Après quelques recherches sur un forum qu'il gère il peux confirmer que ces comptes appartiennent à des utilisateurs légitimes et il semble que le spammeur semble connaître à la fois le nom d’utilisateur et les mots de passe des comptes. Les comptes vérifiés datent de 2020 ou d’avant et les adresses e-mail appartenant aux comptes compromis sont toutes répertoriées sur https://haveibeenpwned.com/ dans 1 ou plusieurs violations.
Analyse des journaux
Le spam est posté à partir de différentes adresses IP, en filtrant les journaux d’accès au serveur sur une adresse IP, il est intéressant de voir ce qui s’est passé.
Lisez ce journal de bas en haut : Il s’agit du journal de 38.170.124.183
- Il visite le site sans https ou www et est redirigé vers la version https
- Visite le PCU pour modifier la signature afin d’y ajouter également du spam
- Ouvre un forum et publie un message
Aucune réinitialisation de mot de passe n’a été effectuée
Derky confirme que le mot de passe des utilisateurs compromis n’a pas été réinitialisé. Il ai enregistré tous les e-mails du forum au cours des dernières années et la plupart des utilisateurs compromis n’ont reçu que le message « Bienvenue à » (en 2020 ou avant) et ils n’ont pas reçu d’autres e-mails tels que des réinitialisations de mot de passe.
Étendu
Si vous vérifiez l’une des adresses IP utilisées 190.185.109.144 sur https://www.stopforumspam.com/search Vous verrez plusieurs rapports au cours des derniers jours, et sur la base des adresses e-mail, il semble également que des comptes légitimes aient été compromis.
Par une recherche sur Google pour ce spam, on trouve beaucoup d’autres sites et forums qui ont également été spammés, pas seulement phpBB mais aussi vBulletin, Xenforo et Invision Community.
Des spams similaires ont été trouvés sur phpBB.com.
Atténuation
Il a essayé de trouver un moyen d’arrêter cela. Parce que ces comptes sont compromis, cela signifie qu’ils sont déjà activés (donc pas besoin de captcha) et lorsqu’ils ont déjà des messages, les fonctionnalités anti-spam « Utilisateurs nouvellement enregistrés » ne s’appliquent plus non plus à eux, ce qui les amène à publier du spam sans avoir besoin d’approbation.
L’élagage des comptes plus anciens l’arrêterait, mais il ne préfère ne pas se contenter de le faire. Il pensait aussi peut-être supprimer ou réinitialiser les mots de passe des anciens comptes, mais ce n’est pas non plus vraiment une bonne expérience utilisateur. Il existe un moyen de forcer les gens à compléter un captcha lors de la connexion, c’est-à-dire lorsqu’ils ont trop de tentatives de connexion. C’est comme ça qu'il en est arrivé là ;
Définition de la « user_login_attempts » sur 99 pour tous les utilisateurs qui ne se sont pas connectés depuis le 1er janvier 2024. Cela obligera ces utilisateurs à remplir un captcha avant de pouvoir continuer à se connecter.
Pour référence, voici la requête à utiliser si vous êtes concernés pour vos forums :
Code: Tout sélectionner
UPDATE phpbb_users
SET user_login_attempts = 99
WHERE user_type = 0
AND user_inactive_reason = 0
AND user_lastvisit < 1704063600;