Spam provenant d'adresses IP internes comme 172.17.0.1 ?

Nouvelle : J’ai récemment eu un spam massif sur mon installation Discourse après avoir modifié un modèle de texte pour la « confirmation par e-mail » qui semblait erroné (provenant d’une ancienne installation ?) car l’URL contenait quelque chose comme url/authorize_email/. Finalement, j’ai dû appliquer une récupération complète du forum datant de 5 jours…

Maintenant, je surveille les journaux pour voir s’il y a d’autres attaques de spambots, mais j’ai remarqué quelque chose d’étrange… la plupart des spambots semblent provenir d’une IP locale :

image1399×809 67.8 KB

Je ne suis donc pas sûr si quelque chose ne va pas dans mon installation.

Par exemple, ce réglage 172.16.0… est-il correct ?

image1530×614 52.9 KB

Vous utilisez un proxy inverse (quelque chose comme nginx-proxy, peut-être).

Vous devez ajouter quelque chose comme ceci à votre app.yml

after_bundle_exec:
  - replace:
    filename: /etc/nginx/conf.d/discourse.conf
    from: "types {"
    to: |
      set_real_ip_from 172.16.0.0/12;
      set_real_ip_from 10.0.0.0/8;
      real_ip_recursive on;
      real_ip_header X-Forwarded-For;
      types {

Comme nous pouvons le voir dans la première capture d’écran, il semble que seulement quelques-uns (on dirait seulement des spambots)

Il semble que je n’utilise pas de proxy inverse, Discourse est servi directement à partir d’une instance Docker.

Désolé. Une fois que j’ai vu les adresses 172.17.x.x, j’ai supposé que vous aviez un proxy inverse.

Il s’agit donc d’une installation standard ?

Si vous avez un seul hôte et aucun équilibreur de charge/proxy inverse, alors je ne sais pas comment quelqu’un pourrait avoir une telle adresse IP. Peut-être que quelque chose d’autre transmet le trafic d’une manière ou d’une autre ? Ce sont des adresses privées, donc il semblerait qu’elles proviennent de votre réseau local. Cela suggère que le bot de spam réside sur votre réseau. (Guide to Private IP Address Classes and Ranges - Ipstack)

Si vous n’avez pas d’utilisateurs légitimes (par exemple, des personnes sur votre réseau local) accédant à Discourse depuis cette plage d’adresses IP, vous pouvez la bloquer en toute sécurité. Je contacterais quelqu’un qui gère votre réseau et lui ferais savoir que ces attaques proviennent de ces adresses internes.

C’est une adresse IP Docker, n’est-ce pas ?

C’est là que je l’ai vu, mais je pense qu’il existe d’autres utilisations pour cette plage.

Ou peut-être que le bot de spam est un conteneur Docker sur cette machine.

Eh bien, je ne sais rien et pour moi le monde de Docker est un immense mystère, mais je me demandais s’il était possible d’obtenir l’IP d’un conteneur via SSH ou quelque chose comme ça ?

Oui, je l’ai fait il y a de nombreuses années mais je me souviens que c’était celle-ci. En gros : une petite machine hôte dédiée sur vultr (comme ces dropplets sur DO) dans ce seul but, installée sur docker, le reste de l’hôte/vps n’est utilisé à rien d’autre.

Oui, c’est ce que je pense, une mauvaise configuration ou, comme cela semble se produire à partir de spambots, quelque chose d’étrange se passe autour.

pas d’autres dockers sur cette machine

N’avez-vous pas mis à jour votre système d’exploitation depuis toutes ces années ? La machine hôte aurait-elle pu être piratée ? Ces adresses IP semblent provenir de la même machine.

Je prévois de faire une réinstallation dans 2-3 mois

ça ne ressemble pas à ça, mais il peut être difficile de le savoir, d’un autre côté, les spambots ne sont pas massifs (mais ils l’étaient massivement il y a quelques jours, pour une raison quelconque, j’ai reçu un spam massif 2 heures après avoir changé le lien de l’URL de confirmation de l’e-mail de « authorize_email » à « confirm-new-email », qui semblait être un ancien contenu de modèle, mais dans la sauvegarde restaurée, j’ai toujours l’ancienne méthode afin d’éviter une autre attaque)

La chose étrange est que ce modèle d’e-mail semble être dupliqué dans mes paramètres, j’ai donc créé un autre sujet de discussion pour ce problème :

Avez-vous trouvé suffisamment d’informations pour résoudre votre problème ? Pouvons-nous clore cette note de sujet ?

Non, j’attends toujours de savoir pourquoi j’ai autant de « modèles d’e-mail » en double avec un contenu incorrect (qui semble provenir d’anciennes versions) et pourquoi je ne peux pas les supprimer, comme mentionné dans le message précédent.

Il est peu probable que les modèles d’e-mail soient la cause du problème que vous décrivez ici. Il me semble que cela est lié à votre serveur, et une réinstallation sur une installation vierge le résoudra pour vous.

Il ne semble pas y avoir grand-chose de plus à faire pour vous aider ici, je vais donc fermer ce sujet. J’ai également répondu à votre question sur les modèles d’e-mail. Si vous rencontrez un nouveau problème, ouvrez un nouveau sujet.