急!!! 我使用 本社区 的开源 论坛 搭建的 网站 遭遇 严重攻击,求解决办法
发布于 6 年前 作者 pangguoming 5451 次浏览 来自 问答

应该是被用自动化提交工具 不断提交 垃圾广告 求解决办法,急 TIM截图20180618194711.png

21 回复

直接把账号禁了

@fruit-memory 被注册了1000多个账号 一天发几千条广告, 我用 nginx 拦截显示 ip地址 大多不一样

只要我网站启动,他就自动注册账号,发广告,应该是这个论坛有漏洞

这没办法了吧,IP不一样你好像没办法啊,除非改注册机制

我 从mongodb 用命令批量删除了, Cnode中文社区 没有遭遇过这样的攻击?

加个注册验证码。

注册的时候加个验证码

来自酷炫的 CNodeMD

注册和发布都添加验证码程序或者设置token验证都是可以哒

新版的 cnode 有验证码功能了吗?

判定下账号级别,限制发帖频率,刚注册无活动积累不许发帖。

来自✨ Node.js开源项目精选

cnode是管理手动删的,5555

加个发贴审核机制,对用户手动开启授信,只有授信过的用户发贴自动发布,未授信的用户发布的内容一律不发布。

1、单独开一个进程,专门用来分析mongodb新插入的数据(比如24小时内),自动删除数据,当然这个不容易实现,不知道现在人工智能有没有可用案例。 2、12306的接口在一天的不同时间段是不同的的,这个方案依然无法杜绝,垃圾帖还是无法删除。 3、楼上的发帖审核对用户限制太死,容易流失用户,需要人力是不可行的,一下子注册几千账号,审核要累死; 推荐方案: 验证码+手机号,手机验证后可以发帖,恶意用户直接禁止该手机号。 当一个手机号 “首次”一天内发帖超过20,一小时超过5条,都禁止发帖,管理员审核不是机器人后,以后发帖移除该限制。

验证码应该是最好的选择。

加个图形验证码吧,成本低,效果好

我这样的小网站也被人黑

其实这里没那么恐怖,我觉得主因是通过github注册而不是直接注册。所以这个社区的注册成本就要比你网站的注册成本大很多。而因为注册成本高,所以水货ID少,手动封的成本就下降了。

LZ的站竟然有挖矿脚本

这种可以先用关键词过滤防御一波!

1、增加注册成本,注册时给邮箱发验证码 2、在所有增删改查接口前加拦截器,检查用户是否登录,如果用户没有登录返回403 3、接口调用频次限制,监测调用者的ip,频繁调用的话直接加到黑名单,这个用nginx就能搞定

回到顶部