V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
plqws
V2EX  ›  V2EX

怀疑本站部分账号被撞库,用于洗地,建议调查

  plqws · 2018-09-04 10:09:34 +08:00 · 6760 次点击
这是一个创建于 2298 天前的主题,其中的信息可能已经有所发展或是发生改变。

首先是 @chuchur 本人表示自己是通过撞库 Github 来拿到刷 Star 的账号的: 然后在 https://www.v2ex.com/t/485555?p=3 第三页突然出现大量洗地的回复,同时指责楼主。 最诡异的一幕发生了,上面洗地的一个用户表示这些洗地回复并不是自己发表的。

如果是真的通过盗号洗地,是不是可以送那个 chuchur 去局子里喝个茶了? 希望 V 站管理层能调查一下。 @livid

29 条回复    2018-09-06 15:33:34 +08:00
youngxu
    1
youngxu  
   2018-09-04 10:17:36 +08:00 via Android
资瓷一下
dong3580
    2
dong3580  
   2018-09-04 10:26:28 +08:00
@tuutoo
近期是否用其他客户端登录过,可以在这里公布么?
orangeade
    3
orangeade  
   2018-09-04 10:27:37 +08:00
丰富 block 列表
yksoft1
    4
yksoft1  
   2018-09-04 10:36:36 +08:00
@dong3580 撞库的话就和任何客户端都没关系了
x7395759
    5
x7395759  
   2018-09-04 10:39:38 +08:00
这个问题很明显应该 @livid
tuutoo
    6
tuutoo  
   2018-09-04 10:40:38 +08:00
@dong3580 没有用过其他客户端,我一向是网页登陆的。密码也是只有 V 站用的。。。如果我的帐号不是个例,那就应该引起重视了。
zylll520
    7
zylll520  
   2018-09-04 10:44:42 +08:00
还有这种操作...
pisser
    8
pisser  
   2018-09-04 10:46:26 +08:00
这个小产业都扯成这样了?油水很多吗?
Livid
    9
Livid  
MOD
   2018-09-04 10:47:20 +08:00 via iPhone   ❤️ 1
如果是撞库的话,也不是什么新奇的事情了。这类攻击一直都存在,建议勤换密码+开两步验证:

https://www.v2ex.com/t/327499
est
    10
est  
   2018-09-04 10:48:13 +08:00
你们想多了。其实本站只有我一个用户。不信我换个帐号跟你说一样的话。
tuutoo
    11
tuutoo  
   2018-09-04 11:26:55 +08:00
@Livid 撞库的可能性很小。我每个网站密码都是独立的,专门有一套规则。
如果不是他在那个帖子里回复,我完全不知道,自己的帐号在被别人登陆使用。
yksoft1
    12
yksoft1  
   2018-09-04 11:30:49 +08:00
@tuutoo 那难道是 V2 早就被拖库了?
imn1
    13
imn1  
   2018-09-04 11:33:04 +08:00
@est
露馅了,应该说:你和我两个用户,这才成立
feverzsj
    14
feverzsj  
   2018-09-04 11:34:37 +08:00
也有可能是多重人格
tuutoo
    15
tuutoo  
   2018-09-04 11:51:13 +08:00 via iPhone
@yksoft1 @Livid 不知道是自己密码泄漏了还是其他原因。就怕那人是用其他手段获得了大量帐号,而不是我一个人的密码泄漏。当然可能我担心的有点多了。
现在自己改了密码加了二次验证应该安全了吧,不过即使这样我还是不能判断现在一定没人在用我的号。 最好是 v 站有个最近登陆的检查,至少不会等到人家拿我帐号去回复了我才能发现。
alioth310
    16
alioth310  
   2018-09-04 12:07:35 +08:00
v2ex 的登录验证是存在暴力破解问题的。
当用户输入的用户名密码不匹配时,如果验证码输入正确,那么页面跳转后生成的验证码文字和之前的验证码文字是相同的,仅仅变换了字符的显示样式,因此在输入一次正确的验证码的情况下,是可以重放暴力破解的。
此外,从接口请求看,很可能 once 参数是和验证码结果是一一对应的,这块没有测试,有可能使用同一个 once 就能一直重放。
yuxuan
    17
yuxuan  
   2018-09-04 12:14:25 +08:00
原帖他自己承认了 简直没脸没皮
icylogic
    18
icylogic  
   2018-09-04 12:20:30 +08:00 via iPhone
全面独立密码,无所谓。。
dcatfly
    19
dcatfly  
   2018-09-04 12:28:34 +08:00
资瓷+1
inframe
    20
inframe  
   2018-09-04 12:38:39 +08:00 via Android
这个人真的是不要脸啊😯
0312birdzhang
    21
0312birdzhang  
   2018-09-04 12:47:46 +08:00
@inframe #20 github 举报一波?
Livid
    22
Livid  
MOD
   2018-09-04 12:55:03 +08:00
@alioth310 这个接口 /signin 有 per IP 的 rate limit。
dong3580
    23
dong3580  
   2018-09-04 13:22:39 +08:00
v 站是独立密码,不过好奇怎么拿到的。
另外 v 站 cookie 有效期好像是一个月吧,如果在其他地方不断登录, 那么之前登录的还没超过一个月的所有 cookie 都有效么?
@tuutoo
你以前的密码很简单?
tuutoo
    24
tuutoo  
   2018-09-04 13:52:56 +08:00
@dong3580 强密码。爆破基本是不可能的,一般也不会针对我的帐号,不认识这人。不管了,反正现在改了密码,开了二次验证。就是这人盗了号还很嚣张啊。。
EvilCult
    25
EvilCult  
   2018-09-04 13:57:12 +08:00
吓得我赶紧更新了密码
AllOfMe
    26
AllOfMe  
   2018-09-04 18:20:12 +08:00
太无耻了这个人
laike9m
    27
laike9m  
   2018-09-04 19:22:50 +08:00
我觉得应该把撞库的行为也向 GitHub 警告。如果说买 star 还只是道德问题,盗号就更严重了。
nfroot
    28
nfroot  
   2018-09-05 10:53:33 +08:00
@alioth310 哈哈,前两天我也研究了一下,感觉 V2 的验证码逻辑挺有意思的(一般验证码都是只准用一次,用完就失效,但是在 V2 居然不是这么回事)
SiqingYu
    29
SiqingYu  
   2018-09-06 15:33:34 +08:00
咋知道自己有没有被盗号?
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4190 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 04:09 · PVG 12:09 · LAX 20:09 · JFK 23:09
Developed with CodeLauncher
♥ Do have faith in what you're doing.