<分区>
我注意到我的 Drupal 站点上有一些奇怪的行为。我喜欢在采取行动之前了解我正在查看的数据,这样我就不会浪费时间去采取错误的措施,但我缺乏解释的安全知识。
一个帐户发出了许多奇怪的重复请求,包括尝试访问编辑个人资料页面、登录(成功 - 有人注意到该帐户几天前有 250 个事件 session )以及大量密码请求。该帐户没有管理员权限,任何人都可以注册一个帐户。
编辑:Drupal 版本为 6.17。
我对正在发生的事情的最佳猜测如下:
(1) Joe Evil-doer 使用多个重设密码请求作为 DOS 攻击(有效 :< )
(2) Joe Evil-doer 正试图根据他的重复请求以某种方式建立一个可能的密码字典(我看不出有什么可行的方法)。
(3) 我是一堆交易失败并多次尝试重新提交的受害者。
还有其他场景吗?这些是否与常见的 Drupal 漏洞相匹配?
这是数据。我对数据库中的 accesslog 表运行了以下查询:
select count(*), title, path from accesslog where uid = 999 group by title, path;
结果如下(已清理用户 ID 和页面名称,ofc)。每列中的 Count(*) 应表示每个操作收到的请求数。
+----------+-------------------------+------------------------------------------+
| count(*) | title | path |
+----------+-------------------------+------------------------------------------+
| 16 | | home |
| 1334 | Access denied | user/999/edit |
| 184 | Series | events/series |
| 1 | Home | user/register |
| 1 | Reset password | user/reset/999/123124/a2340a1c1123/login |
| 1 | username | user/999 |
| 5 | username | user/999/edit |
| 1 | username | user/me |
| 904 | User account | user/login |
| 11252 | User account | user/password |
| 288 | User account | user/register |
| 1 | Validate e-mail address | user/validate/999/1283452346/a0f123459e |
+----------+-------------------------+------------------------------------------+