Странные запросы на восстановление доступа

Аватар пользователя fairrandir

С сайтов на Друпал 7 с сегодняшней ночи стали приходить запросы на восстановление пароля. Причём массово, с разных сайтов, сделанных в разные годы, на разных хостингах. Очевидно, ходит какой-то бот.

Внимание вопрос - ни у кого таким образом ничего не ломали? Пока настроил оповещалки на почту, если админ входит, но мало ли, вдруг уязвимость какая, о которой я не знаю.

Ключевые слова:
Тип материала:
Версия Drupal:
Форумы:
0 Thanks

Комментарии

Аватар пользователя itcrowd72
itcrowd72 4 недели назад

У меня на 90% сайтов регистрация закрыта и ссылка на восстановление заблокирована. На остальных буду мониторить, спасибо

Аватар пользователя Semantics
Semantics 4 недели назад

Жаловались в чятике уже на такое.

Аватар пользователя fairrandir
fairrandir 4 недели назад
itcrowd72 написал:
ссылка на восстановление заблокирована

hook_menu_alter?

Semantics написал:
Жаловались в чятике уже на такое.

Без фатальных факапов?

Аватар пользователя Semantics
Semantics 4 недели назад

Пока непонятно, что это и зачем.
Но парень один говорит, что у них прям по всем сайтам на серванте прошлись.

Вообще, с учётом того, что появились ориентированные на админку взломы, я сам в логах видел, как злоумышленник логинится, включает пхп-фильтр и через него заливает шелл.
Для нерадивых клиентов как вариант рассматриваю ограничение доступа к админке, либо по IP, либо по двухфакторке

Аватар пользователя VasyOK
VasyOK 3 недели назад

Да у меня тоже такое на многих сайтах. Приходит письмо следующего содержания.

/*------------------------------------------------*/
Вы послали запрос на восстановление пароля к вашей учетной записи на сайте [Название сайта].
Вы также сможете войти на сайт [Название сайта], нажав на следующую ссылку или скопировав её в адресную строку вашего браузера:
[Тут стремная ссылка]
/*------------------------------------------------*/

Письмо приходит на имейл который виден на сайте (в контактах например). Т.е. имейл никак не связанный с админской учеткой.

Аватар пользователя void
void 3 недели назад

Практически все письма идут на восстановление admin пользователя и на почту именно этого админ пользователя.

Аватар пользователя void
void 3 недели назад

Дополнение: Емейлы админ пользователей сайтов нигде на сайте и вообще нигде не засвечены.

Аватар пользователя void
void 3 недели назад

Вы пишите про фишинговую рассылку. А данный случай именно про обход форм восстановления пароля на сайтах и чаще всего пользователя admin.

Аватар пользователя ХулиGUN
ХулиGUN 3 недели назад

по IP не вариант - сейчас с мобилки, через 10 мин с вафли. Двухфакторка выглядит наиболее приемлемым вариантом.

Аватар пользователя VasyOK
VasyOK 3 недели назад

Да кстати а захват пусть не админского, а обычных пользовательских аккаунтов т.обр. возможен? Если это доска объявлений, где имейлы продавцов

Аватар пользователя hrizolyt
hrizolyt 3 недели назад

Тоже наблюдаю такую картину массово. Судя по всему, бот ходит по формам восстановления пароля и делает запрос именно на пользователя admin. На сайтах, где такого пользователя нет (то есть учетка админа имеет другое имя), вроде не наблюдается подобной активности. Ссылка на восстановление формируется движком друпала и не является подложной.
Предполагаю, что может быть проверка на то, что у кого-то учетка admin может быть привязана к какой-то дефолтной почте, аля "admin@admin.com".
Злоумышленники зарегали подобные ящики и теперь таким не хитрым способом пытаются получить доступ к сайтам.

Но это пока вся только предположения. Посмотрим, чем это все обернется.

Аватар пользователя ХулиGUN
ХулиGUN 3 недели назад

какая-нить капча на форме восстановления по идее должна помочь сбавить пыл бота.
Так же неисключена версия фишинговых писем

Аватар пользователя fairrandir
fairrandir 3 недели назад

На орге пишут что айпишник один и тот же. Какой-то школьник балуется.
До выяснения обстоятельств.

Забанили айпишник на серверах.

На сайтах для анонимов убрали восстановление:

<?php
function mymodule_menu_alter(&$items) {
  
$items['user/password']['access callback'] = FALSE;
}
?>

На сайте с юзерами - вешаем капчу.

На всякий случай сменили пароли.

Аватар пользователя bumble
bumble 3 недели назад

Подпишуся...

Аватар пользователя new-art21
new-art21 3 недели назад

Запросы на восстановление продолжаются. Сайты не страдают от этого? Пока ничего не заметила подозрительного.

Аватар пользователя Van&#039;Denis
Van'Denis 3 недели назад
1

Немного ПЬЯтничного юмора:
По своему усмотрению вынес тему на главную и распространил в соц. сетях дру.ру
В фб получилось так:

Странные запросы на восстановление доступа Drupal

Даже картинку не пришлось искать :)))

Аватар пользователя hrizolyt
hrizolyt 3 недели назад

Дополнение: на сайтах, где стояли модули защиты от спама (кроме Mollom, который по факту перестал работать) запросов на восстановление не наблюдается. Судя по всему бот не в состоянии преодолеть даже такие простые модули защиты как Honeypot.
Версия про "бешеного школьника-кулхацкера" становится все более вероятной :)

Аватар пользователя Orion76
Orion76 3 недели назад

Просто как предположение.. кто-то завладел кучей мыл в полное пользование и пытается собрать админ-аккаунты, зарегистрированные на эти мыла.. имхо, конечно тупо..
Еще возможно, бот пытается куда-то ввести свое мыло.. а вдруг на него вышлют доступ к админ-аккаунту..
А есть ли это поле для мыла, бот не проверяет..
...
А вообще, проблема просто решается например на выделенном сервере..
У друпал есть некоторый список "легитимных" запросов на просмотр контента (кроме администрирования)..
Силами сервера фильтруем эти запросы, а админить ходим с одного IP по VPN (внутреннего IP VPN)..
Он (IP) точно будет всегда одинаковый и "неподделываемый"..

Аватар пользователя varovae
varovae 3 недели назад

у меня такая проблема не только с логином admin, такие же запросы приходят на сайт где логин админа идентичен домену