【安全漏洞】discuz 扫号发帖机安全漏洞

近日，我们一年多没出现垃圾，非法信息的网站，再次出现非法信息，我们网站是邀请收费注册的，发帖机是扫号过来的，IP不断变化，能过中文验证码，并且自动更改用户密码，我们已经关闭了UID登录，有点不明白他是怎么知道我们的用户名的？
深度研究服务器日志后发现攻击流程如下，：

发帖机先通过个人空间获取用户名(无需登录)》然后使用扫号器扫描弱密码》最后批量发帖

这3步，第一关是通过：https://discuz.dismall.com/home.php?mod=space&uid=235592&do=profile  游客照样可以获取用户信息，只要UID即可，大家也都知道UID是1-999999，所以获取用户名很简单

第二步是通过获取的用户名，用很多服务器去扫描弱密码，每个用户名尝试一次，最关键是能过我的中文验证码，这个太变态了

第三步得到扫描的用户信息，登录然后批量发帖

扫描弱密码除非IIS关闭网站，别的一点办法也没有




所有方法都试过了，个人空间资料页面找不到设置关闭游客浏览，扫描器可能是最新版，太强大了，望官方重视！

补充一下，扫号器似乎是虚拟代理，网站上运行日志显示的IP和IIS日志里的IP不一样！这个没搞明白怎么回事！

这个应当属于暴力破解密码，没有可靠的防御措施。

同样深受其害

玻璃屋女孩 发表于 2013-5-27 15:47
这个应当属于暴力破解密码，没有可靠的防御措施。

暴力破解，只能设置强制要求密码复杂度了