[TextCube] TC 1.5,1.6,1.7 reply-comment SPAM attack, 大量回應式 SPAM 攻擊
Technical support/TextCube 2008/05/24 00:50
views: 1833 times
Mobile:update, 2008/05/24 感謝哇哇提供 .htaccess 的解法,暫時擋一下吧!
在你的 .htaccess 最上面加入這一段即可!
這是我作弊版本的 session 取得的資料!我知道 User-Agent 可以偽造,所以這只是暫時的,他很有可能會繼續攻擊!
update, 2008/05/23 官方發佈 FlyingPan 0.2 版本,緊急翻譯,簡體、繁體中文版
官方文件說明:http://notice.textcube.org/ko/119
關於這個插件在做甚麼,請參考這一篇:http://hina.ushiisland.net/blog/hinablue/500
update, 臨時製作的插件,希望對被攻陷的人有幫助!這個插件是檢查留言的來源 IP 以及他是否是真的到網站上來留言(檢查資料庫中的 Sessions),然後設定一個留言的時間(預設 30 秒),在時間內不能多次留言或是引用。就類似討論區常見的,5 分鐘後才能繼續回覆或是發表主題的意思!
我從哇哇那邊看到已經淪陷了,然後 nelson 在論壇也說全團隊淪陷!但是我的 TC 1.7 版本似乎好像沒有甚麼問題,其實這個 SPAM 攻擊狀況我之前好像就有看到一些跡象了,從 Referer Log 的紀錄來看,這個 SPAM 攻擊似乎是從搜尋引擎上找到你的 blog 之後,再針對 TC 的一些 comment 路徑來做 SPAM,雖然我不知道這是不是衝著 TC 來的,但是真的很嚴重!
首先這是之前官方發布的 EAS 加強版插件,我之前有做中文化,但是不見了,再做一次!使用前請先把原來的 EAS 停掉,你要拿這個加強版把原來的 EAS 蓋掉也可以!(ps. 我剛剛在自己的公告裡面找到之前寫的了,害我重寫一次...&%!@#)
我想我的 TC 1.7 版本沒有被 SPAM 到就是因為我換了多用戶版本,路徑跟搜尋引擎上的不一樣,所以才逃過一劫!你可以馬上去檢查 TC 的 RefererLogs(如果你有啟用這個插件的話),你會看到這種東西!我不確定這是不是真的是攻擊,但是,我確定我的部落格不會有那麼多人來留言!
然而,我想這不管是 EAS 或是 EAS-Plus 恐怕一樣會淪陷!但是我只是猜測,如果 nelson 有裝 EAS-Plus 的話,那我想連他都淪陷了,這肯定又是被人家攻破的漏洞了!如果真的檔不住,我有做留言認證插件,這個插件是 For 1.6.x,但是 1.5 也差不多,稍微改一點就可以用了!我近期會再去研究一下 TC 1.5, 1.6 這兩個版本的 comment,看是不是有辦法更簡便的阻檔掉那一些 SPAM。
遭受到 SPAM 的如果你有紀錄 Refererlog 是否可以 mail 給我,感恩!
在你的 .htaccess 最上面加入這一段即可!
<FilesMatch "(.*)">
SetEnvIfNoCase user-agent "Mozilla\/4.0\ \(compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.1;\ SV1;\ MRA\ 4.3\ \(build\ 01218\)\)" bad_bot=1
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</FilesMatch>
SetEnvIfNoCase user-agent "Mozilla\/4.0\ \(compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.1;\ SV1;\ MRA\ 4.3\ \(build\ 01218\)\)" bad_bot=1
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</FilesMatch>
這是我作弊版本的 session 取得的資料!我知道 User-Agent 可以偽造,所以這只是暫時的,他很有可能會繼續攻擊!
update, 2008/05/23 官方發佈 FlyingPan 0.2 版本,緊急翻譯,簡體、繁體中文版
官方文件說明:http://notice.textcube.org/ko/119
關於這個插件在做甚麼,請參考這一篇:http://hina.ushiisland.net/blog/hinablue/500
FryingPan_0.2_TC_1.6_zh_TW_CN.zipupdate, 臨時製作的插件,希望對被攻陷的人有幫助!這個插件是檢查留言的來源 IP 以及他是否是真的到網站上來留言(檢查資料庫中的 Sessions),然後設定一個留言的時間(預設 30 秒),在時間內不能多次留言或是引用。就類似討論區常見的,5 分鐘後才能繼續回覆或是發表主題的意思!
