Странные запросы на восстановление доступа

Главные вкладки

Аватар пользователя fairrandir fairrandir 26 января 2018 в 10:01

С сайтов на Друпал 7 с сегодняшней ночи стали приходить запросы на восстановление пароля. Причём массово, с разных сайтов, сделанных в разные годы, на разных хостингах. Очевидно, ходит какой-то бот.

Внимание вопрос - ни у кого таким образом ничего не ломали? Пока настроил оповещалки на почту, если админ входит, но мало ли, вдруг уязвимость какая, о которой я не знаю.

Комментарии

Аватар пользователя ivnish ivnish 26 января 2018 в 10:18

У меня на 90% сайтов регистрация закрыта и ссылка на восстановление заблокирована. На остальных буду мониторить, спасибо

Аватар пользователя fairrandir fairrandir 26 января 2018 в 10:46

itcrowd72 wrote:

ссылка на восстановление заблокирована

hook_menu_alter?

Semantics wrote:

Жаловались в чятике уже на такое.

Без фатальных факапов?

Аватар пользователя Semantics Semantics 26 января 2018 в 10:55

Пока непонятно, что это и зачем.
Но парень один говорит, что у них прям по всем сайтам на серванте прошлись.

Вообще, с учётом того, что появились ориентированные на админку взломы, я сам в логах видел, как злоумышленник логинится, включает пхп-фильтр и через него заливает шелл.
Для нерадивых клиентов как вариант рассматриваю ограничение доступа к админке, либо по IP, либо по двухфакторке

Аватар пользователя VasyOK VasyOK 26 января 2018 в 13:06

Да у меня тоже такое на многих сайтах. Приходит письмо следующего содержания.

/*------------------------------------------------*/
Вы послали запрос на восстановление пароля к вашей учетной записи на сайте [Название сайта].
Вы также сможете войти на сайт [Название сайта], нажав на следующую ссылку или скопировав её в адресную строку вашего браузера:
[Тут стремная ссылка]
/*------------------------------------------------*/

Письмо приходит на имейл который виден на сайте (в контактах например). Т.е. имейл никак не связанный с админской учеткой.

Аватар пользователя void void 26 января 2018 в 13:31

Практически все письма идут на восстановление admin пользователя и на почту именно этого админ пользователя.

Аватар пользователя void void 26 января 2018 в 13:40

Вы пишите про фишинговую рассылку. А данный случай именно про обход форм восстановления пароля на сайтах и чаще всего пользователя admin.

Аватар пользователя VasyOK VasyOK 26 января 2018 в 13:22

Да кстати а захват пусть не админского, а обычных пользовательских аккаунтов т.обр. возможен? Если это доска объявлений, где имейлы продавцов

Аватар пользователя hrizolyt hrizolyt 26 января 2018 в 13:49

Тоже наблюдаю такую картину массово. Судя по всему, бот ходит по формам восстановления пароля и делает запрос именно на пользователя admin. На сайтах, где такого пользователя нет (то есть учетка админа имеет другое имя), вроде не наблюдается подобной активности. Ссылка на восстановление формируется движком друпала и не является подложной.
Предполагаю, что может быть проверка на то, что у кого-то учетка admin может быть привязана к какой-то дефолтной почте, аля "admin@admin.com".
Злоумышленники зарегали подобные ящики и теперь таким не хитрым способом пытаются получить доступ к сайтам.

Но это пока вся только предположения. Посмотрим, чем это все обернется.

Аватар пользователя fairrandir fairrandir 26 января 2018 в 15:41

На орге пишут что айпишник один и тот же. Какой-то школьник балуется.
До выяснения обстоятельств.

Забанили айпишник на серверах.

На сайтах для анонимов убрали восстановление:

<?php
function mymodule_menu_alter(&$items) {
  
$items['user/password']['access callback'] = FALSE;
}
?>

На сайте с юзерами - вешаем капчу.

На всякий случай сменили пароли.

Аватар пользователя new-art21 new-art21 26 января 2018 в 16:01

Запросы на восстановление продолжаются. Сайты не страдают от этого? Пока ничего не заметила подозрительного.

Аватар пользователя hrizolyt hrizolyt 26 января 2018 в 18:38

Дополнение: на сайтах, где стояли модули защиты от спама (кроме Mollom, который по факту перестал работать) запросов на восстановление не наблюдается. Судя по всему бот не в состоянии преодолеть даже такие простые модули защиты как Honeypot.
Версия про "бешеного школьника-кулхацкера" становится все более вероятной Smile

Аватар пользователя Orion76 Orion76 26 января 2018 в 21:24

Просто как предположение.. кто-то завладел кучей мыл в полное пользование и пытается собрать админ-аккаунты, зарегистрированные на эти мыла.. имхо, конечно тупо..
Еще возможно, бот пытается куда-то ввести свое мыло.. а вдруг на него вышлют доступ к админ-аккаунту..
А есть ли это поле для мыла, бот не проверяет..
...
А вообще, проблема просто решается например на выделенном сервере..
У друпал есть некоторый список "легитимных" запросов на просмотр контента (кроме администрирования)..
Силами сервера фильтруем эти запросы, а админить ходим с одного IP по VPN (внутреннего IP VPN)..
Он (IP) точно будет всегда одинаковый и "неподделываемый"..

Аватар пользователя varovae varovae 31 января 2018 в 13:16

у меня такая проблема не только с логином admin, такие же запросы приходят на сайт где логин админа идентичен домену