Não tenho certeza se o ServerFault é o local correto para essa pergunta: redirecione se outro site do StackExchange for mais apropriado, mas acho que esse é o "mais correto".
Em um dos servidores que eu sou o administrador, há um fórum. O servidor em si é um servidor dedicado usado apenas como um servidor da Web, mas com vários aplicativos da web. É um JDK atualizado atualizado do Tomcat + (para que o recente Java DoS remoto não funcione), se for o caso.
Estou vendo um ataque muito estranho (AFAICT sem sucesso) e gostaria de saber mais sobre isso.
Basicamente, estou recebendo várias postagens no fórum aguardando moderação (todas as publicações do fórum precisam ser validadas, porque recebemos spam no passado por pessoas criando contas manualmente e depois postando automaticamente) contendo o seguinte texto:
Hi there, I dont know if I am writing in a proper board but I have got a problem with activation, link i receive in email is not working...
Agora, se você usar o Google para essa frase (mal escrita), verá que há muita leitura (quase meio milhão). Muitas pessoas até respondem a esta mensagem, perguntando coisas como "do que você está falando? O link do email deve funcionar etc." .
Alguém sabe de que tipo de malware isso acontece? É obviamente algum tipo de ataque automatizado semi-avançado porque está ignorando o captcha. (o usuário não podia enviar a mensagem na minha placa sem primeiro ter ativado sua conta, e para isso ele precisaria obter o e-mail de ativação, o que ele fez ... E você não pode receber nenhum e-mail de ativação sem quebrar o captcha , então esse bot pode quebrar algum captcha com certeza). É um bot porque você não está recebendo meio milhão de acessos no Google por essa frase específica sem, bem, usar um bot;)
Além disso, eu realmente não entendo esse tipo de ataque: o objetivo é, então, que o Google tenha essa sentença incorreta (garantida como única) para ver quais fóruns não exigem moderação ou não realizam spams. limpeza?
Ou alguém que apareça como usuário válido para que o invasor seja sinalizado como "usuário válido" ou o que for?
Eu simplesmente não entendi. Mais uma vez, se alguém tiver informações sobre isso, eu sou todo ouvidos para que eu seja confuzzabled.
O e-mail de registro que eu vi usado pelas pessoas de baixa renda que realizam esses ataques era o tempo de um endereço de e-mail .info .
Devo começar a banir os endereços de e-mail .info ?
Existem IPs conhecidos para proibições? (meu mercado-alvo não inclui a China, por exemplo, então proibir a China inteira realmente não me afetaria nem um pouco)
Eu não sou particularmente afetado visto que estou recebendo essa mensagem no status "pendente de ativação" em meus fóruns (que são todos que exigem moderação: quero dizer o fórum + todos os subfóruns), mas eu ainda gostaria de saiba mais sobre a sua ... Parece uma praga comum e parece atingir muitos servidores.
Hipoteticamente, suponho que eles possam postar isso como texto de espaço reservado e, depois de confirmarem que têm uma conta "ativa" que pode postar, eles voltarão a usar essa conta do fórum em busca de spam no futuro.
Isso permite que eles colham contas do fórum que "funcionam". Depois, quando são pagas por uma campanha de spam específica, não precisam postar em contas novas, que podem estar sujeitas a controles de spam mais restritos.
Estou me agarrando a palhas, obviamente!
Tags malware web-server