我注意到我的Drupal網站上有一些奇怪的行爲。我喜歡在採取行動之前瞭解我所看到的數據,以便我不浪費時間去追求錯誤的措施,但我缺乏解釋的安全知識。安全問題:來自單個用戶帳戶的過多的Drupal請求
一個帳戶發出了很多奇怪的重複請求,包括嘗試訪問編輯配置文件頁面,登錄(成功 - 有人注意到該帳戶前幾天有250個活動會話)以及大量密碼請求。該帳戶沒有管理權限,任何人都可以註冊帳戶。
編輯:Drupal版本是6.17。是
我在什麼事上最好的猜測如下:
(1)喬惡人使用多個重置密碼請求的DOS攻擊(它的工作:<)
(2) Joe Evil-doer正在嘗試以某種方式從他的重複請求中建立一個可能的密碼字典(我沒有看到這樣做的方式)。
(3)我是一堆交易失敗並試圖重新提交多次的受害者。
其他情況?這有沒有與普通Drupal漏洞相匹配?
以下是數據。我跑了ACCESSLOG表下面的查詢在我的數據庫:
select count(*), title, path from accesslog where uid = 999 group by title, path;
與下面的結果(用戶ID和頁面名稱清理,OFC)。每列中的計數(*)應表明每次操作收到的請求數量。
+----------+-------------------------+------------------------------------------+
| count(*) | title | path |
+----------+-------------------------+------------------------------------------+
| 16 | | home |
| 1334 | Access denied | user/999/edit |
| 184 | Series | events/series |
| 1 | Home | user/register |
| 1 | Reset password | user/reset/999/123124/a2340a1c1123/login |
| 1 | username | user/999 |
| 5 | username | user/999/edit |
| 1 | username | user/me |
| 904 | User account | user/login |
| 11252 | User account | user/password |
| 288 | User account | user/register |
| 1 | Validate e-mail address | user/validate/999/1283452346/a0f123459e |
+----------+-------------------------+------------------------------------------+
好問題,你有沒有從這次攻擊中捕獲的任何流量? – rook 2010-10-04 18:18:38
另外您正在運行的確切Drupal版本是什麼?沒有人可以幫助你。 – rook 2010-10-04 18:26:25
任何使用IDS捕獲的數據,我們可以分析 – berkay 2010-10-04 18:34:15