這就是最方便的結果

wish

多年的網站管理下來，我有了一套自己的經驗公式，我知道站在會員的角度，最好什麼都不設限，使用者方便最好，但是站在管理者的角度，網站的安全卻是凌駕在方便之上。

這陣子我一邊修改論壇的安全等級，一邊盯著論壇的後台記錄，剛剛我看了從20190630 00:00凌晨開始到目前20190630 10:00的會員登入記錄，因登入帳密錯誤被系統記錄的就有這些。

今天是星期日，是一星期中錄入會員最少的日子，而且凌晨已經是會員逐漸要就寢的時間，但是這段時間已經有14頁的登入錯誤記錄了，一頁是記錄20筆就會換一頁，所以下圖表示已經有280筆的登入錯誤記錄。





大家認為這是不是攻擊？這些人要嘗試登入做什麼？除了破壞我也想不出什麼理由？

我會不會一直改？這肯定會的，但是要改到什麼時候？這似乎是沒有答案。

目前論壇的最新版本因為並非同上幾次版本覆蓋就好，所以我遲延遲未動工，Google 要我改用SSL 的工作也尚未進行，這陣子我會開始進行這些工作，如果大家發現論壇設定不同以往的現象，歡迎提出大家一起解決。

最後跟大家報告，今天是本月最後一天，廣告收入慘淡情形就不多說了，至少最後一天讓它好看一些，麻煩大家了。

謝謝

323qazxsw

嘗試登入的帳號看起來都是英文名，英數都有的帳號也有嗎？
辛苦了⋯⋯我只能努力點公狗回報老大
大家有力岀力讓論壇更好

雨知波自行維修

有可能是來招商的，類似像這樣的，

wish

大家都知道論壇有登入錯誤次數的限制，登入錯誤3次以上，帳號就會被鎖住15分鐘才能再登入。
大家注意看那位Kap，他擁有非常多的IP，所以登入錯誤對他幾乎沒用，IP被鎖住就換一組IP繼續Try，等他把所有IP都用完，15分鐘的時間也過了，所以他可以一直嘗試登入。

或許大家會說把帳號刪了不就好了？這不是刪不刪的問題，刪了可以再重新申請一個，或者就換Try 其它會員，甚至Try 我的帳密也可以對吧！

所以我一直呼籲，要把自己的密碼全安要設複雜一些，因為痞酷網似乎被某些人盯上了，這才是我最納悶的地方，痞酷網根本沒有利益可言，花那麼多時間去破壞它的意義那底在那裡？

wish

323qazxsw 發表於 2019-6-30 10:44 AM
嘗試登入的帳號看起來都是英文名，英數都有的帳號也有嗎？
辛苦了⋯⋯我只能努力點公狗回報老大 ...

嘗試登人的帳號，中文、英文、英數的都有。

323qazxsw

痞酷網根本沒有利益可言，花那麼多時間去破壞它的意義那底在那裡？
我個人覺得可能是痞酷會員無私的分享維修方法及經驗⋯不藏私而影響到靠維修的人或店吧
所以想破壞讓ㄧ般使用者不要知道太多維修方法或換個小零件要收費那麼多

jeffyu

wish 大大：
我想可以從源頭來解決爆力登入的問題，
http://bbs.pigoo.com/home.php?mo ... 167843&do=index
這個會員的個人頁面中的 uid 是數字可以通過程式來抓取所有會員的id
建議把這一個頁面權限改成只有登入的會員才能觀看不要開放給訪客。

windata

入侵的目的簡單的分析
假設登入成功，得到了一般會員的權限，可以幹什麼？
1 打廣告，做生意的
2 放有毒連結，做假生意的，專取個資，進行不法行為
3 收集私訊裡所有個資，聯絡記錄，再進行詐騙

假設論壇權限有bug，他可以透過一般會員的權限去取得高級權限，甚至管理員權限
被入侵的會員有版主權限時，一般可以做的事就那些，但有沒有可能未公佈的漏洞？

訓練字典庫，如果這個 id -> pw 成功的話，會不會去別的論壇試，一定會！

目的很多，不要只想是不是論壇本身的價值，不擇手段的手段，已知的案例就這麼多，無法想像的更不可能說破
等累積一定籌碼時再大撈一筆(付錢啊，快)

