又被駭了嗎？快變色情站了!

康品穎

被盜用的趕快換密碼，否則會被刪帳號。

SIMON1016

刪帳號吧，講不聽。
要自己方便，不理管理員辛苦。
淨化掉也好。

SIMON1016

剛才看到，.四個會員，
其他百多位是遊客，
長久以來就懷疑這些是不是一直在測密碼。。

scottwang

SIMON1016 發表於 2019-4-1 06:13 AM
剛才看到，.四個會員，
其他百多位是遊客，
長久以來就懷疑這些是不是一直在測密碼。。 ...

剛開始是用5個會員,後來又變成6個會員,時間越久就破解得越多,不過不需要多也可以一直貼文,上兩次的沒有看到,無法了解詳情.
那些遊客大都是搜尋引擎所派出的搜尋引擎機器人(搜尋蜘蛛).
會來攻擊的應該是一陣一陣的,而且一來量就很大,而那些ˊ搜尋引擎數量的變動量不大,除非又有新的搜尋蜘蛛加進來,有了那些搜尋蜘蛛,網站才能被使用者搜尋到,而且每家搜尋引擎都不只派出一隻,都是派出好幾隻的.

wish

好像是凌晨5點吧！被烏骨雞學姐叫起來看伺服器.......

wish

SIMON1016 發表於 2019-4-1 05:50 AM
刪帳號吧，講不聽。
要自己方便，不理管理員辛苦。
淨化掉也好。

我還是沒有刪帳號，實在忍不下心去停權無辜的會員，尤其這次被盗帳密的還有changold2及mirage0706兩位老會員。
上次的經驗之後，我限制會員每小時能發帖的數量，使得這次的入侵只有一百多篇，大家也要注意你的註冊信箱密碼，如果你的信箱密碼也被破解，那用論壇的找回密碼功能就等同失效了。

論壇的漏洞還有那些久久才會上來論壇的會員，他們才是恐怖的未爆彈，因為他們都沒有改密碼，新註冊的會員則是沒有這個問題，因為前陣子我已改成密碼必須要包含英文大小寫及符號，這要破解的難度提高很多，我目前在嘗試修改只要會員沒有上來論壇一些日子，系統就自動鎖住帳號，必須要再如同發"激活"信到註冊信箱重新"激活"，這對常常上來論壇的會員完全沒有影響，非常時期大家就多擔待。

再重申一次，不要有僥倖心態認為不會掃到你。

xiaolaba

這個洞是堵不死的，與其說洞，不如說是縫隙，除了人機界面交叉，基本上只可限時限次

xiaolaba

最好電話問問被破的他們的PC有沒有異樣會員

NINJA

不刪帳號就改隨機密碼，如果帳號真的有人用，登不進去，就自己按忘記密碼去收信

是說國外的論壇phpbb/mybb也容易遇到密碼發文機器人破解的問題嗎？

SIMON1016

那麼可以設置個隔離區暫時停權發文，待改密碼後釋出。
或者 掃一 下  帳戶名與密碼相同的 放進去。
一週一次更新，有改的一週更新後自然離開名單。


更正，好像你的方法邏輯好 很多。

wish

xiaolaba 發表於 2019-4-1 12:48 PM
這個洞是堵不死的，與其說洞，不如說是縫隙，除了人機界面交叉，基本上只可限時限次 ...

論壇都有設定1個IP連續錯5次就得停15分鐘才能再輸入，問題是掃帳密的人也知道這個限制，所以他會準備很多IP來掃，5次錯誤就換另一個IP繼續掃，每個IP都掃過了也超過15分鐘，就可以用最先掃的IP再開始........，我最多只能設定連續超過5次錯誤就停更久的時間，不過太久也會造成困擾。

wish

xiaolaba 發表於 2019-4-1 12:50 PM
最好電話問問被破的他們的PC有沒有異樣會員

那就要等changold2及mirage0706兩位會員出來現身說法了

wish

NINJA 發表於 2019-4-1 01:57 PM
不刪帳號就改隨機密碼，如果帳號真的有人用，登不進去，就自己按忘記密碼去收信

是說國外的論壇phpbb/mybb ...

