有非法用户通过<我的访客>功能传播广告，请劳烦管理处理【已经解决】

jsyzlyk

具体截图如下：

UID：1424043

qhcplus

我一看我的也有

armok.

这是机器人注册的新用户，基本没有办法解决。

我们可以将：我的访客 这个功能删除。大家有意见吗？

cne53102

armok. 发表于 2022-5-8 19:13
这是机器人注册的新用户，基本没有办法解决。

我们可以将：我的访客 这个功能删除。大家有意见吗？ ...
(引用自3楼)

存在比删除这个功能更优先的需要删除的东西：

1.他是如何成为访客的？即他访问了论坛用户的什么？应该删除那个部分，删除访问者的访问能力，而不是被访问者的检查能力。

2.好友功能里的在线成员里显示论坛用户的时候会显示最近的一个动态，该内容的显示很可能并不受访问者的身份限制，导致越级访问。
有意者可以制作内容监视程序或脚本，持续跟踪特定用户的动态变化，从而不受限制的高效的得到多个对应用户的发帖列表。
另外论坛的收听功能可能也存在类似的风险，不知道之前弄收听功能的时候有没有清除掉所有用户的“被收听”状态，我记得这个好像被收听的人没法取消收听者。
我看到论坛仍然具有“收听TA”按钮，如果只是删除了入口，功能仍然还在，那么风险就还在。

armok.

cne53102 发表于 2022-5-8 20:02
存在比删除这个功能更优先的需要删除的东西：

1.他是如何成为访客的？即他访问了论坛用户的什么？应该删 ...
(引用自4楼)

discuz功能非常多。外面研究得很透彻，想完全堵死基本是不可能的。

jsyzlyk

armok. 发表于 2022-5-8 19:13
这是机器人注册的新用户，基本没有办法解决。

我们可以将：我的访客 这个功能删除。大家有意见吗？ ...
(引用自3楼)

我觉得可以禁用非vip的此功能，譬如说非vip访问别人不会留下【我的访客】的记录
这样能解决批量注册新用户打广告的功能，也不会把论坛的功能越做越少

armok.

jsyzlyk 发表于 2022-5-8 20:26
我觉得可以禁用非vip的此功能，譬如说非vip访问别人不会留下【我的访客】的记录
这样能解决批量注册新用 ...
(引用自6楼)

禁止不了。至少我们目前没有找到方法。

armok.

我们正在追踪数据来源。

现在已经清零了之前的数据。

该用户从从2月7号，到5月8号（今天），以每秒4个用户的访问速度对我们网站进行骚扰。

这些访问数据备份后已经删除。

大家”我的访客”里面，应该看不到这个数据了。

我们正在追踪数据来源，找到就可以彻底封杀这种骚扰。

armok.

已经解决。找到了恶意用户攻击我们的手法，已经编程将漏洞修复。

jsyzlyk

armok. 发表于 2022-5-8 22:10
已经解决。找到了恶意用户攻击我们的手法，已经编程将漏洞修复。
(引用自9楼)

莫大，依然能在<在线成员>中看见他

cne53102

他一个未验证用户是怎么访问的。。

armok.

jsyzlyk 发表于 2022-5-8 23:22
莫大，依然能在中看见他
(引用自10楼)

我们故意没有封锁它。看看它还有什么办法冲破我们。

armok.

cne53102 发表于 2022-5-8 23:51
他一个未验证用户是怎么访问的。。
(引用自11楼)

游客都可以访问很多页面。

armok.

该恶意用户仍然在线骚扰我们。

我查了后天，一整晚了，没有增加一条“我的访客”数据。

可以封锁这个恶意用户了。