V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
linsk
V2EX  ›  问与答

囧,我的V2ex ID被修改密码...

  •  
  •   linsk · 2013-01-11 15:46:24 +08:00 · 6686 次点击
    这是一个创建于 4367 天前的主题,其中的信息可能已经有所发展或是发生改变。
    好丢脸...虽然我的密码很白痴,但竟然有人盯上我...
    确定没记错,因为是1password管理密码的。
    什么情况?
    39 条回复    1970-01-01 08:00:00 +08:00
    kindlepaper
        1
    kindlepaper  
       2013-01-11 15:50:49 +08:00
    相同情况,而且同学的也是
    所以我刚刚新注册了一个
    linsk
        2
    linsk  
    OP
       2013-01-11 16:06:01 +08:00
    @kindlepaper 什么情况这是... 为什么不「忘记密码」取回?
    kindlepaper
        3
    kindlepaper  
       2013-01-11 16:24:02 +08:00
    @linsk 因为我邮箱当时填了以后就随便改了
    怕垃圾邮件
    cutehalo
        4
    cutehalo  
       2013-01-11 16:24:38 +08:00
    嘘....我也是的 我以为是我的密码太简单了
    不过啥也木有发生 然后我重新改了密码
    kindlepaper
        5
    kindlepaper  
       2013-01-11 16:25:12 +08:00
    shizhuan
        6
    shizhuan  
       2013-01-11 16:31:02 +08:00
    我的也被修改了
    shizhuan
        7
    shizhuan  
       2013-01-11 16:31:29 +08:00
    刚刚通过邮箱找回密码~请 @livid 关注
    insub
        8
    insub  
       2013-01-11 17:39:20 +08:00
    我是前天晚上发生的,也是用的弱密码
    应该是那个王八蛋用了暴力破解在扫我们的帐号
    请 @livid 关注
    ahu
        9
    ahu  
       2013-01-11 17:41:35 +08:00
    楼主94号,看来今夜会扫到我这来
    insub
        10
    insub  
       2013-01-11 17:41:47 +08:00
    会不会再google一下我们的帐号,然后用破出来的密码,看那个网站有利可图就.......
    linsk
        11
    linsk  
    OP
       2013-01-11 18:06:24 +08:00
    @ahu 是啊。很遗憾不是64号啊...

    @insub 我也是2天前发生的,大概。

    竟然是全站的事。
    Livid
        12
    Livid  
    MOD
       2013-01-11 18:22:55 +08:00
    我正在看日志。
    quora
        13
    quora  
       2013-01-11 18:26:47 +08:00
    ...先把弱密码改掉了.
    Livid
        14
    Livid  
    MOD
       2013-01-11 18:29:03 +08:00
    请大家人肉一下这两个 IP 地址:

    222.125.162.152
    116.24.10.71
    tokki
        15
    tokki  
       2013-01-11 18:37:07 +08:00
    这里用户名都是暴露的,我写个脚本 把v2ex扫一遍 把@ 的页面名字拔下来 然后弱口令跑 基本一大批帐号会挂。。。好像现在直接通过id就能得到用户名了

    我的建议是 邮箱登陆 这个问题就解决咯 邮箱都是没暴露出来的

    或者登陆加个验证码 加个多次错误登陆封ip什么的

    好吧 真有人闲着没事干了 小学生吧
    flied
        16
    flied  
       2013-01-11 18:40:41 +08:00
    好吧,我先去把密码改了。
    Livid
        17
    Livid  
    MOD
       2013-01-11 18:40:59 +08:00
    @tokki 多谢建议。

    我正在改登录接口。
    Livid
        18
    Livid  
    MOD
       2013-01-11 18:45:37 +08:00
    @kindlepaper V2EX 过去,从来,未来绝对不会发送任何垃圾邮件。发垃圾邮件推广网站提高 KPI 的都是傻逼。

