Короткая история: недавно на моей установке Discourse произошел массовый спам после того, как я изменил текстовый шаблон для «подтверждения по электронной почте», который, казалось, был неверным (возможно, от старой установки?), так как в URL содержалось что-то вроде url/authorize_email/. В итоге мне пришлось восстановить форум из резервной копии пятидневной давности…
Теперь я слежу за логами, чтобы увидеть, не последуют ли новые атаки спам-ботов, но заметил кое-что странное… большинство спам-ботов, похоже, исходит с локального IP-адреса:
Как видно на первом скриншоте, похоже, что только некоторые (выглядит так, будто только от спам-ботов)
Похоже, я не использую обратный прокси-сервер: Discourse обслуживается просто из экземпляра Docker, но на этом сервере не запущен какой-либо другой процесс «хоста» nginx.
Извините. Как только я увидел адреса 172.17.x.x, я предположил, что у вас есть обратный прокси.
Значит, это стандартная установка?
Если у вас один хост и нет балансировщика нагрузки/обратного прокси, то я не понимаю, как кто-то мог получить такой IP-адрес. Возможно, что-то ещё каким-то образом пересылает трафик? Это частные адреса, поэтому кажется, что они поступают из вашей локальной сети. Это говорит о том, что спам-бот находится в вашей сети. (Guide to Private IP Address Classes and Ranges - Ipstack)
Если у вас нет легитимных пользователей (например, людей из вашей LAN), которые обращаются к Discourse из этого диапазона IP-адресов, вы можете безопасно заблокировать его. Я бы связался с тем, кто управляет вашей сетью, и сообщил им, что эти атаки исходят из этих внутренних адресов.
Что ж, я ничего не знаю, и для меня мир Docker — одна большая загадка, но я подумал: можно ли получить IP-адрес контейнера через SSH или что-то подобное?
Да, я делал это много лет назад, но, насколько я помню, именно так. Вкратце: выделенная небольшая машина на Vultr (похожая на те дроплеты на DO) только для этой цели, установлена в Docker, остальная часть хоста/VPS не используется ни для чего другого.
Да, я так и думаю, какая-то неправильная конфигурация или, раз это, похоже, происходит со спам-ботами, что-то странное происходит вокруг.
Разве вы не обновляли свою операционную систему за все эти годы? Не взломали ли хост-машину? Эти IP-адреса, похоже, приходят с одного и того же компьютера.
Я планирую переустановить систему через 2–3 месяца.
Похоже, что нет, но это трудно точно определить. С другой стороны, спам-боты сейчас не так активны (хотя несколько дней назад спам был массовым: по какой-то причине я получил массовый спам через 2 часа после изменения URL-ссылки для подтверждения электронной почты с «authorize_email» на «confirm-new-email», что, похоже, содержало устаревший шаблон. Однако в восстановленной резервной копии я пока оставил старый вариант, чтобы избежать новой атаки).
Нет, я всё ещё жду ответа, почему у меня так много дубликатов «шаблонов электронной почты» с неверным содержимым (похоже, что они остались от старых версий) и почему я не могу их удалить, как упоминалось в предыдущем сообщении.
Скорее всего, шаблоны электронной почты не являются причиной описанной вами проблемы. Мне кажется, что дело в вашем сервере, и переустановка на чистой установке решит проблему для вас.
Похоже, что больше ничего нельзя сделать, чтобы помочь вам здесь, поэтому я закрываю эту тему. Я также ответил на ваш вопрос о шаблонах электронной почты. Если у вас возникнет новая проблема, создайте новую тему.
