最近论坛记录到一次暴力登录的攻击，高手进来分析一下【14楼mangolu接受处理】

armok. · 发表于 2020-11-3 15:52:59

我们通过后台数据抓包的方法，记录到最近有人使用这个密码： g00dPa$$w0rD 短时间内，对我们网站进行了6612次的登录。

发现异常情况后，我们编写的自动脚本，开始收集这个密码的攻击信息。下面是使用这个密码登录的用户名。

有时用户名看起来正常，但规则跟上次暴力注册大量用户名的规律一样、攻击时间也与之前的一致。所以，我几乎100% 认为是同一批人。上次我们已经认定是荔枝派的败类干的。

有时用户名就是一段代码：

攻击1.png

我将这6612次攻击数据，整理成EXCEL文件，供大家分析研究。

攻击记录.rar (172.39 KB)

shamiao · 发表于 2020-11-3 16:20:24

本帖最后由 shamiao 于 2020-11-3 16:21 编辑

SQL注入啊，太低级的攻击了。
真当discuz开发者（尤其是开发登录部分的）是白拿钱的啊？

** 从截图的特征来看，攻击者不是希望攻破或毁损数据，而是希望通过执行网络请求、线程同步休眠等耗时操作，来拖垮服务器资源。

cantonguy · 发表于 2020-11-3 16:21:11

用户名用代码还要这么长去暴力测试，会有命中率吗？除了拖死网站流量嫌疑外没看出为什么要这样做
难道是为了注册大量没用的用户然后撑爆服务器？

lusson · 发表于 2020-11-3 16:41:07

这个密码也比较有意思，goodpassword，看来很多人用这种意形。

cc2666 · 发表于 2020-11-3 16:43:37

小白问题：登录很耗资源吗？

如果是，那是不是可以改一下后台限制一个用户名短时间（比如72小时）登录次数不超过200次

毕竟正常人应该用不了这么多次

dreampet · 发表于 2020-11-3 19:04:43

没想到这年头还有SQL注入攻击

armok. · 发表于 2020-11-3 19:20:26

cc2666 发表于 2020-11-3 16:43
小白问题：登录很耗资源吗？

如果是，那是不是可以改一下后台限制一个用户名短时间（比如72小时）登录次数 ...

你没有了解问题的性质。

DDoS攻击，你的服务器可以拒绝，但拒绝需要消耗资源的。太多的申请要求，你的服务器就瘫痪了

Himem · 发表于 2020-11-3 20:01:40

本帖最后由 Himem 于 2020-11-3 20:02 编辑

觉得像是工具自动扫描找漏洞，还不是正式攻击阶段
pg_sleep是针对pgsql不是mysql
bxss.me貌似是域名？记录如何请求子域名的那种

剑舞 · 发表于 2020-11-3 20:20:06

这个完全不懂，专注于硬件开发的电工飘过，真心希望坛子里的大牛能搞个大讲堂，带底层的兄弟们入个门

pcwhy · 发表于 2020-11-4 04:07:14

剑舞发表于 2020-11-3 20:20
这个完全不懂，专注于硬件开发的电工飘过，真心希望坛子里的大牛能搞个大讲堂，带底层的兄弟们入个门 ...

找一本Penetration Test的PDF看看就懂了。

电子喵星人 · 发表于 2020-11-4 04:20:25

这种并不是DDOS攻击，是渗透攻击。IP都是同一个，其实是可以在web服务之前再前置一个类似nginx之类的反向代理服务器程序，以很低的资源耗费成本挡住，如配置每分钟每个IP地址允许的连接数。

armok. · 发表于 2020-11-4 05:01:43

电子喵星人发表于 2020-11-4 04:20
这种并不是DDOS攻击，是渗透攻击。IP都是同一个，其实是可以在web服务之前再前置一个类似nginx之类的反向代 ...

这种攻击根本无法影响我们。只是我们捕获到这样的攻击，分析一下而已。

mangolu · 发表于 2020-11-4 05:36:56

shamiao 发表于 2020-11-3 16:20
SQL注入啊，太低级的攻击了。
真当discuz开发者（尤其是开发登录部分的）是白拿钱的啊？

dusscuz也是中国人开发的吧？以本坛逻辑，中国人行吗？：）

armok. · 发表于 2020-11-4 07:48:02

mangolu 发表于 2020-11-4 05:36
dusscuz也是中国人开发的吧？以本坛逻辑，中国人行吗？：）

1。政治敏感警告一次。
2。政治敏感警告2次，永久封锁ID。
3。请48小时内道歉并且保证永远不再违法，并且接受封锁两个星期的处理，否则永久封锁ID。
因为你是VIP++，如果是VIP已经马上永久封锁ID了。

zhongsandaoren · 发表于 2020-11-4 08:33:02

mangolu 发表于 2020-11-4 05:36
dusscuz也是中国人开发的吧？以本坛逻辑，中国人行吗？：）

1、这不是本坛逻辑，不能戴帽子；
2、中国人民勤劳善良，请不要否定所有。

shamiao · 发表于 2020-11-4 12:00:08

本帖最后由 shamiao 于 2020-11-4 12:02 编辑

mangolu 发表于 2020-11-4 05:36

你哪怕讨论“康盛”（discuz开发商）和“腾讯”（康盛的母公司）的开发水平如何，都很好啊。
没人跟你讨论“中国人如何如何”这种宏大的命题。一开口就把讨论范围拉这么大，我怀疑你是研究社科的学生来骗论文。

mangolu · 发表于 2020-11-6 18:34:51

在此向各位坛友和阿莫道歉，不应该使用“本坛逻辑”这样的字眼！
本人承诺以后不再参与非技术性讨论！

armok. · 发表于 2020-11-6 18:58:34

mangolu 发表于 2020-11-6 18:34
在此向各位坛友和阿莫道歉，不应该使用“本坛逻辑”这样的字眼！
本人承诺以后不再参与非技术性讨论！ ...

好，这次就算了。

mangolu · 发表于 2020-11-6 21:51:36

armok. 发表于 2020-11-6 18:58
好，这次就算了。

谢谢！希望莫大可以搞像以前那样技术区和非技术区分开的。

armok. · 发表于 2020-11-7 00:00:12

mangolu 发表于 2020-11-6 21:51
谢谢！希望莫大可以搞像以前那样技术区和非技术区分开的。

没用的，你违规的是“论坛建设”，这个在纯技术论坛汇总也会出现的。

管住自己的嘴，发言前知道自己说什么，才是正道。

最近论坛记录到一次暴力登录的攻击，高手进来分析一下【14楼mangolu接受处理】

阿莫论坛20周年了！感谢大家的支持与爱护！！