Я не уверен, что ServerFault - правильное место для такого вопроса: пожалуйста, перенаправьте, если другой сайт StackExchange более подходит, но я думаю, что это «самый правильный».
На одном из серверов, на котором я являюсь администратором, есть форум. Сам сервер - это выделенный сервер, который используется только как веб-сервер, но с несколькими веб-приложениями на нем. Это современный Tomcat + обновленный JDK (поэтому недавний удаленный Java DoS не может работать), если это имеет значение.
Я наблюдаю действительно странную атаку (безуспешную AFAICT), и мне хотелось бы узнать о ней больше.
По сути, я получаю несколько сообщений на форуме, ожидающих модерации (каждое сообщение на форуме должно быть проверено, потому что в прошлом мы получали спам из-за того, что люди создавали учетную запись вручную, а затем публиковали автоматически), содержащие следующий текст:
Привет, я не знаю, пишу ли я на правильной доске, но у меня проблема с активацией, ссылка, которую я получаю по электронной почте, не работает ...
Теперь, если вы загуглите это (плохо написанное) предложение, вы увидите, что его читают довольно много (почти полмиллиона). Многие люди даже отвечают на это сообщение, задавая такие вопросы, как "о чем ты? Ссылка на электронную почту должна работать и т. д.".
Неужели никто не знает, от какого типа вредоносного ПО? Очевидно, что это какая-то полу-продвинутая автоматическая атака, потому что она обходит капчу. (пользователь не мог отправить это сообщение на мою доску, не активировав сначала свою учетную запись, и для этого ему нужно было бы получить письмо активации, что он и сделал ... И вы не можете получить электронное письмо для активации, не нарушив капчу , так что этот бот наверняка может взломать часть капчи). Это бот, потому что вы не получите полмиллиона посещений в Google по этому конкретному предложению без, ну, использования бота;)
Кроме того, я не совсем понимаю смысл такой атаки: является ли цель затем Google на этом плохом предложении (гарантированно уникальное), чтобы увидеть, какие форумы не требуют модерации или не выполняют очистку от спама?
Или кто-то, кто будет писать сообщения как действующий пользователь, чтобы злоумышленник был отмечен как «действительный пользователь» или что-то еще?
Я просто не понимаю. Еще раз, если у кого-то есть информация об этом, я все слышу, потому что я в замешательстве.
Регистрационное письмо, которое я видел, использованное низкими людьми, совершающими эти атаки, было .Информация адрес электронной почты.
Стоит ли мне банить .Информация адрес электронной почты?
Есть ли известные IP-адреса для банов? (например, мой целевой рынок не включает Китай, поэтому запрет на весь Китай на самом деле не повлияет на меня ни в малейшей степени)
Меня не особо беспокоит то, что я получаю это сообщение в статусе «ожидает активации» на моих форумах (которые все требуют модерации: я имею в виду форум + все подфорумы), но я все же хотел бы узнать больше о его ... Похоже на обычную чуму и, кажется, поражает довольно много серверов.
Гипотетически я предполагаю, что они могут публиковать это как текст-заполнитель, и как только они подтвердят, что у них есть «рабочая» учетная запись, которая может отправлять сообщения, они затем вернутся, чтобы использовать эту учетную запись форума для спама в будущем.
Это позволяет им собирать учетные записи форумов, которые «работают» - тогда, когда им платят за конкретную спам-кампанию, им не нужно размещать сообщения в совершенно новых учетных записях, которые могут подлежать более жесткому контролю за спамом.
Очевидно, я хватаюсь за соломинку!