- 引言
- 天降飛鍋
- 攻防階段1:封IP
- 攻防階段2:關(guān)入口
- 攻防階段3:調(diào)整驗(yàn)證方式
- 攻防階段4:升級(jí)驗(yàn)證方式
引言最近處理了一起針對(duì)開源社區(qū)的攻擊行為���,對(duì)方疑似動(dòng)用黑產(chǎn)勢(shì)力���,連續(xù)幾天發(fā)動(dòng)境內(nèi)外的肉雞IP發(fā)起大量注冊(cè)用戶請(qǐng)求,當(dāng)然了����,并不是真正的要注冊(cè)用戶����,而是利用注冊(cè)用戶的動(dòng)作���,把短信驗(yàn)證碼額度刷爆��,最瘋狂的那天刷了一萬(wàn)多條驗(yàn)證短信���,真是喪心病狂�����。
面對(duì)這些壞蛋���,我們當(dāng)然不能坐以待斃���,經(jīng)過幾次攻防交手,暫時(shí)是我們?nèi)〉眯佟?/font>
本文分享這次的攻防經(jīng)過����,希望對(duì)其他使用Discuz系統(tǒng)的朋友能有所幫助。
天降飛鍋某天,突然收到短信運(yùn)營(yíng)商告警�����,在一天內(nèi)被刷掉一萬(wàn)多條短信驗(yàn)證碼��,這顯然有問題���,如果這些都是真實(shí)注冊(cè)請(qǐng)求的話���,那我肯定超級(jí)開心,可惜并不是����。
攻防階段1:封IP經(jīng)過對(duì)訪問日志的分析,發(fā)現(xiàn)短時(shí)間內(nèi)有大量的境外IP請(qǐng)求用戶注冊(cè)接口����,很快就把每天的短信驗(yàn)證碼額度耗盡,導(dǎo)致正常的用戶注冊(cè)和登錄請(qǐng)求無(wú)法使用�。
對(duì)于這種情況,第一時(shí)間想到的是封禁這些IP�,把它們加到路由黑洞(/sbin/ip route add blackhole $IP)中,這樣做比用IPTABLE加防火墻規(guī)則效率更高�����,對(duì)服務(wù)器的性能損耗更小,而且不會(huì)給攻擊者回包�����,反過來(lái)影響其效率��。
不過��,這些專業(yè)的黑產(chǎn)勢(shì)力���,顯然是有充足的肉雞資源����,直接封IP的做法效果有限�����,還是無(wú)法阻止它們的攻擊�����。
攻防階段2:關(guān)入口黑產(chǎn)勢(shì)力實(shí)在太猖狂���,除了封IP外���,暫時(shí)還沒找到更好的辦法,只能先避其鋒芒�����,我惹不起還是躲得起的����。因此決定暫時(shí)先關(guān)閉注冊(cè)入口,以及短信驗(yàn)證碼方式登錄�����,只保留密碼登錄功能�����。
在Discuz管理后臺(tái)關(guān)閉注冊(cè)入口��,如下圖所示:
調(diào)整完后�����,黑產(chǎn)的請(qǐng)求量大概下降了一半,不過這招相當(dāng)于是殺敵一千����,自損八百,用戶的有些功能受限了�����,不是長(zhǎng)久之計(jì)�。
攻防階段3:調(diào)整驗(yàn)證方式在敵人的攻勢(shì)減弱后,就有更多時(shí)間思考和嘗試其他各種御敵之策了�。
相對(duì)最優(yōu)的解決辦法是修改注冊(cè)和登錄方式,只允許通過微信掃碼以及gitee/github等SSO單點(diǎn)登錄方式�,不過這需要額外功能開發(fā),也就是要另外付費(fèi)�����,先作為備選方案吧�����,你懂得的��。
在管理后臺(tái)反復(fù)查看后����,就試著修改驗(yàn)證方式,把原來(lái)的的“英文圖片驗(yàn)證碼”修改為“位圖驗(yàn)證碼”�����,肉眼看起來(lái)識(shí)別難度高一丟丟����,不過事實(shí)證明,對(duì)于黑產(chǎn)來(lái)說(shuō)�����,這不是事��,應(yīng)該是有方法可以直接破解的�����,因?yàn)樗鼈兊恼?qǐng)求量并沒明顯下降��。
在Discuz管理后臺(tái)修改驗(yàn)證碼設(shè)置:
修改前后驗(yàn)證碼圖片對(duì)比:
攻防階段4:升級(jí)驗(yàn)證方式再次研究Discuz系統(tǒng)管理后臺(tái)��,發(fā)現(xiàn)它的驗(yàn)證方式���,除了驗(yàn)證碼�����,還支持提問時(shí)互動(dòng)驗(yàn)證�,默認(rèn)支持100以內(nèi)的加減法問題交互驗(yàn)證。
在管理后臺(tái)啟用該功能:
啟用后效果如下圖所示:
出人意料的是���,啟用該功能后��,防護(hù)效果非常好��,幾乎所有的惡意請(qǐng)求都失效了���,雖然還能發(fā)起注冊(cè)接口請(qǐng)求,但已經(jīng)無(wú)法正確識(shí)別互動(dòng)問題驗(yàn)證碼��,也就沒辦法再把驗(yàn)證短信額度給刷爆了���。完美���!