    你可以发邮件到 livid at v2ex.com 告诉我你之前的账号及一个可以收到信的邮箱,然后帮你把邮箱改掉之后,你就可以通过邮箱找回密码。
    Livid
        19
    Livid  
    MOD
       2013-01-11 18:46:44 +08:00
    如果你还在用任何 CSDN 事件之前的密码,请一定改掉。
    insub
        20
    insub  
       2013-01-11 18:48:32 +08:00
    @tokki @livid
    还有一种方案是,更改邮箱时需要在原邮箱接收邮件,这样可以确保能找回密码,否则要是密码和邮箱都被改掉,就很麻烦了
    登录加个次数校验也是有必要的
    xatest
        21
    xatest  
       2013-01-11 18:55:20 +08:00 via iPhone
    同样故意用的弱密码被扫了,马上改了密码。不知道拿这个帐号来有什么用。
    Livid
        22
    Livid  
    MOD
       2013-01-11 18:58:27 +08:00
    我比较好奇各位所说的弱密码究竟有多弱?
    Livid
        23
    Livid  
    MOD
       2013-01-11 19:03:21 +08:00
    已经在 /signin 部署了一些新措施。
    Livid
        24
    Livid  
    MOD
       2013-01-11 19:08:12 +08:00
    扫描的 IP 地址已经被 block。

    自动 block 机制我现在正在本地开发测试中。PST 时间 11 号天亮之前上线。
    linsk
        25
    linsk  
    OP
       2013-01-11 19:26:54 +08:00
    @Livid 赞。
    Livid
        26
    Livid  
    MOD
       2013-01-11 20:02:25 +08:00
    /signin 的 rate limit 已经部署。接下来会在其他敏感页面上也部署同样的机制。
    yanhopeless
        27
    yanhopeless  
       2013-01-11 20:05:58 +08:00
    我还以为就我的被改了呢,汗。。。
    Livid
        28
    Livid  
    MOD
       2013-01-11 20:17:09 +08:00
    针对敏感页面的 rate limit 已经部署。不会影响正常使用,但是可以彻底避免类似事件的再次发生。
    aisk
        29
    aisk  
       2013-01-11 20:20:48 +08:00
    @Livid 123456一扫一大片
    aisk
        30
    aisk  
       2013-01-11 20:22:44 +08:00
    @Livid 如果数据库密码只用固定salt的话,group by一下,根据分布情况都可以看出密码是什么来
    sethverlo
        31
    sethverlo  
       2013-01-11 20:24:12 +08:00
    @Livid 个人感觉密码六位及以下纯数字或者纯字母这样的都算弱口令……还有您提到「V2EX 过去,从来,未来绝对不会发送任何垃圾邮件」,这句话没错,印象中好像从来没收到过 v2ex 的邮件,感觉如果有像「知乎每周精选」这样的东西的话也是很不错的…
    pingwest
        32
    pingwest  
       2013-01-11 20:38:33 +08:00
    我的密码也被改了,郁闷
    kokdemo
        33
    kokdemo  
       2013-01-11 20:57:01 +08:00
    我的好像没有……
    liliang13
        34
    liliang13  
       2013-01-11 21:40:32 +08:00
    国内国外两套不同的邮箱和密码,v2属于国外的。。。。
    ksky
        35
    ksky  
       2013-01-11 22:39:50 +08:00
    升级了一级密码。。。偷懒都不行。。。唉。
    kissfire
        36
    kissfire  
       2013-01-11 22:43:26 +08:00
    我以为我忘了 原来是密码被改了 -_-!
    shao
        37
    shao  
       2013-01-11 22:54:59 +08:00
    防止万一,修改了v2ex密码,14位的随机英文数字组合。1password生成的。
    zzz
        38
    zzz  
       2013-01-12 08:57:05 +08:00
    密码,邮件均被改了。估计很快会有僵尸发小广告的出现了。
    Livid
        39
    Livid  
    MOD
       2013-01-12 09:28:10 +08:00 via iPhone
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1039 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:54 · PVG 04:54 · LAX 12:54 · JFK 15:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.