从论坛ID大批被盗，抛砖引玉。

liyuanzao

小第不才，才疏学浅，发表此文，尽供抛砖引语，大家爱看则看。。。。

论坛最近大批量ID被盗，跟管理服务器的人，和写专门网商城的人程序写得差是无不有关系的。

DISCUZ3是商业版程序，虽有一些漏洞，但毕竟知道的人少（我说的漏洞是未公开的），而且知道这些漏洞的人也不会来干这样的人。

根据我个人的判断，明显这次大批IP被盗，是通过SQL注入直接更改用户密码，造成的

论坛有很多人说的是密码简单，这仅是一方面。

但是如果说因为密码简单，而被盗，说这话就是BULL SHIT！

DISCUZ3是MD52次加密后存放于数据库的（似乎是2次，也有可能是一次）

而且前台是禁止了错误登陆次数的，假设一个人的密码为6位，

那么爆破一个ID的密码需要多久，我告诉大家，在网络条件相当良好的情况下，每请求一次服务器，才能测试一个密码，平均一秒能测试10-20个密码，都是相当理想的了（参考工具：榕哥写的溯雪，虽然很老，但是很有代表和说服）

那么这么多人ID被盗，要访问多少次服务器，需要多少时间，大家自己想想吧

除非是密码太简单，如果是111111之类的，存在于字典，那么时间就很快，不过这样的概率应该低于20%吧（肯定比20%还低）

那么入侵者肯定是通过其他手段入侵的。

根据我个人的经验判断，只有可能是通过新增的专门网商城注入获得的权限

目前我初略的看了一下，至少存在一个漏洞（就是FOPEN的这个漏洞）

这个漏洞足够入侵了。。。

其他我不想多说，免得类似于EDGE这样的人来说我“丢人”（你***的有本事也出来像我这样丢点人，对论坛丢点贡献！！！）

本人不才，以前做过SMARTIPB（IPB的中文本地化），对论坛略知一二
现在在某高校基础安全实验室做事。

另外要抓这个入侵的也很简单，把IP查出来，找个北科的朋友打个电话过去问网络中心就知道了。

<广告内容已经删除！>

最后，我想鄙视一下那些只有嘴皮子劲而不愿意帮论坛做点实事的人，你***的就是中国的败类！中国少你一些这样的人，会民富国强。


此文仅供抛砖引玉。

[ Last edited by yansy on 2005-9-9 at 14:39 ]

i2008

强啊   那一堆马甲好像也是什么电子科技大学的

猜测一下   这件事与LZ有关系吗？嘿嘿 ~~

fixcom

好像丢密码的人，密码都是生日吧？

yuanhen

丢密码的不光是菜鸟吧，也有老鸟啊！纯粹的猜密码不可能丢那么多啊！

w0017

sql注入改的话，和密码强度就完全没关系了，除了设过安全问题的，理论上谁的都一样改。

lotus

都什么臭垃圾，有本事让这群厮改我的！！！！

风中的鱼

还是个人疏于防范

yogibear

SQL注入的话，strong password 就没什么用了。

为了防止自动注册程序注册大量ID, 建议论坛在注册界面加入那种随机的显示在图片上的数字作为注册时候的identity 的一部分

nicksun

我只能说有楼主说的有道理!

ziptony

这样看确实是有点道理的

yogibear

但是如果把管理员的ID给盗了，就大乱的。

charlestan

个人觉得，最近这么多id被盗，本来就不是一件简单的事情
绝对是对在挑衅专门网

jack.song

QUOTE:

Originally posted by i2008 at 2005-9-9 12:35 PM:
强啊   那一堆马甲好像也是什么电子科技大学的

猜测一下   这件事与LZ有关系吗？嘿嘿 ~~

什么？电子科大？请说清楚点~

yansy

QUOTE:

Originally posted by liyuanzao at 2005-9-9 12:20:
论坛最近大批量ID被盗，跟管理服务器的人，和写专门网商城的人程序写得差是无不有关系的。
...

ID被盗的现象早于专门网商城很久。

liyuanzao

不觉得，我觉得跟专门网商城有关系，
只不过目前是大批量爆发了

liyuanzao

QUOTE:

Originally posted by i2008 at 2005-9-9 12:35:
强啊   那一堆马甲好像也是什么电子科技大学的

猜测一下   这件事与LZ有关系吗？嘿嘿 ~~

本人就是电子科技大学的

哪堆马甲也是电子科技大学的？

请你说清楚

没证据就***的不要瞎猜测，否则你来搅局的话，就很有可能把你当成入侵的来处理

lyz

QUOTE:

Originally posted by liyuanzao at 2005-9-10 01:02 AM:



本人就是电子科技大学的

哪堆马甲也是电子科技大学的？

请你说清楚

没证据就***的不要瞎猜测，否则你来搅局的话，就很有可能把你当成入侵的来处理

现在终于看清你是什么样的人了。。。。。。。用广告骗人。

liyuanzao

QUOTE:

Originally posted by lyz at 2005-9-10 02:13:

现在终于看清你是什么样的人了。。。。。。。用广告骗人。

你慢慢出来混淆吧，你留的证据越多，越容易搞你

liyuanzao

盗用ID lyz  的人，我劝你最好小心点，你别跟我耗上了！

sakerping

真假美猴王

i2008

有意思   让我想起了以前上海的一个骗子   后来出来说自己是警察  还可以帮忙查找骗子   真是搞笑！

IP说明不了什么的

wangzipsuper

有意思  云山雾罩的

ducati888 - 二师兄

真假难辨！