值得表?yè)P(yáng)的是,該功能還支持自定義互動(dòng)問題����,這就給了我們極大發(fā)揮空間,我干脆把部分GreatSQL GCP認(rèn)證考試題作為互動(dòng)問題加進(jìn)來(lái)���。這樣一來(lái)�,不但可以防范黑勢(shì)力刷接口�,還可以讓正常的社區(qū)用戶順便當(dāng)做GCP考試練習(xí),一舉多得�����。
美中不足的時(shí)��,這個(gè)功能只支持針對(duì) 新用戶注冊(cè)���、發(fā)帖��、修改密碼這三個(gè)動(dòng)作生效�,不支持 用戶登錄(尤其是短信登錄)��、忘記密碼這兩個(gè)動(dòng)作�����,還不能全面防住,還需要進(jìn)一步想辦法���。
經(jīng)過一番艱難的摸索測(cè)試�,最終發(fā)現(xiàn)只需要對(duì)Discuz源碼中的模板文件做非常小的修改即可實(shí)現(xiàn)�����。
1����、修改模板文件 common/seccheck.htm,刪除原文件中第5����、8行的條件判斷
1 {eval
2 $sechash = !isset($sechash) ? 'S'.($_G['inajax'] ? 'A'.random(3) : '').$_G['sid'] : $sechash.random(3);
3 $sectpl = str_replace("'", "\'", $sectpl);
4 }
5 <!--{if $secqaacheck}-->
6 <span id="secqaa_q$sechash"></span>
7 <script type="text/javascript" reload="1">updatesecqaa('q$sechash', '$sectpl', '{$_G[basescript]}::{CURMODULE}');</script>
8 <!--{/if}-->
9 <!--{if $seccodecheck}-->
10 <span id="seccode_c$sechash"></span>
11 <script type="text/javascript" reload="1">updateseccode('c$sechash', '$sectpl', '{$_G[basescript]}::{CURMODULE}');</script>
12 <!--{/if}-->
也就是,將上述原文件修改為
1 {eval
2 $sechash = !isset($sechash) ? 'S'.($_G['inajax'] ? 'A'.random(3) : '').$_G['sid'] : $sechash.random(3);
3 $sectpl = str_replace("'", "\'", $sectpl);
4 }
6 <span id="secqaa_q$sechash"></span>
7 <script type="text/javascript" reload="1">updatesecqaa('q$sechash', '$sectpl', '{$_G[basescript]}::{CURMODULE}');</script>
9 <!--{if $seccodecheck}-->
10 <span id="seccode_c$sechash"></span>
11 <script type="text/javascript" reload="1">updateseccode('c$sechash', '$sectpl', '{$_G[basescript]}::{CURMODULE}');</script>
12 <!--{/if}-->
上述改動(dòng)的作用是使得 用戶登錄功能也能同時(shí)啟用兩種驗(yàn)證方式���。
2��、修改模板文件 member/login.htm�����,在第140行附近插入下面的代碼(這里直接展示git diff的結(jié)果)
--- a/member/login.htm
+++ b/member/login.htm
@@ -137,6 +137,11 @@
<div class="layui-form-item">
<input type="text" name="phone" lay-verify="required|phone" autocomplete="off" placeholder="手機(jī)號(hào)" lay-reqtext="請(qǐng)?zhí)顚懯謾C(jī)號(hào)" class="layui-input phone">
</div>
+ <!--{if $secqaacheck || $seccodecheck}-->
+ <!--{block sectpl}--><div class="layui-form-item secode"><i class="layui-hide"><sec>:</i><sec><i class="img_box"><sec></i></div><!--{/block}-->
+ <!--{subtemplate common/seccheck}-->
+ <!--{/if}-->
+ <div class="layui-form-item">^M
<div class="layui-form-item">
上述改動(dòng)的作用是使得 忘記密碼功能也能同時(shí)啟用兩種驗(yàn)證方式���。
至此�,用戶注冊(cè)�����、用戶登錄����、忘記密碼 等多處需要用到短信驗(yàn)證碼的入口����,均已同時(shí)啟用兩種驗(yàn)證方式。
問題暫時(shí)得以解決��,接下來(lái)要繼續(xù)關(guān)注黑勢(shì)力還有什么新的小動(dòng)作了��。
以上����,全文完。
如果對(duì)你有幫助的話�,還請(qǐng)幫忙動(dòng)動(dòng)可愛的小手點(diǎn)贊、轉(zhuǎn)發(fā)。