Странные запросы на восстановление доступа

Аватар пользователя fairrandir

С сайтов на Друпал 7 с сегодняшней ночи стали приходить запросы на восстановление пароля. Причём массово, с разных сайтов, сделанных в разные годы, на разных хостингах. Очевидно, ходит какой-то бот.

Внимание вопрос - ни у кого таким образом ничего не ломали? Пока настроил оповещалки на почту, если админ входит, но мало ли, вдруг уязвимость какая, о которой я не знаю.

Тип материала:
Версия Drupal:
Форумы:
0 Thanks

Комментарии

Аватар пользователя itcrowd72
itcrowd72 11 месяцев назад

У меня на 90% сайтов регистрация закрыта и ссылка на восстановление заблокирована. На остальных буду мониторить, спасибо

Аватар пользователя Semantics
Semantics 11 месяцев назад

Жаловались в чятике уже на такое.

Аватар пользователя fairrandir
fairrandir 11 месяцев назад
itcrowd72 написал:
ссылка на восстановление заблокирована

hook_menu_alter?

Semantics написал:
Жаловались в чятике уже на такое.

Без фатальных факапов?

Аватар пользователя Semantics
Semantics 11 месяцев назад

Пока непонятно, что это и зачем.
Но парень один говорит, что у них прям по всем сайтам на серванте прошлись.

Вообще, с учётом того, что появились ориентированные на админку взломы, я сам в логах видел, как злоумышленник логинится, включает пхп-фильтр и через него заливает шелл.
Для нерадивых клиентов как вариант рассматриваю ограничение доступа к админке, либо по IP, либо по двухфакторке

Аватар пользователя VasyOK
VasyOK 11 месяцев назад

Да у меня тоже такое на многих сайтах. Приходит письмо следующего содержания.

/*------------------------------------------------*/
Вы послали запрос на восстановление пароля к вашей учетной записи на сайте [Название сайта].
Вы также сможете войти на сайт [Название сайта], нажав на следующую ссылку или скопировав её в адресную строку вашего браузера:
[Тут стремная ссылка]
/*------------------------------------------------*/

Письмо приходит на имейл который виден на сайте (в контактах например). Т.е. имейл никак не связанный с админской учеткой.

Аватар пользователя void
void 11 месяцев назад

Практически все письма идут на восстановление admin пользователя и на почту именно этого админ пользователя.

Аватар пользователя void
void 11 месяцев назад

Дополнение: Емейлы админ пользователей сайтов нигде на сайте и вообще нигде не засвечены.

Аватар пользователя void
void 11 месяцев назад

Вы пишите про фишинговую рассылку. А данный случай именно про обход форм восстановления пароля на сайтах и чаще всего пользователя admin.

Аватар пользователя ХулиGUN
ХулиGUN 11 месяцев назад

по IP не вариант - сейчас с мобилки, через 10 мин с вафли. Двухфакторка выглядит наиболее приемлемым вариантом.

Аватар пользователя VasyOK
VasyOK 11 месяцев назад

Да кстати а захват пусть не админского, а обычных пользовательских аккаунтов т.обр. возможен? Если это доска объявлений, где имейлы продавцов

Аватар пользователя hrizolyt
hrizolyt 11 месяцев назад

Тоже наблюдаю такую картину массово. Судя по всему, бот ходит по формам восстановления пароля и делает запрос именно на пользователя admin. На сайтах, где такого пользователя нет (то есть учетка админа имеет другое имя), вроде не наблюдается подобной активности. Ссылка на восстановление формируется движком друпала и не является подложной.
Предполагаю, что может быть проверка на то, что у кого-то учетка admin может быть привязана к какой-то дефолтной почте, аля "admin@admin.com".
Злоумышленники зарегали подобные ящики и теперь таким не хитрым способом пытаются получить доступ к сайтам.

Но это пока вся только предположения. Посмотрим, чем это все обернется.

Аватар пользователя ХулиGUN
ХулиGUN 11 месяцев назад

какая-нить капча на форме восстановления по идее должна помочь сбавить пыл бота.
Так же неисключена версия фишинговых писем

Аватар пользователя fairrandir
fairrandir 11 месяцев назад

На орге пишут что айпишник один и тот же. Какой-то школьник балуется.
До выяснения обстоятельств.

Забанили айпишник на серверах.

На сайтах для анонимов убрали восстановление:

<?php
function mymodule_menu_alter(&$items) {
  
$items['user/password']['access callback'] = FALSE;
}
?>

На сайте с юзерами - вешаем капчу.

На всякий случай сменили пароли.

Аватар пользователя bumble
bumble 11 месяцев назад

Подпишуся...

Аватар пользователя new-art21
new-art21 11 месяцев назад

Запросы на восстановление продолжаются. Сайты не страдают от этого? Пока ничего не заметила подозрительного.

Аватар пользователя Van&#039;Denis
Van'Denis 11 месяцев назад
1

Немного ПЬЯтничного юмора:
По своему усмотрению вынес тему на главную и распространил в соц. сетях дру.ру
В фб получилось так:

Странные запросы на восстановление доступа Drupal

Даже картинку не пришлось искать :)))

Аватар пользователя hrizolyt
hrizolyt 11 месяцев назад

Дополнение: на сайтах, где стояли модули защиты от спама (кроме Mollom, который по факту перестал работать) запросов на восстановление не наблюдается. Судя по всему бот не в состоянии преодолеть даже такие простые модули защиты как Honeypot.
Версия про "бешеного школьника-кулхацкера" становится все более вероятной :)

Аватар пользователя Orion76
Orion76 11 месяцев назад

Просто как предположение.. кто-то завладел кучей мыл в полное пользование и пытается собрать админ-аккаунты, зарегистрированные на эти мыла.. имхо, конечно тупо..
Еще возможно, бот пытается куда-то ввести свое мыло.. а вдруг на него вышлют доступ к админ-аккаунту..
А есть ли это поле для мыла, бот не проверяет..
...
А вообще, проблема просто решается например на выделенном сервере..
У друпал есть некоторый список "легитимных" запросов на просмотр контента (кроме администрирования)..
Силами сервера фильтруем эти запросы, а админить ходим с одного IP по VPN (внутреннего IP VPN)..
Он (IP) точно будет всегда одинаковый и "неподделываемый"..

Аватар пользователя lukasss-vs
lukasss-vs 11 месяцев назад

Тоже есть такая проблема и только с логином admin

Аватар пользователя varovae
varovae 11 месяцев назад

у меня такая проблема не только с логином admin, такие же запросы приходят на сайт где логин админа идентичен домену