V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yzn
V2EX  ›  问与答

求助,发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。

  •  
  •   yzn · 2015-07-07 11:09:32 +08:00 · 1909 次点击
    这是一个创建于 3425 天前的主题,其中的信息可能已经有所发展或是发生改变。
    采取过的手段:
    1、修改注册页面的文件名。(可保短暂的安宁)
    2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
    3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没

    我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。

    希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
    neo2015
        1
    neo2015  
       2015-07-07 13:15:43 +08:00
    我之前用DZ,被大量打字福建莆田的自动注册,怎么禁止都禁止不住。

    学校论坛,需要验证学号的。他们依然可以注册进来的。只好写脚本,每个小时检查一次,看有没有账号学号和姓名异常的。

    最后直接封掉了整个福建的IP,反正是本地论坛。
    jasonding
        2
    jasonding  
       2015-07-07 13:55:11 +08:00
    暴力方案:假设正常注册需要20秒,限制每分钟最多注册两个。恶意注册账号肯定比正常注册快的多。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 22:24 · PVG 06:24 · LAX 14:24 · JFK 17:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.