Discuz!应用商城(DisMall)Discuz!应用商城(DisMall)

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 331|回复: 8

[新问题] 非法IP尝试爆破密码,怎么阻止这些非正常IP?

[复制链接]

2

主题

6

帖子

13

积分

Newbie

Rank: 1

贡献
0 点
金币
7 个
发表于 2019-7-28 11:09:38 | 显示全部楼层 |阅读模式
BUG反馈
程序版本: X3.4
浏览器: IE10 IE11 IE12 FireFox Chrome 
BUG地址: 隐藏内容
BUG截图:
测试用户名: 隐藏内容
测试密码: 隐藏内容
本帖最后由 stonys 于 2019-7-28 18:21 编辑

如图:
20190728110241.png 20190728110404.png

这些IP都不合法的,系统怎么没方法阻止呢?



DISCUZ登陆限制IP绕过
https://www.jianshu.com/p/8edca45ea4c5
伪造ip撞库登录 有什么好办法禁止吗
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IFP4G
DZ论坛爆破工具 V1.2.1 免费正式版
https://www.jb51.net/softs/611268.html
Discuz论坛自动爆破工具原理分析
https://www.freebuf.com/articles/web/68002.html

回复

使用道具 举报

2

主题

6

帖子

13

积分

Newbie

Rank: 1

贡献
0 点
金币
7 个
 楼主| 发表于 2019-7-28 11:14:43 | 显示全部楼层
DZ配置文件里已经加了:
  1. $_config['security']['onlyremoteaddr']                = 1;
复制代码

还是不行。

回复 支持 反对

使用道具 举报

1

主题

26

帖子

64

积分

Member

Rank: 2Rank: 2

贡献
0 点
金币
36 个
发表于 2019-7-28 11:39:37 | 显示全部楼层
本帖最后由 jiangchuankyo 于 2019-7-28 11:42 编辑

source/class/discuz/discuz_application.php中有个获取IP的函数, 执行修改去掉clent-ip和x-forwarded-for设置ip这句,只以addr作为用户真实IP

如果你加了CDN或负载均衡的话, 要自己另外写代码, 只以x-forwarded-for倒数第1个作为用户真实IP(目前DZ原始是以第1个作为真实IP来判断的,肯定别人是可以随便伪造, 与IP是否合法无关, 因为别人也可以随便设置成1.1.1.1,2.2.2.2这种正常IP的,只是你没发现罢了)
回复 支持 反对

使用道具 举报

45

主题

894

帖子

1154

积分

King

Rank: 5Rank: 5

贡献
4 点
金币
194 个
发表于 2019-7-28 18:00:56 | 显示全部楼层
后台  关闭  UID 登录

通知用户强化密码

三个月沒上线  后台设定锁定用户

即可
回复 支持 反对

使用道具 举报

2

主题

6

帖子

13

积分

Newbie

Rank: 1

贡献
0 点
金币
7 个
 楼主| 发表于 2019-7-28 18:17:07 | 显示全部楼层
没有开通uid登录。
回复 支持 反对

使用道具 举报

2

主题

6

帖子

13

积分

Newbie

Rank: 1

贡献
0 点
金币
7 个
 楼主| 发表于 2019-7-28 18:20:51 | 显示全部楼层
本帖最后由 stonys 于 2019-7-28 18:24 编辑

DISCUZ登陆限制IP绕过
https://www.jianshu.com/p/8edca45ea4c5
伪造ip撞库登录 有什么好办法禁止吗
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IFP4G
DZ论坛爆破工具 V1.2.1 免费正式版
https://www.jb51.net/softs/611268.html
Discuz论坛自动爆破工具原理分析
https://www.freebuf.com/articles/web/68002.html

看来是历史问题了,好像还没有好的解决方案。
回复 支持 反对

使用道具 举报

45

主题

894

帖子

1154

积分

King

Rank: 5Rank: 5

贡献
4 点
金币
194 个
发表于 2019-7-28 18:28:45 | 显示全部楼层
本帖最后由 allthebest 于 2019-7-28 17:54 编辑

别忘记 忘记密码 测试 同样后台有记录

简单 密码 如 111111 等才有可能与非法IP有关

但不会单独测试一个用户名

你的图片见的 只是会员忘记密码尝试而已

与非法IP尝试爆破密码无关


回复 支持 反对

使用道具 举报

8

主题

506

帖子

582

积分

Lord

Rank: 4

贡献
0 点
金币
70 个
发表于 2019-8-14 17:57:34 | 显示全部楼层
一般都是动态ip,封ip没有用

建议提升密码安全,比如密码必须含有大写和小写,密码不得少于10位等等
回复 支持 反对

使用道具 举报

8

主题

506

帖子

582

积分

Lord

Rank: 4

贡献
0 点
金币
70 个
发表于 2019-8-14 17:57:54 | 显示全部楼层
然后开启验证码,防止机器人
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz!应用中心 ( 皖ICP备16010102号 ) star

GMT+8, 2019-8-24 23:37

Powered by Discuz!

© 2001-2019 Comsenz Inc.

快速回复 返回顶部 返回列表