رفتن به مطلب

حمله به سایت ، ایمیل تایید و بن کردن آی پی


پست های پیشنهاد شده

سلام

امروز به یک باره به سایت حمله DOS شد و یک عالمه ربات شروع به ثبت نام الکی در سایت کردن !! نکته جالب اینکه همشون رو با یک ایمیل اینکار رو کردن !! من ایمیل رو توی دیتا بیس یونیک کردم 

یه عالمه سوال واسم پیش اومده:

 

1- وریفیکیش ایمیل برای ثبت نام داشته باشم آیا امکانش هست؟

2- ماژولی برای اینکه بفهمم مشتری رباته نه مشتری واقعی؟

3- بن کردن آی پی چطوریه؟

4- نحوه جلوگیری از این اتک ها رو توضیح بدید ممنون میشم.

سپاس گزارم

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

سلام

 

این یک موضوع عادی نیست که برای همه اتفاقی بیوفته و افزونه ای براش باشه

 

البته ماژول تایید ثبت نام توسط ایمیل اگه اشتباه نکنم هستش

 

بهترین کار این هست که از پشتیبانی هاست درخواست کنید که بررسی کنن قطعاً بیشتر میتونن بهتون کمک کنن

 

وفق باشید

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

3- بن کردن آی پی چطوریه؟

 

جواب این سوال رو میدونستم :D

توی ماژول های پرستاشاپ هستش یه ماژول که میتونی باهاش آی پی بن کنی ، اگر پیدا نکردی مسیج بده بهم بگردم پیدا کنم اسمش رو

 

اما در کل راه حل مناسبی نیست! برای کسی که همچین کاری میکنه عوض کردن یه آی پی که کاری نداره

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

تایید ایمیل چیز جالبی نیس.خودم بیشتر وقتا سایتی که تایید میخواد رو واردش نمیشم.بهترین راه اینه بررسی بشه ایا ایمیلی که میخواد ثبت نام کنه قبلا ثبت نام کرده یا نه.میتونم بپرسم هاستتون مل کدم شرکته؟

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

بهترین راهکار همیشه استفاده از سرورهایی هست که مدیران اون شرکت هاستینگ تخصص لازم رو برای مدیریت و امنیت داشته باشند. سایر راه ها صرفا جنبه کمکی و تکمیلی دارند

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • 1 month later...

سلام

 

این یک موضوع عادی نیست که برای همه اتفاقی بیوفته و افزونه ای براش باشه

 

البته ماژول تایید ثبت نام توسط ایمیل اگه اشتباه نکنم هستش

 

بهترین کار این هست که از پشتیبانی هاست درخواست کنید که بررسی کنن قطعاً بیشتر میتونن بهتون کمک کنن

 

وفق باشید

سلام این خیلی مهمه

اصولا من با ارسال نام کاربری و رمز عبور با ای میل به مشتری مخالفم

چون یک نسخه از آن در Sent ای میل باقی می مونه و ادمین یا اشخاصی که به نوعی آن ای میل ها را می بینند می توانند نام کاربری و رمز مشتریان را در دیگر جاها حدس بزنند

بنابر این ماژولی که شما ذکر کردید فکر کنم خیلی مهم و کارا باشه

1 . میشه نام ماژول را بگید ؟ 

2. در ضمن هنوز برام سواله که چطور پرستا از ای میلی که بهش معرفی میشه بدون داشتن رمز آن ارسال می کنه ؟؟! حتی اگر Gmail به آن معرفی بشه از آن ارسال می کنه و در Sent آن ای میل پیشینه اش ثبت میشه ؟؟

کسی می دونه !؟؟

با تشکر

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • 3 years later...

سلام

من امروز با این مشکل مواجه شدم، ابتدا فکر کردم رتبه سایتم خوب شده کلی خوشحال شدم :D

بعد دیدم کلی مشتری با نام و ایمیل های مختلف اومدن ثبت نام کردن که بیشتر شبیه حمله ربات هست :(

 

عکسشو میفرستم، لطفا اگه راهی برای جلوگیری از عضویت مشتریهای این مدلی هست اعلام کنین،مرسی

post-16413-0-14518600-1555786493_thumb.jpg

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

طی یکی دو روز گذشته این اتفاق برای خیلی از پرستاشاپی ها افتاده ...

