بريد مزعج مقدم من عناوين IP داخلية مثل 172.17.0.1؟

الدعم
1

قصة قصيرة: لقد واجهت مؤخرًا بريدًا عشوائيًا هائلاً في تثبيت discourse الخاص بي بعد تغيير قالب نصي لـ “تأكيد البريد الإلكتروني” الذي بدا خاطئًا (من تثبيت قديم؟) وأن عنوان URL كان شيئًا مثل url/authorize_email/، وفي النهاية احتجت إلى تطبيق استرداد كامل للمنتدى أقدم بـ 5 أيام…

الآن أراقب السجلات لمعرفة ما إذا كانت هناك المزيد من هجمات الروبوتات العشوائية، ولكني لاحظت شيئًا غريبًا… يبدو أن معظم الروبوتات العشوائية تأتي من عنوان IP محلي:

image
image1399×809 67.8 KB

لذلك لست متأكدًا مما إذا كان هناك شيء خاطئ في تثبيتي

مثل، هل هذا الإعداد 172.16.0… صحيح؟

image
image1530×614 52.9 KB

2

أنت تستخدم وكيلًا عكسيًا (شيء مثل nginx-proxy، ربما).
تحتاج إلى إضافة شيء كهذا إلى ملف app.yml الخاص بك

after_bundle_exec:
  - replace:
    filename: /etc/nginx/conf.d/discourse.conf
    from: "types {"
    to: |
      set_real_ip_from 172.16.0.0/12;
      set_real_ip_from 10.0.0.0/8;
      real_ip_recursive on;
      real_ip_header X-Forwarded-For;
      types {
4 إعجابات
3

كما نرى في اللقطة الأولى، يبدو أن البعض فقط (يبدو أنها من روبوتات البريد العشوائي فقط)

يبدو أنني لا أستخدم وكيلًا عكسيًا، ويتم تقديم ديسكورس فقط من مثيل دوكر.

4

عذرًا. بمجرد أن رأيت عناوين 172.17.x.x افترضت أن لديك وكيلًا عكسيًا.

إذًا، هذا تثبيت قياسي؟

إذا كان لديك مضيف واحد ولا يوجد موازن تحميل/وكيل عكسي، فلن أعرف كيف يمكن لأي شخص الحصول على عنوان IP هذا. ربما يقوم شيء آخر بإعادة توجيه حركة المرور بطريقة ما؟ هذه عناوين خاصة، لذا يبدو أنها قادمة من شبكتك المحلية. هذا يشير إلى أن روبوت البريد العشوائي يعيش على شبكتك. (Guide to Private IP Address Classes and Ranges - Ipstack)

إذا لم يكن لديك مستخدمون شرعيون (على سبيل المثال، أشخاص على شبكتك المحلية) يصلون إلى الخطاب من نطاق IP هذا، فأنت آمن لحظره. سأتصل بشخص يدير شبكتك وأخبره أن هذه الهجمات تأتي من تلك العناوين الداخلية.

إعجابَين (2)
5

هذا عنوان IP خاص بـ Docker، أليس كذلك؟

إعجاب واحد (1)
6

هذا هو المكان الذي رأيته فيه، لكن أعتقد أن هناك استخدامات أخرى لهذا النطاق.

أو ربما يكون روبوت البريد العشوائي حاوية دوكر على هذا الجهاز. :person_shrugging:

إعجابَين (2)
7

حسنًا، لا أعرف شيئًا وبالنسبة لي عالم دوكر هو لغز كبير، لكنني كنت أفكر هل من الممكن الحصول على عنوان IP للحاوية عبر SSH أو شيء من هذا القبيل؟

8

نعم، لقد قمت بذلك منذ سنوات عديدة ولكني أتذكر أنه كان هذا. في الأساس: جهاز مضيف صغير مخصص على vultr (مثل تلك القطرات على DO) لهذا الغرض فقط، مثبت على دوكر، والباقي من المضيف/vps لا يُستخدم لأي شيء آخر.

نعم، هذا ما أفكر فيه، بعض التكوينات الخاطئة أو، بما أنه يبدو أنه يحدث من روبوتات البريد العشوائي، شيء غريب يحدث حوله.

لا توجد حاويات دوكر أخرى على هذا الجهاز.

9

ألم تقم بتحديث نظام التشغيل الخاص بك منذ سنوات عديدة؟ هل يمكن اختراق الجهاز المضيف؟ تبدو عناوين IP هذه وكأنها قادمة من نفس الجهاز.

10

أخطط لإعادة التثبيت خلال 2-3 أشهر

قد يكون الجهاز المضيف قد تعرض للاختراق؟

لا يبدو الأمر كذلك، ولكن قد يكون من الصعب معرفة ذلك، من ناحية أخرى، روبوتات البريد العشوائي ليست ضخمة (لكنها كانت ضخمة قبل أيام قليلة، لسبب ما تلقيت بريدًا عشوائيًا ضخمًا بعد ساعتين من تغيير رابط البريد الإلكتروني للتأكيد من “authorize_email” إلى “confirm-new-email” والذي بدا أنه محتويات قالب قديم، ولكن في النسخة الاحتياطية المستعادة الآن لا يزال لدي الطريقة القديمة لتجنب هجوم آخر)

11

الشيء الغريب هو أن قالب البريد الإلكتروني هذا يبدو مكررًا في إعداداتي، لذلك أنشأت موضوعًا آخر لهذه المشكلة:

12

هل تمكنت من معرفة ما يكفي لحل مشكلتك؟ هل يمكننا إغلاق هذا الموضوع؟

13

لا، ما زلت أنتظر معرفة سبب وجود العديد من “قوالب البريد الإلكتروني” المكررة بمحتويات خاطئة (والتي تبدو وكأنها مأخوذة من إصدارات أقدم) ولماذا لا يمكنني حذفها، كما ذكرت في المنشور السابق.

14

ليس من المحتمل أن تكون قوالب البريد الإلكتروني هي سبب المشكلة التي تصفها هنا. يبدو لي أن الأمر يتعلق بخادمك، وإعادة التثبيت على تثبيت جديد سيصلح لك الأمر.

لا يبدو أن هناك الكثير مما يمكن فعله لمساعدتك هنا، لذلك سأقوم بإغلاق هذا الموضوع. لقد أجبت أيضًا على سؤالك حول قوالب البريد الإلكتروني. إذا واجهت مشكلة جديدة، فابدأ موضوعًا جديدًا.

إعجاب واحد (1)