Spam vindo de endereços IP internos como 172.17.0.1?

Conto: Recentemente tive um spam massivo na minha instalação do Discourse após alterar um modelo de texto para a “confirmação de e-mail” que parecia estar errado (de uma instalação antiga?) que a URL tinha algo como url/authorize_email/. No final, precisei aplicar uma recuperação completa do fórum de 5 dias atrás…

Agora estou monitorando os logs para ver se há mais ataques de spambots, mas notei algo estranho… a maioria dos spambots parece vir de um IP local:

image1399×809 67.8 KB

Então não tenho certeza se há algo errado na minha instalação.

Por exemplo, essa configuração 172.16.0… está correta?

image1530×614 52.9 KB

Você está usando um proxy reverso (algo como nginx-proxy, talvez).

Você precisa adicionar algo como isto ao seu app.yml

after_bundle_exec:
  - replace:
    filename: /etc/nginx/conf.d/discourse.conf
    from: "types {"
    to: |
      set_real_ip_from 172.16.0.0/12;
      set_real_ip_from 10.0.0.0/8;
      real_ip_recursive on;
      real_ip_header X-Forwarded-For;
      types {

Como podemos ver na primeira captura de tela, parece que apenas alguns (parece que apenas de spambots)

Parece que não estou usando um proxy reverso, o Discourse está sendo servido apenas de uma instância Docker.

Desculpe. Assim que vi os endereços 172.17.x.x, presumi que você tivesse um proxy reverso.

Então esta é uma instalação padrão?

Se você tem um único host e nenhum balanceador de carga/proxy reverso, então não sei como alguém teria tal endereço IP. Talvez algo mais esteja encaminhando o tráfego de alguma forma? Esses são endereços privados, então pareceria que eles estão vindo de sua rede local. Isso sugere que o bot de spam está vivendo em sua rede. (Guide to Private IP Address Classes and Ranges - Ipstack)

Se você não tem usuários legítimos (por exemplo, pessoas em sua LAN) acessando o Discourse a partir dessa faixa de IP, você está seguro para bloqueá-la. Eu contataria alguém que gerencia sua rede e informaria que esses ataques estão vindo desses endereços internos.

Esse é um IP do Docker, não é?

É aí que eu a vi, mas acho que há outros usos para esse intervalo.

Ou talvez o bot de spam seja um contêiner Docker nessa máquina.

Bem, eu não sei nada e para mim o mundo do docker é um grande mistério, mas eu estava pensando se é possível obter o IP do container via SSH ou algo assim?

Sim, fiz isso há muitos anos, mas me lembro de ser este. Basicamente: uma pequena máquina host dedicada na vultr (como aqueles dropplets no DO) apenas para este propósito, instalada no docker, o restante do host/vps não é usado para mais nada.

Sim, é o que estou pensando, alguma configuração errada ou, como parece estar acontecendo com spambots, algo estranho acontecendo por perto.

não há outros dockers nessa máquina

Você não atualiza seu sistema operacional há tantos anos? A máquina host poderia ter sido invadida? Esses endereços IP parecem vir da mesma máquina.

Eu planejo reinstalar em 2-3 meses

não parece, mas isso pode ser difícil de saber, por outro lado os spambots não são massivos (mas foram massivos há alguns dias, por alguma razão recebi spam massivo 2 horas depois de mudar o link do e-mail de confirmação de “authorize_email” para “confirm-new-email” que parecia ser um conteúdo de template antigo, mas no backup restaurado agora ainda tenho o jeito antigo para evitar outro ataque)

O estranho é que este modelo de e-mail parece estar duplicado nas minhas configurações, então criei outro tópico para este problema:

Você descobriu o suficiente para conseguir resolver seu problema? Podemos fechar esta nota de tópico?

Não, ainda estou aguardando para saber por que tenho tantos “modelos de e-mail” duplicados com conteúdo incorreto (que parecem ser de versões anteriores) e por que não consigo removê-los, como mencionado na postagem anterior.

Não é provável que os modelos de e-mail sejam a causa do problema que você está descrevendo aqui. Parece-me que está relacionado ao seu servidor, e uma reinstalação em uma instalação limpa irá corrigi-lo para você.

Não parece haver muito mais que possa ser feito para ajudá-lo aqui, então vou fechar este tópico. Também respondi à sua pergunta sobre os modelos de e-mail. Se você encontrar um novo problema, inicie um novo tópico.