کسایی که از نسخه 1.6 به بالا استفاده میکنن باید verification email فعال کنند و نسخه های پایین تر فعلا چاره ای ندارن متاسفانه !!

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

باسلام

از هاستینگ مناسب استفاده کنید برای تهیه هاست

 

سرویس های دارای آنتی شلر و با امنیت بالا و کلود تهیه کنید

 

در قدم بعدی حتما و حتما ماژول هایی که ضروری نیستند رو غیر فعال کنید / بینهایت مشکل ساز هستند ماژول ی مختلف و بی کاربرد

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

باسلام

از هاستینگ مناسب استفاده کنید برای تهیه هاست

 

سرویس های دارای آنتی شلر و با امنیت بالا و کلود تهیه کنید

 

در قدم بعدی حتما و حتما ماژول هایی که ضروری نیستند رو غیر فعال کنید / بینهایت مشکل ساز هستند ماژول ی مختلف و بی کاربرد

 

سلام

من از هیچ ماژول اضافی استفاده نمی کنم، اما در مورد امنیت هاستینگ با مدیر هاستم صحبت کردم، و نظرات افراد این انجمن (پرستاشاپ) که در مورد امنیت هاستینگ نسبت به این حمله های رباتها صحبت کرده بودند رو براشون ارسال کردم این پاسخ رو ارسال کردند:

 

تایید هویت کاربر سایت یکی از عادی ترین چیزهاست این چیزهایی که در توضیحات نوشته شده چیز عجیبی هست که اعلام کردن به نظر میرسه برنامه نویس یا کسی که سی ام استون رو نصب کرده بهتون اعلام کرده یا مشابهش

ببینید این مورد به تنظیمات سی ام اسی که استفاده میکنید برمیگرده، حالا بسته تنظیمات وبمسترتون اون بحث تایید هویت میتونه از طریق ایمیل باشه تلفن یا هر طریق دیگر

بهتره با یک وبمستری که برای اینکار تبحر داره صحبت کنید.

یا راه حل بگید چیکار کنیم؟ اینکه مشکلی که نتونستن رفع کنند بندازن گردن هاستینگ راحت ترین کار ممکنه بوده براشون

 

هنوز این مشکل برای من وجود داره

الان نظر شما دوستان چی هست؟ وریفیکیشن چطور باید فعال کنم اگرچه راه حل مناسبی نیست؟

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

اگر از پلاگین ها و اسکریپت پرستا مطمئن هستید و از جای مطمئن دانلود و نصب کردید مشکل میتونه از امنیت هاست باشه  دیتابیس / احتمال 99 درصد چنین موردی برمیگرده به امنیت دیتابیس

 

چنین موردی طبیعی نیست و با توجه به اینکه میزبان بیش از 20 مورد وب سایت پرستایی هستیم چنین مشکلی روی هیچکدام مشاهده نشده.

 

اگر براتون ورودی ای پی های خارجی اهمیتی ندارد میتوانید عضویت و ورود به پنل رو محدود کنید به ای پی ایرانی.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

مدیر هاست من راجع به پاسخ شما نسبت به امنیت هاستینگ اینطور جواب دادن:

***از captcha استفاده کنید و در خصوص ادعای مشکل امنیتی لطفا در صورتی که این امر باید بررسی شود از ایشان بپرسید که چگونه مشکلات امنیتی در دیتابیس می تواند باعث ثبت نام روبات ها شود.

 

با سپاس***

 

من ماژول captcha هم راه انداختم، اما باز هم ربات میاد ثبت نام میکنه، واقعا عجیبه چطور captcha رو دور میزنه و عضو میشه

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

مدیر هاست من راجع به پاسخ شما نسبت به امنیت هاستینگ اینطور جواب دادن:

***از captcha استفاده کنید و در خصوص ادعای مشکل امنیتی لطفا در صورتی که این امر باید بررسی شود از ایشان بپرسید که چگونه مشکلات امنیتی در دیتابیس می تواند باعث ثبت نام روبات ها شود.

