在上個禮拜,由一個惡毒的團體嘗試以蠻力登入 phpBB.com 沒有成功,它引起了我們的注意。
這個攻擊透過在搜尋引擎上查詢「powered by phpbb」而進行。
雖然這個攻擊因為 phpBB 包含許多功能以確保不易受此攻擊而沒有成功,
但是使用者應該採取一些措施以確保論壇獲得適當的保障。
攻擊解析
要執行此攻擊,攻擊者先在論壇註冊一個帳號,然後測試會員列表是否可提供他們獲得會員名單。
攻擊者使用自動化過程去註冊,以及自會員列表下載數以千計的使用者會員名稱,他們在此奪取了 5000 多筆以上的會員名稱。
收集這些資料之後,攻擊者重複地傳送登入論壇的申請而嘗試以蠻力登入。
然而,攻擊無法解決無效登入時需填 CAPTCHA(確認代碼),它是有限的嘗試次數,設定在「嘗試登入的最大次數」的選項中。
徵兆
這個攻擊的明顯跡象包含:
- 使用者在最初的嘗試登入後,被要求輸入 CAPTCHA。
- 伺服器負荷增加。
- 自相同的 IP 位址重複地貼出「ucp.php?mode=login」的請求。
phpBB 提供了幾個工具可以讓使用者減輕負擔。
- 要成功阻止暴力登入,管理員必須確認設定「嘗試登入的最大次數」(透過 ACP > 安全姓設定)為一個小的數字(預設是 3),
以確保如果嘗試登入失敗的次數過多時,將被要求輸入 CAPTCHA。 - 此外,管理員必須要防止「新註冊會員」去檢視會員列表。
要這麼做,得先確認啟用「新註冊會員」群組(透過 ACP > 會員註冊設定 > 「新會員文章限制」大於 0),
然後,設定「權限 > 群組的權限 > 新註冊會員 > 進階的權限 > 可以檢視個人資料、會員列表、以及誰在線上列表 > 從不」。 - 同時,由適當地密碼設定也可以減緩攻擊。
確認您的密碼(以及您的會員之密碼)包含字母以及數字,不使用常用的字詞(例如:password、1234 等)。
為您的論壇要求密碼的複雜性,可以在「 ACP > 會員註冊設定 > 密碼複雜度」設定。
如果您有任何關於執行這些過程的任何問題,那麼請在Support Forum 發表新的主題。
--
資料來源:
http://www.phpbb.com/community/viewtopi ... &t=1947925