Discuz!应用商城(DisMall)Discuz!应用商城(DisMall)

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 1947|回复: 9

[新问题] 非法IP尝试爆破密码,怎么阻止这些非正常IP?

[复制链接]

2

主题

6

帖子

14

积分

Newbie

Rank: 1

贡献
0 点
金币
8 个
发表于 2019-7-28 11:09:38 | 显示全部楼层 |阅读模式
BUG反馈
程序版本: X3.4
浏览器: IE10 IE11 IE12 FireFox Chrome 
BUG地址: 隐藏内容
BUG截图:
测试用户名: 隐藏内容
测试密码: 隐藏内容
本帖最后由 stonys 于 2019-7-28 18:21 编辑

如图:
20190728110241.png 20190728110404.png

这些IP都不合法的,系统怎么没方法阻止呢?



DISCUZ登陆限制IP绕过
https://www.jianshu.com/p/8edca45ea4c5
伪造ip撞库登录 有什么好办法禁止吗
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IFP4G
DZ论坛爆破工具 V1.2.1 免费正式版
https://www.jb51.net/softs/611268.html
Discuz论坛自动爆破工具原理分析
https://www.freebuf.com/articles/web/68002.html

回复

使用道具 举报

2

主题

6

帖子

14

积分

Newbie

Rank: 1

贡献
0 点
金币
8 个
 楼主| 发表于 2019-7-28 11:14:43 | 显示全部楼层
DZ配置文件里已经加了:
  1. $_config['security']['onlyremoteaddr']                = 1;
复制代码

还是不行。

回复 支持 反对

使用道具 举报

3

主题

43

帖子

113

积分

Member

Rank: 2Rank: 2

贡献
0 点
金币
66 个
发表于 2019-7-28 11:39:37 | 显示全部楼层
本帖最后由 jiangchuankyo 于 2019-7-28 11:42 编辑

source/class/discuz/discuz_application.php中有个获取IP的函数, 执行修改去掉clent-ip和x-forwarded-for设置ip这句,只以addr作为用户真实IP

如果你加了CDN或负载均衡的话, 要自己另外写代码, 只以x-forwarded-for倒数第1个作为用户真实IP(目前DZ原始是以第1个作为真实IP来判断的,肯定别人是可以随便伪造, 与IP是否合法无关, 因为别人也可以随便设置成1.1.1.1,2.2.2.2这种正常IP的,只是你没发现罢了)
回复 支持 反对

使用道具 举报

46

主题

1157

帖子

1480

积分

King

Rank: 5Rank: 5

贡献
4 点
金币
236 个
发表于 2019-7-28 18:00:56 | 显示全部楼层
后台  关闭  UID 登录

通知用户强化密码

三个月沒上线  后台设定锁定用户

即可
回复 支持 反对

使用道具 举报

2

主题

6

帖子

14

积分

Newbie

Rank: 1

贡献
0 点
金币
8 个
 楼主| 发表于 2019-7-28 18:17:07 | 显示全部楼层
没有开通uid登录。
回复 支持 反对

使用道具 举报

2

主题

6

帖子

14

积分

Newbie

Rank: 1

贡献
0 点
金币
8 个
 楼主| 发表于 2019-7-28 18:20:51 | 显示全部楼层
本帖最后由 stonys 于 2019-7-28 18:24 编辑

DISCUZ登陆限制IP绕过
https://www.jianshu.com/p/8edca45ea4c5
伪造ip撞库登录 有什么好办法禁止吗
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IFP4G
DZ论坛爆破工具 V1.2.1 免费正式版
https://www.jb51.net/softs/611268.html
Discuz论坛自动爆破工具原理分析
https://www.freebuf.com/articles/web/68002.html

看来是历史问题了,好像还没有好的解决方案。
回复 支持 反对

使用道具 举报

46

主题

1157

帖子

1480

积分

King

Rank: 5Rank: 5

贡献
4 点
金币
236 个
发表于 2019-7-28 18:28:45 | 显示全部楼层
本帖最后由 allthebest 于 2019-7-28 17:54 编辑

别忘记 忘记密码 测试 同样后台有记录

简单 密码 如 111111 等才有可能与非法IP有关

但不会单独测试一个用户名

你的图片见的 只是会员忘记密码尝试而已

与非法IP尝试爆破密码无关


回复 支持 反对

使用道具 举报

8

主题

577

帖子

690

积分

Lord

Rank: 4

贡献
0 点
金币
105 个
发表于 2019-8-14 17:57:34 | 显示全部楼层
一般都是动态ip,封ip没有用

建议提升密码安全,比如密码必须含有大写和小写,密码不得少于10位等等
回复 支持 反对

使用道具 举报

8

主题

577

帖子

690

积分

Lord

Rank: 4

贡献
0 点
金币
105 个
发表于 2019-8-14 17:57:54 | 显示全部楼层
然后开启验证码,防止机器人
回复 支持 反对

使用道具 举报

10

主题

65

帖子

111

积分

Member

Rank: 2Rank: 2

贡献
0 点
金币
43 个
QQ
发表于 2020-1-6 16:21:12 | 显示全部楼层
config/config_global.php

添加:

  1. $_config['security']['onlyremoteaddr'] = 1;
复制代码
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz!应用中心 ( 皖ICP备16010102号 ) star

GMT+8, 2020-1-27 07:26

Powered by Discuz!

© 2001-2019 Tencent Cloud.

快速回复 返回顶部 返回列表