代码之家 › 专栏 › 技术社区 › iftheshoefritz

安全问题:来自单个用户帐户的Drupal请求过多[已关闭]

denial-of-service brute-force drupal-6 drupal security

3

iftheshoefritz · 技术社区 · 15 年前

单个帐户发出了许多奇怪的重复请求,包括尝试访问编辑配置文件页面、登录(成功-有人几天前注意到该帐户有250个活动会话),以及大量的密码请求。该帐户没有管理员权限,任何人都可以注册帐户。

我最好的猜测是:

(1) Joe Evil doer正在使用多个重置密码请求作为DOS攻击(正在工作:<)

(3) 我是一个受害者的一堆交易失败,并试图重新提交多次。

还有其他情况吗?这些是否与常见的Drupal漏洞匹配?

这是数据。我对数据库中的accesslog表运行了以下查询:

select count(*), title, path from accesslog where uid = 999 group by title, path;

+----------+-------------------------+------------------------------------------+
| count(*) | title                   | path                                     |
+----------+-------------------------+------------------------------------------+
|       16 |                         | home                                     | 
|     1334 | Access denied           | user/999/edit                            | 
|      184 | Series                  | events/series                            | 
|        1 | Home                    | user/register                            | 
|        1 | Reset password          | user/reset/999/123124/a2340a1c1123/login | 
|        1 | username                | user/999                                 |   
|        5 | username                | user/999/edit                            | 
|        1 | username                | user/me                                  | 
|      904 | User account            | user/login                               | 
|    11252 | User account            | user/password                            | 
|      288 | User account            | user/register                            | 
|        1 | Validate e-mail address | user/validate/999/1283452346/a0f123459e  | 
+----------+-------------------------+------------------------------------------+

2 回复 | 直到 15 年前

1

2

googletorp 15 年前

很可能是什么头号人物。重置密码只有在你有电子邮件并且只需要做一次时才有用。我觉得3个都不可能。

很容易修好。对于某些网站,我默认这样做。使用hook\u menu\u alter,您可以删除密码重置的菜单项。这将使所有用户无法重置密码。

2

1

Marc Debiase 13 年前