大家一起来聊聊本次大规模扫号 update1

theone

这三天扫号确实太夸张，自认为比较淡定的我，这三天都专门抽大段大段的时间来研究怎么应对，比如今天，7点不到就起来观察情况，分析数据，期间还包括服务器因数据整理问题down了一小段时间。

我先给大家汇报下这次扫号行为的数据分布情况做汇报，不做背后目的分析。

这次扫号总体来说有如下不同寻常的特点：
1，扫号IP地址归属区域特别集中，分为国外IP部分和国内IP部分，系统自动封禁的都是国内IP，国外IP不在系统自动封禁的系统日志中，在密码错误记录中发现；

国外部分
都是连续的IP地址，不以个数计算，而是以IP段计算，其中104.32地址段的每个IP只尝试一个UID（论坛可使用UID登录）一个密码，共计22110个IP，系统记录的时间开始于2013-3-9 3:34，结束于2013-3-9 3:53，共计耗时19分钟，平均每分钟使用1164个IP尝试登录1164个帐号，3线程（设备？）或者4线程或者5线程同时对多个UID段进行扫号；类似这样的连续大规模IP段还有很多，都是国外的连续IP；全部是尝试UID登录。

国内部分
主要集中在湖北和河南，IP地址不连续，很能是ADSL拨号，一个IP尝试到被系统自动封禁为止，再换一个IP；多以尝用户名登录为主

2，滥发AD的目前抽样结果均是国内IP，多集中在湖北，部分在河南，还少量其他地区；

3，全天候，一般扫号滥发广告多集中爆发在夜间绝大多数人休息的时段，我们这次碰到的情况是不分时间的，一直源源不断。

平时一个月，记录密码输入错误的日志只有3M左右，3月份的密码错误日志已经多达142M，也就是正常情况下，9天不到的密码错误日志相当于我们接近40多个月的错误日志之和。

数字是冰冷的，直接的，隐藏在数字背后的东西，我不做公开的个人分析，这不是我这个帖子的目的，我这个帖子主要是这次情况重大，大家有知情权，应该了解到如此反常的情况下的客观数据；

在这几天里，普通会员也好，特殊组也好，管理组也好，哪怕是高层也好，都在努力应对，这个时候更需要齐心协力，相互指责，猜忌，埋怨于改变现状毫无作用和意义，除了发泄一己不快。

稍后我会把3月份这几天的密码错误日志全部上传，有兴趣的饭友可以下载看看，使用记事本打开就可以，数据格式类似这样：

1.         1362589599        9066        12***1        Ques #0        126.43.143.74
   
2. 
   

复制代码

分别是： 【时间戳】（登录时间）  【用户名】（或者是UID）  【登录时使用的密码】    【安全提问】（#0表示没有安全提问）  【登录的IP 】

密码错误日志：http://www.vdisk.cn/down/index/12526573

随后会陆续补上一些Q&A，对大家关心的问题做集中回答。

Q1：为什么不使用验证码？
A1：dz自带的验证码防君子不防小人，很早就被破解了，对扫号机，发贴机没用，却会增加正常用户的登录麻烦程度。

Q2：为什么不强制安全提问？
A2：安全提问的话，一是程序不能限制必须填写，二是对很多普通用户来说，会很不习惯，如果没有填写密保问题习惯的话，导致经常出现有人反映无法登录的情况，带来切实的不方便；

Q3：为什么不设置全坛性的发帖需审核？
A3：被盗号的帐号分布在不同的用户组，有高级帐号，有新手帐号，因为金字塔结构，所以组别低的被盗帐号相对多一些，如果针对低积分组别进行发帖审核，虽然很多会有许多被盗帐号无法直接造成影响，但是同时，也会有大量的正常会员被限制，给他们带来巨大麻烦，同时还会给管理组带来巨大的挑战，让版主从疲于删贴封号，到疲于疲于审核，同样是会员与管理人员都怨声载道，垃圾贴还是一样会存在许多，于事情没有根本性改变，甚至让管理人员两头奔波，可能更累。

蓝核

先坐等情况吧……老大等事情平息后多多感谢版主吧~
这次太不同寻常了……大规模倒霉盗号

heilan-home

大家加强防范意识吧，密码一定不能使用太过简单的，同时也要设置登录验证问题

雪丫鬟

登录的时候加个验证码好一点吧？

数据流谷雨

虽然我对论坛系统什么的一无所知，但是简单的猜测还是会一点的，等待q&a，集思广益，分析出本次事件的原因

哀酱俏佳人

赞成楼上所说的，登录或者发帖是加个验证码

另外有帖子的回复被隐藏了http://bbs.kafan.cn/thread-1490539-1-1.html

levibeta

今天上午貌似数据库还出问题了，是不是受到攻击了。

a8181811

http://bbs.kafan.cn/thread-1334859-1-1.html
http://bbs.kafan.cn/thread-1334967-1-1.html
先上两个帖子，这是上次（2012-7-21）很多会员被盗时我发的。
很多扫号机是因为uid的规律性（自然数）才变得高效强大难以控制。
可以得知，若是论坛从根源上关闭uid匹配登录是完全可行的，并且是非常高效的。而且论坛以后可以永不开启uid匹配登录。
老大的科普：

如果UID和用户都可以用，用数字登录的时候，会优先验证数字是否是用户名，判断是否有此帐号，然后判断密码是否正确，如果不正确就会去轮询UID，再次核验密码。

对于取消uid匹配登录所可能带来的问题，我暂时想到以下：
截至本帖时，最新UID: 900686，为了避免新注册会员的用户名与现有uid相同，要求新注册会员如果使用纯数字作为登录用户名的，必须为8位或8位以上纯数字。

另：
DZ插件——社区安全中心：http://addon.discuz.com/?@discuz_security.plugin
http://www.discuz.net/thread-3143749-1-1.html
此插件精睿论坛在用，直达：http://bbs.vc52.cn/home.php?mod=spacecp&ac=plugin&id=discuz_security:check
老大可以与精睿管理员交流下。DZ2.0是否能用，尚不清楚。

老大求加分哇~

virusdefender

系统没有验证码机制么~~或者强制安全问题~

theone

雪丫鬟 发表于 2013-3-9 12:01
登录的时候加个验证码好一点吧？

dz自带的验证码防君子不防小人，很早就被破解了，对扫号机，发贴机没用，却会增加正常用户的登录麻烦程度。