Racconto: Recentemente ho avuto un enorme spam sulla mia installazione di Discourse dopo aver modificato un modello di testo per la “conferma e-mail” che sembrava sbagliato (da una vecchia installazione?) che l’URL aveva qualcosa come url/authorize_email/, Alla fine ho dovuto applicare un ripristino completo del forum di 5 giorni prima…
Ora sto controllando i log per vedere se ci sono altri attacchi di spambot, ma ho notato qualcosa di strano… la maggior parte degli spambot sembra provenire da un IP locale:
Scusa. Una volta viste gli indirizzi 172.17.x.x ho presunto che avessi un reverse proxy.
Quindi questa è un’installazione standard?
Se hai un singolo host e nessun load balancer/reverse proxy, allora non so come qualcuno possa avere un indirizzo IP del genere. Forse qualcos’altro sta inoltrando il traffico in qualche modo? Quelli sono indirizzi privati, quindi sembrerebbe che provengano dalla tua rete locale. Ciò suggerisce che lo spam bot si trova sulla tua rete. (Guide to Private IP Address Classes and Ranges - Ipstack)
Se non hai utenti legittimi (ad esempio, persone sulla tua LAN) che accedono a Discourse da quell’intervallo IP, sei al sicuro nel bloccarlo. Contatterei qualcuno che gestisce la tua rete e li informerei che questi attacchi provengono da quegli indirizzi interni.
Beh, non so niente e per me il mondo di Docker è un enorme mistero, ma mi stavo chiedendo se fosse possibile ottenere l’IP del container tramite SSH o qualcosa di simile?
Sì, l’ho fatto molti anni fa ma ricordo che fosse questa. In sostanza: una piccola macchina host dedicata su vultr (come quelle dropplet su DO) solo per questo scopo, installata su docker, il resto dell’host/vps non viene utilizzato per nient’altro.
Sì, è quello che sto pensando, qualche configurazione errata o, dato che sembra succedere da spambot, qualcosa di strano che accade intorno.
Non hai aggiornato il tuo sistema operativo in tutti quegli anni? La macchina host potrebbe essere stata violata? Quegli indirizzi IP sembrano provenire dalla stessa macchina.
non sembra, ma può essere difficile saperlo, d’altra parte gli spambot non sono massicci (ma lo erano massicci qualche giorno fa, per qualche motivo ho ricevuto spam massiccio 2 ore dopo aver cambiato il link dell’URL dell’email di conferma da “authorize_email” a “confirm-new-email” che sembrava un contenuto di un vecchio template, ma nel backup ripristinato ora ho ancora il vecchio modo per evitare un altro attacco)
La cosa strana è che questo modello di email sembra essere duplicato nelle mie impostazioni, quindi ho creato un altro argomento di discussione per questo problema:
No, sto ancora aspettando di sapere perché ho così tanti “modelli di email” duplicati con contenuti errati (che sembrano provenire da versioni precedenti) e perché non posso rimuoverli, come menzionato nel post precedente.
Non è probabile che i modelli di email siano la causa del problema che stai descrivendo qui. Mi sembra che sia correlato al tuo server e una reinstallazione su un’installazione pulita lo risolverà per te.
Non sembra esserci molto altro che si possa fare per aiutarti qui, quindi chiuderò questo argomento. Ho anche risposto alla tua domanda sui modelli di email. Se riscontri un nuovo problema, apri un nuovo argomento.
