉个人作案的话，应该到不了这个程度吧，是否可以判定为有团伙作案的嫌疑了

darthmike

厉害了，服气服气，66

lovewind

Appcat 发表于 2020-6-30 11:29
目前来看，这个情况是对方已经黔驴技穷了。就像小孩之间打架，打不过的一方，夜里跑到对方家门口撒泡尿，在 ...

之前网站之前的短信被消耗完了，难怪网友说无法注册，我看了下数据库，我操，都是发送短信的的记录，还好我里面不多的余额，每个手机号都换一个IP，于是我加了验证就好了

主要是没有得罪谁啊，感觉是吃饱没事干的，还收到过DDOS，一个月1-2次，持续了几个月

Appcat

lovewind 发表于 2020-7-10 22:00
之前网站之前的短信被消耗完了，难怪网友说无法注册，我看了下数据库，我操，都是发送短信的的记录，还好 ...

有一种可能情况，某些小短信运营商监守自盗，因为他的端口代理级别低，用户量小，所以利润上不来，成本也下不去。利用客户系统的漏洞或者是
审核以及日志的不严格，利用自动化脚本冒充客户系统盗用账户中的短信流量。客户发现不正常了，他们平台的日志里记录是是客户系统自己的发送记录。
结果谁也数不清楚。

lovewind

Appcat 发表于 2020-7-11 00:02
有一种可能情况，某些小短信运营商监守自盗，因为他的端口代理级别低，用户量小，所以利润上不来，成本也 ...

也许吧，概率低，我有数据库记录的，后来加了验证码就没有发生了