Завелись "крысы" . ;(( SMF 2.0.6 последний патч...

den812 · 12 декабря 2013, 02:26:30

Всем привет,

Завелись "крысы" на SMF 2.0.6 последний патч...

уже 70 тысяч аккаунтов наплодили .. сделали несколько постов..
очень много не авторизированных соответсвенно стоит авторизация по емейлу + капча + секр. вопрос

встает вопрос как они поломали аутентификацию?

и как собственно сейчас почистить юзеров..

выбираю удалить все не автивированные аккаунты за все время ( около 70 тыс) ну и конечно они не удаляются
происходит таймаут сервера ( nic.ru) хостинг ... "502 Bad Gateway nginx/1.0.6"

помогите избавиться от "крыс" .. ну и что за дыру они нашли?

den812 · 12 декабря 2013, 03:34:10

покопавшись нашел что был открыт поиск гостям .. отключил.. что еще то посмотреть?

iaroslav · 12 декабря 2013, 14:37:11

Аутетинфикацию никто не ломал.
Просто капчу боты научились ломать уже ооочень давно (посему толку, имхо, с неё в наше время не особо много). А секретный вопрос у вас либо такой, что уже есть в базе. Либо просто кто-то вручную вбил его ответ в базу ботам.
Соответственно лучше всего вам сменить вопрос и подождать что будет. Есть весьма приличный шанс, что регулярная смена вопросов окажется эффективной (по крайней мере мне в сходной ситуации оно помогло).

От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.
Посему, переводите сайт и сервер в ручной режим, гуглите как выставлять в нгиксе ограничение на количетсов подключений с одного ip и выставляете. Всё.
Ну или не гуглите, а просто почитайте соотвествующую тему на форуме руцентра. Но там, вроде, несколько устаревшие данные.

den812 · 12 декабря 2013, 15:02:14

Цитата: iaroslav от 12 декабря 2013, 14:37:11
Аутетинфикацию никто не ломал.
Просто капчу боты научились ломать уже ооочень давно (посему толку, имхо, с неё в наше время не особо много). А секретный вопрос у вас либо такой, что уже есть в базе. Либо просто кто-то вручную вбил его ответ в базу ботам.
Соответственно лучше всего вам сменить вопрос и подождать что будет. Есть весьма приличный шанс, что регулярная смена вопросов окажется эффективной (по крайней мере мне в сходной ситуации оно помогло).

От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.
Посему, переводите сайт и сервер в ручной режим, гуглите как выставлять в нгиксе ограничение на количетсов подключений с одного ip и выставляете. Всё.
Ну или не гуглите, а просто почитайте соотвествующую тему на форуме руцентра. Но там, вроде, несколько устаревшие данные.

спасибо, почитаю.. может все-же по таймауту кто сталкивался с этим на руцентере и как то уже решил? можно конечно полезть в базу написать запрост и в ручную удалить..юзеров.. просто боюсь связи какие то не потрутся..

iaroslav · 12 декабря 2013, 17:44:02

Я сталкивался. Правда сперва с 502й ошибкой нгикса (даже тему про это создавал) а потом с нашествием ботов (так как проблему с 502й ошибкой я решил раньше и про смену вопросов знал, то нашествие удалось задавить в зародыше, на первых десятках).
Решил как написано выше.

Цитата: iaroslav от 12 декабря 2013, 14:37:11
От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.

А пользователей лучше действительно вручную из админки поудаляйте.

den812 · 12 декабря 2013, 18:49:40

Цитата: iaroslav от 12 декабря 2013, 17:44:02Я сталкивался. Правда сперва с 502й ошибкой нгикса (даже тему про это создавал) а потом с нашествием ботов (так как проблему с 502й ошибкой я решил раньше и про смену вопросов знал, то нашествие удалось задавить в зародыше, на первых десятках).
Решил как написано выше.
Цитата: iaroslav от Сегодня в 14:37:11

От выпадения в 502 ошибку (таймаут, поверьте, здесь несколько не при делах) поможет грамотная настройка этого самого нгикса. Увы, в ру центре почему-то его по умолчанию на ограничение количества подключений с одного ip не настраивают.

