Augmentation de l’activité de spam pour les site de rencontre "meettomy.site" provenant de comptes compromis

Projets de la communauté CAForum-phpBB et retour d’expérience sur CAForum-phpBB
Avatar du membre
sergio6 sergio6
Communauté phpBB
Messages: []
Enregistré depuis: 1 an 1 mois
Prénom: Serge
Forum phpBB: https://phpbb3refugees.net/

Augmentation de l’activité de spam pour les site de rencontre "meettomy.site" provenant de comptes compromis

Message par sergio6 »

Au cours des derniers jours, Derky de phpbb.com a remarqué que beaucoup de spam était posté pour le même « site de rencontre meettomy.site » par des comptes plus anciens (fiables et vérifiés).

Image


Après quelques recherches sur un forum qu'il gère il peux confirmer que ces comptes appartiennent à des utilisateurs légitimes et il semble que le spammeur semble connaître à la fois le nom d’utilisateur et les mots de passe des comptes. Les comptes vérifiés datent de 2020 ou d’avant et les adresses e-mail appartenant aux comptes compromis sont toutes répertoriées sur https://haveibeenpwned.com/ dans 1 ou plusieurs violations.

Analyse des journaux
Le spam est posté à partir de différentes adresses IP, en filtrant les journaux d’accès au serveur sur une adresse IP, il est intéressant de voir ce qui s’est passé.
Lisez ce journal de bas en haut : Il s’agit du journal de 38.170.124.183

Image

Image
  1. Il visite le site sans https ou www et est redirigé vers la version https
  2. Visite le PCU pour modifier la signature afin d’y ajouter également du spam
  3. Ouvre un forum et publie un message

Aucune réinitialisation de mot de passe n’a été effectuée
Derky confirme que le mot de passe des utilisateurs compromis n’a pas été réinitialisé. Il ai enregistré tous les e-mails du forum au cours des dernières années et la plupart des utilisateurs compromis n’ont reçu que le message « Bienvenue à » (en 2020 ou avant) et ils n’ont pas reçu d’autres e-mails tels que des réinitialisations de mot de passe.

Étendu
Si vous vérifiez l’une des adresses IP utilisées 190.185.109.144 sur https://www.stopforumspam.com/search Vous verrez plusieurs rapports au cours des derniers jours, et sur la base des adresses e-mail, il semble également que des comptes légitimes aient été compromis.

Image

Par une recherche sur Google pour ce spam, on trouve beaucoup d’autres sites et forums qui ont également été spammés, pas seulement phpBB mais aussi vBulletin, Xenforo et Invision Community.
Des spams similaires ont été trouvés sur phpBB.com.

Image


Atténuation
Il a essayé de trouver un moyen d’arrêter cela. Parce que ces comptes sont compromis, cela signifie qu’ils sont déjà activés (donc pas besoin de captcha) et lorsqu’ils ont déjà des messages, les fonctionnalités anti-spam « Utilisateurs nouvellement enregistrés » ne s’appliquent plus non plus à eux, ce qui les amène à publier du spam sans avoir besoin d’approbation.

L’élagage des comptes plus anciens l’arrêterait, mais il ne préfère ne pas se contenter de le faire. Il pensait aussi peut-être supprimer ou réinitialiser les mots de passe des anciens comptes, mais ce n’est pas non plus vraiment une bonne expérience utilisateur. Il existe un moyen de forcer les gens à compléter un captcha lors de la connexion, c’est-à-dire lorsqu’ils ont trop de tentatives de connexion. C’est comme ça qu'il en est arrivé là ;

Définition de la « user_login_attempts » sur 99 pour tous les utilisateurs qui ne se sont pas connectés depuis le 1er janvier 2024. Cela obligera ces utilisateurs à remplir un captcha avant de pouvoir continuer à se connecter.

Pour référence, voici la requête à utiliser si vous êtes concernés pour vos forums :

Code: Tout sélectionner

UPDATE phpbb_users
SET user_login_attempts = 99
WHERE user_type = 0
	AND user_inactive_reason = 0
	AND user_lastvisit < 1704063600;
"J'ai la faiblesse de penser qu'en général, la méchanceté n'est pas une preuve d'intelligence." René Goscinny
Avatar du membre
Claude Claude
Membre VIP
Messages: []
Enregistré depuis: 4 ans 11 mois
Identité: Claude Peitrequin
Forum phpBB: https://www.secretlife.ch/

Re: Augmentation de l’activité de spam pour les site de rencontre "meettomy.site" provenant de comptes compromis

Message par Claude »

Pour ce genre de compte j'ai créé un groupe et je les places dedans
Le principe de Peter :
Chaque employé tend à s'élever à son niveau d'incompétence.
Avatar du membre
Archaos Archaos
Membre VIP
Messages: []
Enregistré depuis: 11 mois
Forum phpBB: https://www.forum-depression.com/

Re: Augmentation de l’activité de spam pour les site de rencontre "meettomy.site" provenant de comptes compromis

Message par Archaos »

Merci pour ces infos, j'ai eu quelques comptes corrompus :roll: