Chinaunix首页 | 论坛 | 博客
  • 博客访问: 294925
  • 博文数量: 153
  • 博客积分: 3347
  • 博客等级: 中校
  • 技术积分: 1556
  • 用 户 组: 普通用户
  • 注册时间: 2009-12-30 17:50
文章分类

全部博文(153)

文章存档

2013年(7)

2012年(21)

2011年(46)

2010年(16)

2009年(63)

我的朋友

分类: PHP

2013-04-11 19:12:40

已经战斗两周了.

1.入侵者手里有一个用户邮箱和密码的库,可能是网上流传的CSDN的用户表.
2.网站注册页面有个功能,会提示 该用户名是否已经被使用.  入侵者利用此功能检查是否有同名用户,如果有,则使用它已经掌握的密码进行登录.
3.上述功能修改,要求用户输入完成图片验证码后才提示用户名是否已经被使用.
4.入侵者转而开始破解图片验证码,估计是人工识别一些验证码,然后刷新图片直到出现已经识别的验证码.
5.对验证码获取进行限制,具体措施这里就不说了.
6.入侵者使用程序进行登录尝试.
7.对登录进行限制,具体措施也不说了.

这段时间入侵者导致 网站服务器流量暴增,缓存服务器流量暴增,给我们造成极大困扰.

现在已经基本封堵完成.

下一步打算聘请专业安全专家对网站的安全进行检测,然后逐步完善.
阅读(600) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~