Cuento corto: Recientemente tuve un spam masivo en mi instalación de Discourse después de cambiar una plantilla de texto para la “confirmación de correo electrónico” que parecía estar mal (¿de una instalación antigua?) que la URL tenía algo como url/authorize_email/, Al final, necesité aplicar una recuperación completa del foro de 5 días antes…
Ahora estoy revisando los registros para ver si hay más ataques de spambots, pero he notado algo extraño… la mayoría de los spambots parecen provenir de una IP local:
Lo siento. Una vez que vi las direcciones 172.17.x.x asumí que tenías un proxy inverso.
¿Entonces esta es una instalación estándar?
Si tienes un solo host y no hay balanceador de carga/proxy inverso, entonces no sé cómo alguien podría tener una dirección IP de ese tipo. ¿Quizás algo más está reenviando el tráfico de alguna manera? Esas son direcciones privadas, por lo que parecería que provienen de tu red local. Eso sugiere que el bot de spam está viviendo en tu red. (Guide to Private IP Address Classes and Ranges - Ipstack)
Si no tienes usuarios legítimos (por ejemplo, personas en tu LAN) accediendo a Discourse desde ese rango de IP, puedes bloquearlo de forma segura. Me pondría en contacto con alguien que administre tu red y le informaría que estos ataques provienen de esas direcciones internas.
Bueno, no sé nada y para mí el mundo de Docker es un gran misterio, pero me preguntaba si es posible obtener la IP del contenedor a través de SSH o algo así.
Sí, lo hice hace muchos años pero recuerdo que fue este. Básicamente: una pequeña máquina host dedicada en vultr (como esas dropplets en DO) solo para este propósito, instalada en docker, el resto del host/vps no se utiliza para nada más.
Sí, eso es lo que estoy pensando, alguna configuración incorrecta o, dado que parece que ocurre desde spambots, algo extraño sucediendo alrededor.
¿No has actualizado tu sistema operativo en tantos años? ¿Podría haber sido hackeada la máquina anfitriona? Esas direcciones IP parecen provenir de la misma máquina.
no parece, pero puede ser difícil saberlo, por otro lado, los spambots no son masivos (pero fueron masivos hace unos días, por alguna razón recibí spam masivo 2 horas después de cambiar el enlace de la URL del correo electrónico de confirmación de “authorize_email” a “confirm-new-email”, que parecía ser el contenido de una plantilla antigua, pero en la copia de seguridad restaurada ahora todavía tengo la forma antigua para evitar otro ataque)
Lo extraño es que esta plantilla de correo electrónico parece estar duplicada en mi configuración, así que creé otro tema de publicación para este problema:
No, todavía estoy esperando saber por qué tengo tantas “plantillas de correo electrónico” duplicadas con contenido incorrecto (que parecen conservarse de versiones anteriores) y por qué no puedo eliminarlas, como se mencionó en la publicación anterior.
No es probable que las plantillas de correo electrónico sean la causa del problema que describe aquí. Me parece que está relacionado con su servidor, y una reinstalación en una instalación limpia lo solucionará.
No parece haber mucho más que se pueda hacer para ayudarle aquí, así que voy a cerrar este tema. También respondí a su pregunta sobre las plantillas de correo electrónico. Si encuentra un nuevo problema, inicie un nuevo tema.