我從哇哇那邊看到已經淪陷了,然後 nelson 在論壇也說全團隊淪陷!但是我的 TC 1.7 版本似乎好像沒有甚麼問題,其實這個 SPAM 攻擊狀況我之前好像就有看到一些跡象了,從 Referer Log 的紀錄來看,這個 SPAM 攻擊似乎是從搜尋引擎上找到你的 blog 之後,再針對 TC 的一些 comment 路徑來做 SPAM,雖然我不知道這是不是衝著 TC 來的,但是真的很嚴重!
首先這是之前官方發布的 EAS 加強版插件,我之前有做中文化,但是不見了,再做一次!使用前請先把原來的 EAS 停掉,你要拿這個加強版把原來的 EAS 蓋掉也可以!(ps. 我剛剛在自己的公告裡面找到之前寫的了,害我重寫一次...&%!@#)
我想我的 TC 1.7 版本沒有被 SPAM 到就是因為我換了多用戶版本,路徑跟搜尋引擎上的不一樣,所以才逃過一劫!你可以馬上去檢查 TC 的 RefererLogs(如果你有啟用這個插件的話),你會看到這種東西!我不確定這是不是真的是攻擊,但是,我確定我的部落格不會有那麼多人來留言!
然而,我想這不管是 EAS 或是 EAS-Plus 恐怕一樣會淪陷!但是我只是猜測,如果 nelson 有裝 EAS-Plus 的話,那我想連他都淪陷了,這肯定又是被人家攻破的漏洞了!如果真的檔不住,我有做留言認證插件,這個插件是 For 1.6.x,但是 1.5 也差不多,稍微改一點就可以用了!我近期會再去研究一下 TC 1.5, 1.6 這兩個版本的 comment,看是不是有辦法更簡便的阻檔掉那一些 SPAM。
遭受到 SPAM 的如果你有紀錄 Refererlog 是否可以 mail 給我,感恩!
- Bookmarks
HEMiDEMi 
Technorati 
Del.icio.us 
Digg 
funP 
Yahoo! 
Furl
Leave your greetings here.
真是大大感恩!!真是太有心了~
話說chieh反倒是不見了
在我心中你已經是TC台灣區support了!!
chieh 他再忙公司的事情吧!
我是領人家薪水,所以自然就比較不忙一點點啦!
倒是,如果你有使用那個插件,有問題請跟我說一聲!
因為我自己測試,開 30 秒的 delay time 剛好
但是萬一網路太龜速,30 秒反而會被 block 掉(哈)
我的檢查機制是去計算 query 資料庫的時間 扣掉 上一篇留言或引用的時間
如果大於 delay time 才允許留言或引用(return true)
但是,問題就是 query time stamp 會因為網路速度的關係而不太一樣
所以就...... ( 像是我設定 10 秒就一律被 block 掉 XD)
若有問題再說囉... 希望官方能對 comment 再加強啊
不然,真的就只能自己改了 T_T
delay那個我後來沒開~
回復之後沒看到立即呈現怪怪的
這次的攻擊模式有一點是相同的
晚上我又被攻擊了!!
解法
<FilesMatch "(.*)">
SetEnvIfNoCase user-agent "Mozilla\/4.0\ \(compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.1;\ SV1;\ MRA\ 4.3\ \(build\ 01218\)\)" bad_bot=1
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</FilesMatch>