【安全漏洞】discuz 扫号发帖机安全漏洞

maoheqiu · 发表于 2013-4-2 00:32:11

近日，我们一年多没出现垃圾，非法信息的网站，再次出现非法信息，我们网站是邀请收费注册的，发帖机是扫号过来的，IP不断变化，能过中文验证码，并且自动更改用户密码，我们已经关闭了UID登录，有点不明白他是怎么知道我们的用户名的？
深度研究服务器日志后发现攻击流程如下，：

发帖机先通过个人空间获取用户名(无需登录)》然后使用扫号器扫描弱密码》最后批量发帖

这3步，第一关是通过：http://www.discuz.net/home.php?mod=space&uid=235592&do=profile 游客照样可以获取用户信息，只要UID即可，大家也都知道UID是1-999999，所以获取用户名很简单

第二步是通过获取的用户名，用很多服务器去扫描弱密码，每个用户名尝试一次，最关键是能过我的中文验证码，这个太变态了

第三步得到扫描的用户信息，登录然后批量发帖

扫描弱密码除非IIS关闭网站，别的一点办法也没有

所有方法都试过了，个人空间资料页面找不到设置关闭游客浏览，扫描器可能是最新版，太强大了，望官方重视！

【安全漏洞】discuz 扫号发帖机安全漏洞

相关帖子