Kurzgeschichte: Ich hatte kürzlich massive Spam-Aktivitäten auf meiner Discourse-Installation, nachdem ich eine Textvorlage für die „E-Mail-Bestätigung“ geändert hatte, die falsch zu sein schien (von einer alten Installation?). Die URL enthielt etwas wie url/authorize_email/. Am Ende musste ich eine vollständige Forenwiederherstellung von 5 Tagen zuvor durchführen…
Jetzt beobachte ich die Protokolle, um zu sehen, ob es weitere Spambot-Angriffe gibt, aber ich habe etwas Seltsames bemerkt… die meisten Spambots scheinen von einer lokalen IP zu kommen:
Entschuldigung. Sobald ich die Adressen 172.17.x.x gesehen habe, ging ich davon aus, dass Sie einen Reverse-Proxy haben.
Also ist das eine Standardinstallation?
Wenn Sie einen einzelnen Host und keine Lastverteilung/Reverse-Proxy haben, dann weiß ich nicht, wie jemand eine solche IP-Adresse haben könnte. Vielleicht leitet etwas anderes den Datenverkehr weiter? Das sind private Adressen, daher scheint es, dass sie aus Ihrem lokalen Netzwerk stammen. Das deutet darauf hin, dass der Spam-Bot in Ihrem Netzwerk lebt. (Guide to Private IP Address Classes and Ranges - Ipstack)
Wenn Sie keine legitimen Benutzer (z. B. Personen in Ihrem LAN) haben, die von dieser IP-Reichweite auf Discourse zugreifen, können Sie sie sicher blockieren. Ich würde jemanden kontaktieren, der Ihr Netzwerk betreibt, und ihn darüber informieren, dass diese Angriffe von diesen internen Adressen ausgehen.
Nun, ich weiß nichts und für mich ist die Docker-Welt ein einziges großes Mysterium, aber ich habe mich gefragt, ob es möglich ist, die Container-IP per SSH oder so etwas zu erhalten?
Ja, das habe ich vor vielen Jahren gemacht, aber ich erinnere mich, dass es diese war. Grundsätzlich: eine dedizierte kleine Host-Maschine bei Vultr (wie diese Dropplets bei DO) nur für diesen Zweck, installiert auf Docker, der Rest des Hosts/VPS wird für nichts anderes verwendet.
Ja, das denke ich auch, eine falsche Konfiguration oder, da es von Spambots zu kommen scheint, etwas Seltsames, das passiert.
Haben Sie Ihr Betriebssystem in all den Jahren nicht aktualisiert? Könnte die Host-Maschine gehackt worden sein? Diese IP-Adressen scheinen von derselben Maschine zu stammen.
Ich plane, in 2-3 Monaten eine Neuinstallation durchzuführen
sieht nicht so aus, aber das ist schwer zu wissen. Andererseits sind die Spambots nicht massiv (aber sie waren vor ein paar Tagen massiv, aus irgendeinem Grund bekam ich massiven Spam 2 Stunden nachdem ich den Link zur Bestätigungs-E-Mail von „authorize_email“ zu „confirm-new-email“ geändert hatte, was eine alte Vorlage zu sein schien, aber im wiederhergestellten Backup habe ich jetzt immer noch den alten Weg, um einen weiteren Angriff zu vermeiden)
Das Seltsame ist, dass diese E-Mail-Vorlage in meinen Einstellungen dupliziert zu sein scheint, daher habe ich zu diesem Problem ein weiteres Beitragsthema erstellt:
Nein, ich warte immer noch darauf zu erfahren, warum ich so viele duplizierte „E-Mail-Vorlagen“ mit falschen Inhalten habe (die anscheinend aus älteren Versionen stammen) und warum ich sie nicht löschen kann, wie im vorherigen Beitrag erwähnt.
Es unwahrscheinlich, dass die E-Mail-Vorlagen die Ursache für das von Ihnen beschriebene Problem sind. Es scheint mir, dass es mit Ihrem Server zusammenhängt und eine Neuinstallation auf einer frischen Installation wird es für Sie beheben.
Es scheint nicht viel mehr getan werden zu können, um Ihnen hier zu helfen, daher werde ich dieses Thema schließen. Ich habe auch auf Ihre Frage zu den E-Mail-Vorlagen geantwortet. Wenn Sie auf ein neues Problem stoßen, eröffnen Sie ein neues Thema.