是的，我在刪那些色情文之前，第一步就是先改掉他們的密碼，他們再自行利用論壇的取回密碼功能取回。

xiaolaba

wish 發表於 2019-4-1 03:03 PM
論壇都有設定1個IP連續錯5次就得停15分鐘才能再輸入，問題是掃帳密的人也知道這個限制，所以他會準備很多 ...

錯５次就鎖

楊大俠

wish 發表於 2019-4-1 12:26 PM
好像是凌晨5點吧！被烏骨雞學姐叫起來看伺服器.......

三點多的時候，每版有兩則。後來我就不知道了

是因為流量大被盯上???

MARCO

wish 發表於 2019-4-1 03:03 PM
論壇都有設定1個IP連續錯5次就得停15分鐘才能再輸入，問題是掃帳密的人也知道這個限制，所以他會準備很多 ...

直接停一天  
反正可以用論壇的取回密碼功能

windata

wish 發表於 2019-4-1 03:03 PM
論壇都有設定1個IP連續錯5次就得停15分鐘才能再輸入，問題是掃帳密的人也知道這個限制，所以他會準備很多 ...

怎麼是這樣…

應該是該 id 被 踹 5 次就 delay xx 時間
換 IP 不該可以繼續 踹

相信我，停太久不會困擾，自己沒弄對密碼，就是需要時間冷靜一下
這段時間能瀏覽論壇
能餵公狗
不能發帖、回文、個人訊息功能，僅此而已
私訊的話更怕被收集，有些會員的個資
版務的事建議在有登入才能瀏覽的區塊討論

wish

MARCO 發表於 2019-4-1 07:16 PM
直接停一天  
反正可以用論壇的取回密碼功能

是的，這是目前的方法

bangder

我密碼設18碼有英文大小寫和特殊符號和數字
這樣強度應該很足夠了吧
努力飼公狗就對了

wish

windata 發表於 2019-4-1 07:31 PM
怎麼是這樣…

應該是該 id 被 踹 5 次就 delay xx 時間

錯誤5次就停15分鐘，如果這段時間換IP也不能登入，那真正的用戶不就不能登入了。

wish

楊大俠 發表於 2019-4-1 03:57 PM
三點多的時候，每版有兩則。後來我就不知道了

是因為流量大被盯上??? ...

這次是因為只有4位或5位會員密碼被攻破，再加上前幾天我設置了一個小時只能發20篇，再來是每篇要間隔15秒以上，所以色情帖到5點才只有不到200篇。

其實痞酷網是個小站，流量再大還是小站，我一直很納悶攻擊我們有什麼意思？

peter180

各位有用過『取回密碼』的功能嗎？

透過email發送密碼的功能，但是沒有收到通知信....

改了密碼，又忘了新密碼...囧。

手機瀏覽器紀錄的是舊密碼，一直不能登入。

xiaolaba

wish 發表於 2019-4-1 08:35 PM
這次是因為只有4位或5位會員密碼被攻破，再加上前幾天我設置了一個小時只能發20篇，再來是每篇要間隔15秒 ...

一錢財，二仇怨，三炫技，四無聊，五練兵，六隨機，七嫉妒
七宗罪隨便一筆都行

wish

peter180 發表於 2019-4-2 12:20 AM
各位有用過『取回密碼』的功能嗎？

透過email發送密碼的功能，但是沒有收到通知信....

我前幾天才試過

peter180

wish 發表於 2019-4-2 12:31 AM
我前幾天才試過

請問wish大，目前正常運作？

可是我真的沒收到mail。聯絡的Email沒錯、帳號名稱也沒錯

wish

peter180 發表於 2019-4-2 12:34 AM
請問wish大，目前正常運作？

可是我真的沒收到mail。聯絡的Email沒錯、帳號名稱也沒錯

管理員不能使用取回密碼功能，我是請一位會員試的，他跟我說可以。
你先看看有沒有被移到垃圾桶去了，或者多試幾次看看。
不然就請別的會員試看看了。

peter180

wish 發表於 2019-4-2 12:37 AM
管理員不能使用取回密碼功能，我是請一位會員試的，他跟我說可以。
你先看看有沒有被移到垃圾桶去了，或 ...

謝謝，我剛剛使用『修改密碼』。

重新設定了，也將密碼備份成文件檔。