第二次攻撃

wish

剛剛又來了一波色情廣告攻撃，有7位會員的密碼被破解，短短時間被貼了上千色情帖，我已經宣導很多次了還是有會員沒有改密碼，我有在考慮下次就直接封帳號了，封了帳號只能重新再申請一個，新帳號的密碼除了至少要有多少位數之外，也要有大小寫英文，還要有符號，這種強度比較有效。

再呼籲一次，請會員們立即更改你的密碼，尤其是那種很簡單的。

yiy123

能說是哪些人嗎? 或者提醒他們

a471

直接封帳號~~~進不來的直接找老大換密碼

雨知波自行維修

密碼可以用-/:;()$&@'?!"'!?,.~  嗎

SIMON1016

有點想把 物理常數 拿來當 密碼的念頭
自由空間阻抗 Z0=u0c0=376.730313461ohm ..改寫一下.....ohmZ0$u0c0$377
公尺用光速定義c0=299792458m/s................................... m/Sc0$299792458
電子伏特為單位的波茲曼常數8.617 343(15)×10−5 eV/K ....eV/K8617343xE-5

這樣會不會很宅?

專炸元件

有密碼產生器可用我現在是使用一組很難記憶的長密碼

scottwang

a471 發表於 2019-3-26 05:03 PM
直接封帳號~~~進不來的直接找老大換密碼

請你代轉,不然都進不來了,怎麼找?

rex560810

我改了，要大寫小寫還要特殊符號{:21_1692:}

ㄚ三哥

論壇似乎沒有單一登入功能，就是同一帳號，同一個時間只能允許一個裝置登入,，如果有，只要不登出就可以避免被盜用。

yung6313

安全題問有用嗎

wish

yiy123 發表於 2019-3-26 04:51 PM
能說是哪些人嗎? 或者提醒他們

這次我還是只改掉他們的密碼

wish

a471 發表於 2019-3-26 05:03 PM
直接封帳號~~~進不來的直接找老大換密碼

不改密碼造成論壇很大的困擾，我怎麼有那麼多時間弄這些？

wish

雨知波自行維修 發表於 2019-3-26 05:33 PM
密碼可以用-/:;()$&@'?!"'!?,.~  嗎

你可以試試改的過去嗎？

wish

SIMON1016 發表於 2019-3-26 05:53 PM
有點想把 物理常數 拿來當 密碼的念頭
自由空間阻抗 Z0=u0c0=376.730313461ohm ..改寫一下.....ohmZ0$u0c0$ ...

有何不可呢？

wish

專炸元件 發表於 2019-3-26 06:03 PM
有密碼產生器可用我現在是使用一組很難記憶的長密碼

這個好

wish

rex560810 發表於 2019-3-26 06:05 PM
我改了，要大寫小寫還要特殊符號

就是要這樣才難被猜出

wish

ㄚ三哥 發表於 2019-3-26 06:18 PM
論壇似乎沒有單一登入功能，就是同一帳號，同一個時間只能允許一個裝置登入,，如果有，只要不登出就可以避 ...

可以這樣設定，只是這樣只能對付已上線的，沒上線還是沒有用

wish

yung6313 發表於 2019-3-26 06:23 PM
安全題問有用嗎

當然有用，我也正在想開通

ㄚ三哥

wish 發表於 2019-3-26 08:07 PM
可以這樣設定，只是這樣只能對付已上線的，沒上線還是沒有用

設定單一登入功能，可以避免在線人員被重複登入，然後被掃密碼錯誤連續或是不連續達到設定次數，以信箱發信警告，這個可以自動作業吧？網站的困擾就是被攻擊，老大辛苦了。

或許直接限制每小時的發帖次數會更好，正常的發帖不會幾分鐘內數百或數千吧？

xiaolaba

還是很簡單, 不過已經改了, 連老爸都出動了

wish

ㄚ三哥 發表於 2019-3-26 09:07 PM
設定單一登入功能，可以避免在線人員被重複登入，然後被掃密碼錯誤連續或是不連續達到設定次數，以信箱發 ...

限制每小時發帖次數是可行，不過到底每小時要限制幾帖等我設定好再請大家測試看看。
暴力掃密碼是沒有什麼好方法可解的，把難度調高是最簡單的方法，也有一個最笨的方法，就是每篇都要審核，不過這下我就慘了。

醉在咖啡香

wish 發表於 2019-3-26 11:13 PM
限制每小時發帖次數是可行，不過到底每小時要限制幾帖等我設定好再請大家測試看看。
暴力掃密碼是沒有什 ...

上次 wish 大貼的攻擊
小弟還有印象
是許多 5xx.xxx.xxx.xxx 的非 IP 格式
這表示入侵者可能已經有這站台的某項權限了 (httpd / apache)

可能是
1. discuz 有漏洞
2. 已植入一個網頁程式或內嵌某頁
3. discuz 安裝擋是否刪除乾淨

建議 wish 大大比對一下目前版本 3.3
是否有多出不是你額外安裝的套件程式

若您將 duscuz 解壓至 /tmp/0326
find /tmp -type f | grep php$ | sed 's#/tmp/0326/#/#' > /tmp/d33.txt
若您 duscuz 放在 /var/www/html
find /var/www/html - type f | grep php$ | sed '#/var/www/html/#/#' > /tmp/old.txt

diff /tmp/old.txt /tmp/d33.txt
或在微軟環境使用 winmerge 比對多出哪些檔案
再搜尋是不是您安裝的額外套件

暴力破解的可行性不大 , 更何況透過網路
若針對 client 端取得密碼
不如釣魚 , 聆聽封包 , 或偷 cookies 再連線劫持

不知那些被偷的帳號 , 是否常上線 ?
但無論如何 , client 端中毒 , 是無法控制的

duscuz 可限制一定等級已上 , 不限時發文或不回答問題發文
中毒的就暫時降等或開間小黑屋來關

除非他養很多帳號 ...

單晶片微電腦

wish 發表於 2019-3-26 08:06 PM
就是要這樣才難被猜出

剛才小弟改了新密碼，反而不能登入，用舊的又可以，怎會這樣？

SIMON1016

單晶片微電腦 發表於 2019-3-27 01:10 AM
剛才小弟改了新密碼，反而不能登入，用舊的又可以，怎會這樣？

你的新密碼沒有修改成功，
請再改一次。

xiaolaba

wish 發表於 2019-3-26 11:13 PM
限制每小時發帖次數是可行，不過到底每小時要限制幾帖等我設定好再請大家測試看看。
暴力掃密碼是沒有什 ...

若被侵，試試看強制登入問答，非固定答案，例如個位數內外的加法，給五種組合，每隔一段時間自動變化初值，限時限次內暴力法是無能為力的，除非它人工分析你的算法

MARCO

wish 發表於 2019-3-26 08:04 PM
不改密碼造成論壇很大的困擾，我怎麼有那麼多時間弄這些？

可不可以設定登入IP
我只會在台灣用
不會到國外
可以限定國外IP不能登入

康品穎

我覺得安全提問，是最簡單又有效的方法。

正一

MARCO 發表於 2019-3-27 11:19 AM
可不可以設定登入IP
我只會在台灣用
不會到國外

論壇也有國外朋友在使用

MARCO

正一 發表於 2019-3-27 04:25 PM
論壇也有國外朋友在使用

台灣的可設定只能用台灣的IP上
國外的用國外的IP上

正一

MARCO 發表於 2019-3-27 06:08 PM
台灣的可設定只能用台灣的IP上
國外的用國外的IP上

是喔..........了解