我注意到我的 Drupal 网站上有一些奇怪的行为。我喜欢在采取行动之前了解我正在查看的数据,这样我就不会浪费时间采取错误的措施,但我缺乏安全知识来解释。
一个帐户发出了许多奇怪的重复请求,包括尝试访问编辑个人资料页面、登录(成功 - 有人注意到几天前该帐户有 250 个活动会话)以及大量密码请求。该帐户没有管理员权限,任何人都可以注册帐户。
编辑: Drupal 版本是 6.17。
我对正在发生的事情的最佳猜测如下:
(1) Joe Evil-doer 使用多个重置密码请求作为 DOS 攻击(它正在工作:<)
(2) Joe Evil-doer 正试图以某种方式从他的重复请求中建立一个可能的密码字典(我看不出这种方法可行)。
(3) 我是一堆交易失败并多次尝试重新提交的受害者。
还有其他场景吗?这是否与常见的 Drupal 漏洞匹配?
这是数据。我对数据库中的 accesslog 表运行了以下查询:
select count(*), title, path from accesslog where uid = 999 group by title, path;
结果如下(用户 ID 和页面名称已清理,ofc)。每列中的 Count(*) 应指示每个操作收到的请求数。
+----------+-------------------------+------------------------------------------+
| count(*) | title | path |
+----------+-------------------------+------------------------------------------+
| 16 | | home |
| 1334 | Access denied | user/999/edit |
| 184 | Series | events/series |
| 1 | Home | user/register |
| 1 | Reset password | user/reset/999/123124/a2340a1c1123/login |
| 1 | username | user/999 |
| 5 | username | user/999/edit |
| 1 | username | user/me |
| 904 | User account | user/login |
| 11252 | User account | user/password |
| 288 | User account | user/register |
| 1 | Validate e-mail address | user/validate/999/1283452346/a0f123459e |
+----------+-------------------------+------------------------------------------+