А пользователей лучше действительно вручную из админки поудаляйте.

почитал тему, что - то в ней решения не увидел.. только нашел что ДДОС можек положить сервак и видимо потом бот может проломить защиту

про ручное удаление 70 тыс аккаунтов .. это вы шутите?

) по 20 на странице

)

iaroslav · 12 декабря 2013, 20:27:46

А, это я первое сообщение неправильно понял. В том смысле что я так понял что они к вам и по сей день ломятся, оттуда и 502я ошибка.
А так да, тогда сделайте бэкап базы. А потом действительно удаляйте всех через базу, после запустив пункт "найти и исправить любые ошибки" из админки.

den812 · 13 декабря 2013, 01:08:57

Закрыл поиск от гостей( странно, что он открыт по умолчанию ;( ),
убрал капчу и добавил еще пару новых вопросов и поменял сатрые

поток сообщений конечно иссяк, но
строки в логах:

"Ваш email должен быть проверен, прежде чем Вы сможете войти. - AswaiBat"

с разными логинами каждую минуту выпятся прмиено..
что они этим хотят добиться?

ну и тех кого я забанил от имени кого были последние посты .. пытались снова зайти .. видно по логу банов:
5.249.162.46       Eminfublilymn1    Вчера в 17:14:22
31.184.238.202       VictorNUMN    Вчера в 04:11:46
31.184.238.202       JosephFum    Вчера в 02:43:57

iaroslav · 13 декабря 2013, 09:52:34

Цитата: den812 от 13 декабря 2013, 01:08:57
что они этим хотят добиться?

Дык боты же. Их как разок запустили, так они и будут выполнять запрограммированные алгоритмы действий неопределённо долгое время.
Если у них небольшой набор адресов, можете их по ip банить непосредственно в конфиге нгикса. Или в .htacess ... Ибо на форуме ботов по ip банить особого смысла не вижу.
Ну и, всё-таки, ограничьте количество одновременных заходов с одного ip (как советовалось ранее).

Кстати, а это вы как так делаете?

Цитата: den812 от 12 декабря 2013, 03:34:10
покопавшись нашел что был открыт поиск гостям .. отключил..

Цитата: den812 от 13 декабря 2013, 01:08:57
Закрыл поиск от гостей( странно, что он открыт по умолчанию ;( ),

В смысле два дня подряд закрываете поиск от гостей.
А вообще зря вы с поиском заморачиваетесь. Для гостей при поиске требуют те же контрольные вопросы что и при регистрации. Соответственно он мало чем вам помешает.

Ну а с вопросами и капчёй всё правильно! Единственное что будьте готовы что вопросы придётся периодически обновлять, так как ботам могут говорить на них ответы.

den812 · 13 декабря 2013, 20:39:03

Цитата: iaroslav от 13 декабря 2013, 09:52:34
Дык боты же. Их как разок запустили, так они и будут выполнять запрограммированные алгоритмы действий неопределённо долгое время.
Если у них небольшой набор адресов, можете их по ip банить непосредственно в конфиге нгикса. Или в .htacess ... Ибо на форуме ботов по ip банить особого смысла не вижу.
Ну и, всё-таки, ограничьте количество одновременных заходов с одного ip (как советовалось ранее).

Кстати, а это вы как так делаете?В смысле два дня подряд закрываете поиск от гостей.
А вообще зря вы с поиском заморачиваетесь. Для гостей при поиске требуют те же контрольные вопросы что и при регистрации. Соответственно он мало чем вам помешает.

Ну а с вопросами и капчёй всё правильно! Единственное что будьте готовы что вопросы придётся периодически обновлять, так как ботам могут говорить на них ответы.