總之，就建議：鎖 ip 加鎖帳號15分鐘

xiaolaba

允許錯10次，然後鎖24或48小時小時，鎖IP沒用因為是跳板

tacoclement

小弟也是IT，提供一些淺見：
1. 無論論壇規模大小、是否重要，以資安的角度來看，都要有基本限制
2. 除了上述基本的錯幾次/鎖多久之外，已經長期未使用的帳號，可設定幾個月沒登入就停用(也禁止登入)，需要登入就用email認證再登入；超過多久都沒有登入就刪除帳號，之後就要重新註冊
3. 登入複雜度可提升，登入是否有圖形驗證? 雖然已經有機器人可以做圖形驗證，但難度總比只有帳密的驗證難多了，只有帳密的驗證，機器人很容易做大量登入測試
4. 如果能觀察/掌握try帳密的特定IP，那就鎖IP。還是有用，雖然鎖個某個IP、駭客還是會用跳板用另一個IP，但這仍是有效減少攻擊的方式
5. 如上述有前輩提到的，一旦被取得最高權限，廣告事小，放釣魚(病毒)連結、詐騙(個資外洩，由此站個資再去try其他站)、甚至拿來當其他的攻擊跳板，轉而影響更多網站/使用者，是相當嚴重的

wish

tacoclement 發表於 2019-7-2 11:26 AM
小弟也是IT，提供一些淺見：
1. 無論論壇規模大小、是否重要，以資安的角度來看，都要有基本限制
2. 除了上 ...

謝謝你的寶貴意見，有幾個疑問請教︰
1. 設定幾個月沒有登入就停用，需要登入再用email 認證........，這一點對資安有什麼幫助呢？
2. 設置超過一段較長的時都沒有登入就刪除帳號，以後有需要再註冊，這一點對資安有什麼幫助呢？

那個Kap的帳號ip 我嘗試去阻擋，但是阻擋一個他就換一個，我甚至覺得那些ip 是假的，怎麼查出他的真實ip我也無能為力，不知道你有好方法嗎？
這個問題若不方便公開回答，請用站內訊息回覆。
再次感謝

jeanshyen

還是有不良的 傢伙 用 廣播 發送 約砲訊息 ~

tacoclement

wish 發表於 2019-7-2 11:41 AM
謝謝你的寶貴意見，有幾個疑問請教︰
1. 設定幾個月沒有登入就停用，需要登入再用email 認證........，這 ...

Wish大
1、2可以視為相同的問題，分兩階段來停用/刪除帳號。

如果是以論壇資安的角度，其實沒有直接影響、有間接影響

對個人資訊安全則有影響。因為有很大一部份的人，在各個論壇、網站設定的帳密，都是相同的，使用者因為某些需求來到某個網站，註冊了帳密，也許用一陣子之後就沒有再登入該網站了，但該網站卻被駭客try到帳密，取得個資後再拿來try其他網站帳密，這種就像是殭屍帳號了。假設某A同時有abc.com以及這裡的帳號，當abc.com的帳號被盜、駭客就到處try，try到這裡再盜此網站的同帳號(也可以反過來說盜此網站帳號再進而去try其他網站)。

如前述，設定機制將很久沒有活動的帳號分階段停用/刪除，可避免被盜用後利用來放廣告或詐騙，降低網站被間接影響的機率。(所以也可推論，嚴謹一些的註冊機制，像是圖形驗證、多一點關卡、需要人「親自」填寫的註冊機制，可避免駭客用機器人來大量註冊殭屍帳號)

阻擋IP小弟我也無解，我在公司也是一個一個檔；這可能要由經驗/功力更深厚的前輩指點了n_081|

但因為我們頭端有租用中華電信資安艦隊，等於是第一關在ISP業者這裡就會先把這種有問題的IP擋掉了，我這裡不需要再做其他設定(只有大方向的設定)，省事很多，再來才是進到防火牆，到防火牆的這裡的log看到的可疑IP已經寥寥可數、遇到的頻率也低，再設定逐一擋掉

tacoclement

jeanshyen 發表於 2019-7-2 01:41 PM
還是有不良的 傢伙 用 廣播 發送 約砲訊息 ~

這種不是利用機器人大量攻擊，而是少數、打游擊的真的防不慎防，最終還是要靠使用者舉報、論壇管理者發現才能處理

wish

tacoclement 發表於 2019-7-2 01:49 PM
Wish大
1、2可以視為相同的問題，分兩階段來停用/刪除帳號。

謝謝你的解說。
以我的了解，如果設定一段時間就先停用，會員自行用email認登就恢復，這點是可行，因為前些日子被破壞怕了，只能強迫會員更改密碼至少要8碼，而且內容要有大、小寫及符號等等，會員是可以接受，不過也發生了凍結之後無法恢復的例子，連我都無法恢復，要我去改db實在太痛苦了，只能算他倒楣重新註冊。

不過如果一段較長時間沒有登入，帳號就要刪除，我敢說被刪的一定跳腳或開罵，可行的方法是停權，不過只要帳號還在，當他登入時一發現被停權，一定是要求我把他的舊帳號開通，而不是他就重新註冊新會員，我這個人又心軟，好好的講我都狠不下心~~~。

記得我申請企業線路時，中華電信也問我要不要加入資安艦隊？不過痞酷網沒有贊助廠商，只有靠會員上來時點些廣告維持，一個月的100M/100M線路費用已經很高了，實在無力再負擔其它的費用，只能做罷。