我不确定 ServerFault 是否是提出此类问题的正确地方:如果另一个 StackExchange 网站更合适,请重定向,但我认为这是“最正确”的网站。
在我担任管理员的其中一台服务器上有一个论坛。该服务器本身是一台专用服务器,仅用作 Web 服务器,但上面有几个 Web 应用。它是最新的 Tomcat + 最新的 JDK(因此最近的远程 Java DoS 无法工作),如果这很重要的话。
我看到了一种非常奇怪的(AFAICT 不成功的)攻击,我想了解更多相关信息。
基本上,我收到了几个等待审核的论坛帖子(每个论坛帖子都需要验证,因为我们过去曾被那些手动创建帐户然后自动发帖的人骚扰过),其中包含以下文本:
你好,我不知道我是否在正确的论坛上写作,但我遇到了激活问题,我在电子邮件中收到的链接不起作用......
现在,如果你在 Google 上搜索那句(写得不好的)句子,你会发现有很多人在读(近 50 万)。很多人甚至回复了这条消息,询问类似这样的问题“你在说什么?电子邮件链接应该可以工作,等等。”。
没人知道这是来自哪种恶意软件吗?这显然是某种半高级的自动攻击,因为它绕过了验证码。(用户如果不先激活他的账户,就无法在我的论坛上发送该消息,为此,他需要获得激活电子邮件,它做到了……如果不破解验证码,你就无法获得激活电子邮件,所以这个机器人肯定可以破解一些验证码)。它是一个机器人,因为如果不使用机器人,你就不会在 Google 上为该特定句子获得 50 万次点击 ;)
另外,我不太明白这种攻击的意义:目的是用 Google 搜索那句糟糕的句子(保证是唯一的)来查看哪些论坛不需要审核或不执行垃圾邮件清理?
或者让某人以有效用户的身份发帖,以便攻击者被标记为“有效用户”或其他什么?
我就是搞不懂。再说一次,如果有人知道这方面的信息,我愿意倾听,因为我很困惑。
我看到实施这些攻击的卑鄙小人使用的注册电子邮件都是。信息电子邮件地址。
我应该开始禁止。信息电子邮件地址?
是否有已知 IP 需要禁止?(例如,我的目标市场不包括中国,因此禁止整个中国实际上不会对我造成丝毫影响)
我并没有受到特别的影响,因为我在论坛上收到这些处于“待激活”状态的消息(所有这些都需要审核:我的意思是论坛+所有子论坛),但我仍然想了解更多关于他的情况...这似乎是一种常见的瘟疫,似乎袭击了相当多的服务器。
答案1
理论上,我猜想他们可以将其作为占位符文本发布,一旦他们确认他们有一个可以发布的“有效”帐户,他们就会回来使用这个论坛帐户发送垃圾邮件。
这样做可以让他们收获“有效”的论坛帐户,然后当他们因特定的垃圾邮件活动而获得报酬时,他们不必在新帐户中发帖,因为新帐户可能会受到更严格的垃圾邮件控制。
显然,我是在无计可施!