 

با سپاس***

 

من ماژول captcha هم راه انداختم، اما باز هم ربات میاد ثبت نام میکنه، واقعا عجیبه چطور captcha رو دور میزنه و عضو میشه

 

پیشنهاد میکنم / لینک های ورود و عضویت رو تغیییر بدید 

و همچنین یوزر و پسورد دیتابیس سایتتون رو تغیییر بدید 

همچنین یوزر پسورد ادمین

همچنین چک کنید روی هاست فایل اضافی مخرب و مشکوک آپلود نشده باشه که باعث پایین امدن امنیت شده باشه .

همچنین باید گفت که دسترسی به دیتابیس ازاد باشه دیگه برای ساخت اکانت و ... نیازی به وارد کردن کپجا و این موارد نیست

ممکن هست روی سرور اصلی موردی باشه و حتما نباید روی هاست سایت شما مشکلی باشه که چنین مواردی به وجود بیادو...

 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

اگر از پلاگین ها و اسکریپت پرستا مطمئن هستید و از جای مطمئن دانلود و نصب کردید مشکل میتونه از امنیت هاست باشه  دیتابیس / احتمال 99 درصد چنین موردی برمیگرده به امنیت دیتابیس

 

چنین موردی طبیعی نیست و با توجه به اینکه میزبان بیش از 20 مورد وب سایت پرستایی هستیم چنین مشکلی روی هیچکدام مشاهده نشده.

 

اگر براتون ورودی ای پی های خارجی اهمیتی ندارد میتوانید عضویت و ورود به پنل رو محدود کنید به ای پی ایرانی.

 

لطفا وقتی درباره مسئله ای توضیح میدین کامل توضیح بدین تا بنده خدایی که آگاهی زیادی نداره گرفتار نشه !!

محدود کردن ای پی های خارجی یعنی محدود کردن ورود ربات های گوگل و این یعنی هزارویک مشکل سئو و غیره. به شرط اینکه همه ای پی های گوگل رو سفید کنی میتونی ازین روش استفاده کنی.

دوست عزیزی که این مشکلو داری ،

اگر از نسخه های 1.6 به بالا استفاده میکنی که بخش تایید ایمیل فعال کن.

اگر از نسخه های 1.5 استفاده میکنی و این مشکل ثبت نام ربات ها خیلی آزاردهنده هست برات ، لینک ثبت نام authentication رو تغییر بده.(البته اینم راه خوبی نیست ولی برای نسخه های پایین چاره ای نیست)

متاسفانه دراین فروم تعصب بیجایی برای دفاع از پرستاشاپ وجود داره و کمتر کسی قبول میکنه که این cms هم ممکنه باگ داشته باشه . همه میخان بندازن گردن هاست و غیره و با دادن راهکارهای عجیب از پرستاشاپ دفاع کنند!!

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

 

 

ممنون از شما

مواردی رو که شما و ادمین محترم اشاره کردید رو حتما انجام میدم

فایل اضافی هم اصلا آپلود نکرده بودم، اما اگه مشکلی بجز هاست روی سرور اصلی باشه دیگه من نمیتونم اطلاع پیدا کنم

ظاهرا این مشکل برای بعضی کاربران پرستاشاپی دیگه هم بوده، که لااقل میتونن با راهکارهای شما و کاری که من انجام دادم مشکل احتمالا حل بشه...

اما کاری که دیشب خودم انجام دادم این بود، آی پی این ربات مزاحم که فقط یک آی پی بود رو از طریق سی پنل بلاک کردم، تا الان دیگه ثبت نام جدیدی نبوده خوشبختانه،

البته اگه باز با آی پی جدیدتری نیاد که باز مجبور به بلاکش هستیم.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

لطفا وقتی درباره مسئله ای توضیح میدین کامل توضیح بدین تا بنده خدایی که آگاهی زیادی نداره گرفتار نشه !!

محدود کردن ای پی های خارجی یعنی محدود کردن ورود ربات های گوگل و این یعنی هزارویک مشکل سئو و غیره. به شرط اینکه همه ای پی های گوگل رو سفید کنی میتونی ازین روش استفاده کنی.

دوست عزیزی که این مشکلو داری ،

اگر از نسخه های 1.6 به بالا استفاده میکنی که بخش تایید ایمیل فعال کن.