просто перечислил какие предпринял действия.. на второй форум сходил а там сходная картина .. буду чистить
про нгикс по подробнее где его настроить и как на ру центре?

den812 · 14 декабря 2013, 05:53:09

В продолжении борьбы:

лог файл в среднем каждую минут наполняется этим:

Код Выделить


Применить фильтр: Показать сообщения об ошибках этого пользователя Гость
Применить фильтр: Показать сообщения об ошибках этого IP адреса 91.200.14.96  
  	Показать в обратном хронологическом порядке Сегодня в 05:42:32
Применить фильтр: Показать сообщения об ошибках этой сессии 83f411a85733923c669f0145ac00a73e
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://1.spb.ru/index.php?action=login2
Применить фильтр: Показать ошибки только с теми сообщениями
Ваш email должен быть проверен, прежде чем Вы сможете войти. - pymbompangarm


	Применить фильтр: Показать сообщения об ошибках этого пользователя Гость
Применить фильтр: Показать сообщения об ошибках этого IP адреса 178.150.142.210  
  	Показать в обратном хронологическом порядке Сегодня в 05:41:39
Применить фильтр: Показать сообщения об ошибках этой сессии 3b7071c276e2de2d31e8ee6fef6fdae2
Применить фильтр: Отображать ошибки только этого типа Тип ошибки: Общие
Применить фильтр: Показать сообщения об ошибках этого адреса(URL)
http://1.spb.ru/index.php?action=login2
Применить фильтр: Показать ошибки только с теми сообщениями
Ваш email должен быть проверен, прежде чем Вы сможете войти. - coffeeplup

итд с разных IP иногда повторяются

видимо те что смогли зарегаться все-таки логинятся, но мессаджи постить не могутЪ т.к. новых спам сообщений нет
этих баню .. потом наблюдаю попытки входа с бан адресов и имен.

в основном у всех в подписи есть урлы на всякие сайты для раскруток, кто-то пытался сливать в МВД спамеров?
результаты от этого есть, потмоу как явно некоторые ИП конторские на территории РФ.. ясно что могут быть хакнутые компы.
но много рекламы местной они в мессаджах и подписях размещали.. вполне вероятно что можно выйти на прямой след..

явно заходят куками , пробуют решить вопросы и потом натравливают ботов:

вот например один из таких:

https://apps.db.ripe.net/search/query.html?searchtext=46.41.88.249#resultsAnchor

Код Выделить


46.41.88.249 	Гость 	Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 	Сегодня в 01:22:33
46.41.88.249 	Гость 	Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 	Вчера в 19:45:42
46.41.88.249 	Гость 	Ваш email должен быть проверен, прежде чем Вы сможете войти. - Nikita_Sak
?action=login2 	Вчера в 13:39:17

% Information related to '46.41.64.0/19AS21479'

route: 46.41.64.0/19
descr: Routing object of
descr: Division of JSC "UTK" "Rostovelectrosviaz" and its deport
origin: AS21479
mnt-routes: ROSTOV-TELEGRAF-MNT
mnt-by: ROSTOV-TELEGRAF-MNT
source: RIPE #Filtered

https://stat.ripe.net/46.41.64.0/19?sourceapp=ripedb#tabId=at-a-glance

kak2z · 14 декабря 2013, 10:38:20

Попали в базу хрумера вот Вас и долбят... поставьте что то хорошее для регистрации и забудьте про эти логи. Пусть долбят - потом из базы удалят.

den812 · 14 декабря 2013, 14:28:41

Цитата: kak2z от 14 декабря 2013, 10:38:20
Попали в базу хрумера вот Вас и долбят... поставьте что то хорошее для регистрации и забудьте про эти логи. Пусть долбят - потом из базы удалят.

спс.. что есть "хрумера" ?

GeorG · 14 декабря 2013, 15:18:26

Цитата: den812 от 14 декабря 2013, 14:28:41что есть "хрумера" ?

http://ru.wikipedia.org/wiki/XRumer