网站是discuz!3.4 可以使用任何用户发帖 不得已网站已关闭

罗永浩

跟我接触过的行业有点相似， 六七年前了现在不玩了。这个应该整个数据库泄露出去了，（俗称 脱裤）MD5也被解了，他们将账号密码导入发帖工具就开始发广告，不要说MD5+salt不能解，也要看密码的强度只是时间问题。我以前也充值了玩，你说  更多的是几年前注册的用户，很明显你的数据库被泄露出去很久的了，已经在市场上没价值了。已经到最后一步 数据库在到社工库里面了。

发公告叫用户设置问答登录，或者修改高强度密码（对撞也要几百年）这样泄露出去也不怕

罗永浩

p1114 发表于 2025-11-23 11:50
有没有办法查询密码修改时间呢，有没有可能改了一部分的密码

DZ好像没有这种应急功能，比如用户登录后必须修改密码才能浏览，就可以杜绝了

p1114

罗永浩 发表于 2025-11-23 21:52
跟我接触过的行业有点相似，六七年前了现在不玩了。这个应该整个数据库泄露出去了，（俗称 脱裤）MD5也被解 ...

好像也不是泄露出去了
1.我用sql把近期发帖的所有用户的密码给改了，密码强度很高，包含大小写字母数字和特殊符号；
2.服务商那里也把ssh连接的端口给禁用了；
3.论坛从3.4升级为了3.5，把原来的主题也删了，插件也都不用了；
今天依然能用我改过密码的账号发帖，我现在是完全搞不懂

qzuser1212

p1114 发表于 2025-11-24 13:45
好像也不是泄露出去了
1.我用sql把近期发帖的所有用户的密码给改了，密码强度很高，包含大小写字母数字和 ...

这种情况只可能是直接操作你的数据库了

p1114

qzuser1212 发表于 2025-11-24 15:58
这种情况只可能是直接操作你的数据库了

如果能直接操作我的数据库应该能改所有密码，但是我改掉的密码没有被再次修改，我刚才在config文件中改掉了cookie的表前缀，让所有的登陆用户都失效看看他还能不能再次登陆

罗永浩

p1114 发表于 2025-11-24 13:45
好像也不是泄露出去了
1.我用sql把近期发帖的所有用户的密码给改了，密码强度很高，包含大小写字母数字和 ...

玩那么多年DZ没遇到过，也没看别人有过。地址直接贴出来看看