اگر از نسخه های 1.5 استفاده میکنی و این مشکل ثبت نام ربات ها خیلی آزاردهنده هست برات ، لینک ثبت نام authentication رو تغییر بده.(البته اینم راه خوبی نیست ولی برای نسخه های پایین چاره ای نیست)

متاسفانه دراین فروم تعصب بیجایی برای دفاع از پرستاشاپ وجود داره و کمتر کسی قبول میکنه که این cms هم ممکنه باگ داشته باشه . همه میخان بندازن گردن هاست و غیره و با دادن راهکارهای عجیب از پرستاشاپ دفاع کنند!!

 

تشکر

بله درسته، محدود کردن آی پی های خارجی یعنی ورود رباتهای گوگل ، بینگ و ...  مشتریان با (فیلــ*ترشــ*کن) یا خارجی ممنوع%%

البته من فقط آی پی مزاحم رو از توی سی پنل بلاک کردم خوشبختانه دیگه ثبت نام ربات نداشتم

پرستا هم نسخه 1.6 هست

اما تایید ایمیل بنظرم باعث میشه فرآیند ثبت نام برای کاربران عادی از اون چیزی که هست بسیار پیچیده ترشه و بنظرم جالب نباشه و سایت رو ترک کنن.

اما طبق گفته ادمین و دوستمون javangostar.ir  و شما تغییر مسیر ثبت نام یا تغییر یوزر و پسورد دیتابیس راهکار مناسبی هست

 

بله، درسته هر اسکریپتی میتونه دارای باگهایی باشه که معمولا پس از گزارش کاربران تو آپدیتهای جدیدشون احتمالا برطرف میشه.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

لطفا وقتی درباره مسئله ای توضیح میدین کامل توضیح بدین تا بنده خدایی که آگاهی زیادی نداره گرفتار نشه !!

محدود کردن ای پی های خارجی یعنی محدود کردن ورود ربات های گوگل و این یعنی هزارویک مشکل سئو و غیره. به شرط اینکه همه ای پی های گوگل رو سفید کنی میتونی ازین روش استفاده کنی.

دوست عزیزی که این مشکلو داری ،

اگر از نسخه های 1.6 به بالا استفاده میکنی که بخش تایید ایمیل فعال کن.

اگر از نسخه های 1.5 استفاده میکنی و این مشکل ثبت نام ربات ها خیلی آزاردهنده هست برات ، لینک ثبت نام authentication رو تغییر بده.(البته اینم راه خوبی نیست ولی برای نسخه های پایین چاره ای نیست)

متاسفانه دراین فروم تعصب بیجایی برای دفاع از پرستاشاپ وجود داره و کمتر کسی قبول میکنه که این cms هم ممکنه باگ داشته باشه . همه میخان بندازن گردن هاست و غیره و با دادن راهکارهای عجیب از پرستاشاپ دفاع کنند!!

 

قطعا همینطوره. البته دوستی که گفته بودن مشکلات مربوط به هاست و ... هست از مدیران سایت نیستند و یک کاربر مثل شما هستند که تجربیاتشون رو به اشتراک گذاشتن

نه تنها در cms های عمومی همیشه ممکنه باگ وجود داشته باشه بلکه سایت های خیلی بزرگ که تیم های امنیتی قدرتمندی پشتشون هستند هم تا به حال مورد حمله قرار گرفتن به همین خاطر ما همیشه تاکید میکنیم هر شخص یا شرکتی امنیت سیستمش رو 100% تضمین کنه یعنی داره دروغ میگه

این باگ اخیر هم که هکر ازش استفاده کرده مشکل امنیتی برای هاست و دیتابیس شما ایجاد نمیکنه. بلکه بیشتر جنبه تبلیغاتی (معرفی یک سایت) و اسپمینگ داره و تنها مشکلی که میتونه براتون ایجاد کنه اسپم شدن ایمیل های شماست چرا که بعد از هربار ثبت نام برای ایمیل هایی که هکر با اون ها عضو میشه ایمیل ارسال میشه

تغییر نام صفحه ثبت نام و ورود راهکار اولیه ست و اگر جواب نداد این راهکار میتونه به طور کامل جلوی مشکل رو بگیره (پرستاشاپ 1.3 تا 1.7):

 

https://www.prestashop.com/forums/topic/981159-securite-spam-customer-account-solution-13-17/

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری


  • کاربران آنلاین در این صفحه

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • اضافه کردن...