聊一聊Discuz论坛账号爆破和伪造隐藏IP入侵再到sql注入攻击

admin

记得一乐论坛从14年开始被人利用DZ论坛爆破工具破解了N个弱密码的账号，当时一直不知道也不清楚是如何被破解的，既然不知道是如何被破解的，所以也就不知道如何防范，当然只能怪管理员无知和愚蠢，一直以为是其他论坛泄露的密码，所以从被盗号搞诈骗到发黄色信息，断断续续持续到19年下半年才算解决了几年来困扰的问题，这期间经历了N个无眠的夜晚，而每逢节假日更是提心吊胆，不知道这捣蛋鬼什么时候又来捣乱。
开始被盗号，对应的方法就是利用论坛的程序封禁IP地址，严重一点的只是简单的重装系统和论坛程序，开始利用论坛的程序封闭IP地址还有点效果，因为那个时候IP地址还没有隐藏和伪装，直到有一天发现被盗号被登陆的账号出现登陆异常，显示的IP地址也是无效IP，（例如IP地址显示282.817.610.459 - Invalid IP Address）当时还以为是IPV6的地址，（网上也有说法是IPV6）或许是捣蛋鬼故意遮人耳目而故意制造的假象，当时简直就是束手无策，无法封禁IP，只能封禁账号。
17年开始论坛升级为https加密链接，本以为盗号到此结束，没想到问题依旧，最搞笑的就是早上在论坛说解决安全问题，下午捣蛋鬼就给你来个啪啪的打脸，没办法，谁叫咱网络知识落后，落后就要挨打，这就是赤裸裸的给站长打脸。
到了19年，听朋友说今年的网络环境差，网警要求网站要达到一定的级别的等保，否则就关闭网站，因为领导人不想看到网站被肉鸡被人利用来攻击重要目标和设备，为了测试大局域网的网站是否符合要求，各大网络保安公司纷纷举行大练兵，各出奇招，举行比赛，看谁的攻击和防御能力强，因为谁的分数高就采购谁家的安保产品，这可苦了防御能力差的网站，凡是被网络保安公司攻破的网站，轻者被要求加强防御，重者直接关闭网站，为了不被关站，本站苦下决心，花费大量财力和物力用在服务器的防护上面，到目前为止，已经杜绝盗号的情况发生，当然，之前本站曾经采用手机才能注册网站，后来发现手机注册被接码平台轻松破解，捣蛋鬼使用接码平台新注册N个账号再使用隐藏IP的方式批量发帖的，还好被本站的防火墙封禁了，所以本站现在是直接采用最原始的电子邮箱，微信和QQ注册，到目前为止，本站的防火墙运行一切正常，靠伪造隐藏IP在本站也是行不通的，不过随着网络技术的日新月异，随着IPV6协议的到来，一切随时都是说变就变，只有不断学习才能应付来自四面八方的威胁，当然你也可以花钱购买服务，不过作为普通站长来说，那可是一笔不小的费用，可以说一个网站费用最大的一块就是防御系统了。

小黑折腾diy

小广告加好友的也不见了，甚是想念

QDHAM

且行且珍惜，一乐现在目前来说还是不错的，我个人非常喜欢的站点

HGQ21102

还是N多个网站帐号与密码都是一样的吧，我现在分开网站设置不同的密码，如密码格式采用：固定字母+网站（地址前几位）+固定数字+固定字母；强吧,只在记得固定部分的密码就行，当然帐号都一样的
;;

junyee

HGQ21102 发表于 2019-11-14 10:01
还是N多个网站帐号与密码都是一样的吧，我现在分开网站设置不同的密码，如密码格式采用：固定字母+网站（地 ...

你别说出来呀.我的密码就是这样子设的,,要命..

,
我的密码是根据网站不同有不同的前缀 加后面固定的字母/数字密码.
麻烦的是,有些论坛要求加特殊字符,有的不要求甚至不允许特殊字符或限定密码长度.....
又不能大统一了

njzt

站长辛苦了  真是要斗智斗勇的

天风雪雨

一乐已经算做的很好了，看看隔壁矿坛，当初矿坛被盗号我就知道那里根本没人管论坛安全这个东西了（因为那时候我矿坛的账号密码是完全独立的）。仗着自己林子大，根本不管你什么论坛保护。去年到今年无数人提出论坛小广告有指向性链接自动跳转，就是不闻不问，还说是你浏览器怎么怎么不好。

admin

天风雪雨 发表于 2019-11-14 18:48
一乐已经算做的很好了，看看隔壁矿坛，当初矿坛被盗号我就知道那里根本没人管论坛安全这个东西了（因为那时 ...

小网站管理起来相对容易，俗话说船小好掉头。

落花萧然

创造了一个新的生态链

tzyjf

HGQ21102 发表于 2019-11-14 10:01
还是N多个网站帐号与密码都是一样的吧，我现在分开网站设置不同的密码，如密码格式采用：固定字母+网站（地 ...

我也这样设置的，就是有些网站密码长度有限制。弄的只有在取回密码时，才知道是长度问题