26 января 2018 в 10:01
С сайтов на Друпал 7 с сегодняшней ночи стали приходить запросы на восстановление пароля. Причём массово, с разных сайтов, сделанных в разные годы, на разных хостингах. Очевидно, ходит какой-то бот.
Внимание вопрос - ни у кого таким образом ничего не ломали? Пока настроил оповещалки на почту, если админ входит, но мало ли, вдруг уязвимость какая, о которой я не знаю.
Комментарии
У меня на 90% сайтов регистрация закрыта и ссылка на восстановление заблокирована. На остальных буду мониторить, спасибо
Извините, если не секрет, как вы блокируете ссылку на восстановление пароля? Так: https://www.drupal.org/project/noreqnewpass ?
Ага
Жаловались в чятике уже на такое.
hook_menu_alter?
Без фатальных факапов?
Пока непонятно, что это и зачем.
Но парень один говорит, что у них прям по всем сайтам на серванте прошлись.
Вообще, с учётом того, что появились ориентированные на админку взломы, я сам в логах видел, как злоумышленник логинится, включает пхп-фильтр и через него заливает шелл.
Для нерадивых клиентов как вариант рассматриваю ограничение доступа к админке, либо по IP, либо по двухфакторке
Есть Restrict IP, Restrict Login or Role Access by IP Address позволяющие ограничить ip адрес для роли, например администраторов
Да у меня тоже такое на многих сайтах. Приходит письмо следующего содержания.
/*------------------------------------------------*/
Вы послали запрос на восстановление пароля к вашей учетной записи на сайте [Название сайта].
Вы также сможете войти на сайт [Название сайта], нажав на следующую ссылку или скопировав её в адресную строку вашего браузера:
[Тут стремная ссылка]
/*------------------------------------------------*/
Письмо приходит на имейл который виден на сайте (в контактах например). Т.е. имейл никак не связанный с админской учеткой.
Практически все письма идут на восстановление admin пользователя и на почту именно этого админ пользователя.
Дополнение: Емейлы админ пользователей сайтов нигде на сайте и вообще нигде не засвечены.
Вы пишите про фишинговую рассылку. А данный случай именно про обход форм восстановления пароля на сайтах и чаще всего пользователя admin.
по IP не вариант - сейчас с мобилки, через 10 мин с вафли. Двухфакторка выглядит наиболее приемлемым вариантом.
Да кстати а захват пусть не админского, а обычных пользовательских аккаунтов т.обр. возможен? Если это доска объявлений, где имейлы продавцов
Тоже наблюдаю такую картину массово. Судя по всему, бот ходит по формам восстановления пароля и делает запрос именно на пользователя admin. На сайтах, где такого пользователя нет (то есть учетка админа имеет другое имя), вроде не наблюдается подобной активности. Ссылка на восстановление формируется движком друпала и не является подложной.
Предполагаю, что может быть проверка на то, что у кого-то учетка admin может быть привязана к какой-то дефолтной почте, аля "admin@admin.com".
Злоумышленники зарегали подобные ящики и теперь таким не хитрым способом пытаются получить доступ к сайтам.
Но это пока вся только предположения. Посмотрим, чем это все обернется.
Ветка по проблеме на drupal.org: https://www.drupal.org/project/drupal/issues/2939720
На орге пишут что айпишник один и тот же. Какой-то школьник балуется.
До выяснения обстоятельств.
Забанили айпишник на серверах.
На сайтах для анонимов убрали восстановление:
<?phpfunction mymodule_menu_alter(&$items) {
$items['user/password']['access callback'] = FALSE;
}
?>
На сайте с юзерами - вешаем капчу.
На всякий случай сменили пароли.
Запросы на восстановление продолжаются. Сайты не страдают от этого? Пока ничего не заметила подозрительного.
Дополнение: на сайтах, где стояли модули защиты от спама (кроме Mollom, который по факту перестал работать) запросов на восстановление не наблюдается. Судя по всему бот не в состоянии преодолеть даже такие простые модули защиты как Honeypot.
Версия про "бешеного школьника-кулхацкера" становится все более вероятной
Просто как предположение.. кто-то завладел кучей мыл в полное пользование и пытается собрать админ-аккаунты, зарегистрированные на эти мыла.. имхо, конечно тупо..
Еще возможно, бот пытается куда-то ввести свое мыло.. а вдруг на него вышлют доступ к админ-аккаунту..
А есть ли это поле для мыла, бот не проверяет..
...
А вообще, проблема просто решается например на выделенном сервере..
У друпал есть некоторый список "легитимных" запросов на просмотр контента (кроме администрирования)..
Силами сервера фильтруем эти запросы, а админить ходим с одного IP по VPN (внутреннего IP VPN)..
Он (IP) точно будет всегда одинаковый и "неподделываемый"..
Тоже есть такая проблема и только с логином admin
у меня такая проблема не только с логином admin, такие же запросы приходят на сайт где логин админа идентичен домену