求助,发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。

2015-07-07 11:09:32 +08:00
 yzn
采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没

我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。

希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
1937 次点击
所在节点    问与答
2 条回复
neo2015
2015-07-07 13:15:43 +08:00
我之前用DZ,被大量打字福建莆田的自动注册,怎么禁止都禁止不住。

学校论坛,需要验证学号的。他们依然可以注册进来的。只好写脚本,每个小时检查一次,看有没有账号学号和姓名异常的。

最后直接封掉了整个福建的IP,反正是本地论坛。
jasonding
2015-07-07 13:55:11 +08:00
暴力方案:假设正常注册需要20秒,限制每分钟最多注册两个。恶意注册账号肯定比正常注册快的多。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203898

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX