如有乐享
😂 博客使用微博三方登陆,被攻破,被注入一堆垃圾用户信息。博客暂停访问!
最近如有乐享,用户注册模块被恶意注册了5000多用户。
初步判断是利用微博三方登陆 渠道注册进来的。
目前还不知道是 微博三方登陆有问题?还是多梦主题三方登陆有漏洞。
马甲后台查了一下,从7月份开始就有人陆续利用BUG注册
,最近貌似注册的最疯狂~ 可能漏洞被公开了
临时解决方案:
1)关闭微博三方登陆
2)在Nginx修改一下配置,将微博登陆回调返回403
查看从微博注册进来用户的ID
select DISTINCT user_id from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo'
#新建临时表a 只有一个字段ID
insert into a select DISTINCT user_id from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo' and user_id >26900
user_id >26900 如有博客ID大于 26900 的都可能存在异常,自己根据数据去判断
删除数据!(提前备份,免的出错!!!)
delete from wp_users where id in (SELECT id from a)
delete from wp_usermeta where user_id in (SELECT id from a)
初步判断是利用微博三方登陆 渠道注册进来的。
目前还不知道是 微博三方登陆有问题?还是多梦主题三方登陆有漏洞。
马甲后台查了一下,从7月份开始就有人陆续利用BUG注册
,最近貌似注册的最疯狂~ 可能漏洞被公开了
临时解决方案:
1)关闭微博三方登陆
2)在Nginx修改一下配置,将微博登陆回调返回403
location ~/?connect=weibo* {
return 403;
}3)清理现有垃圾数据。查看从微博注册进来用户的ID
select DISTINCT user_id from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo'
#新建临时表a 只有一个字段ID
insert into a select DISTINCT user_id from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo' and user_id >26900
user_id >26900 如有博客ID大于 26900 的都可能存在异常,自己根据数据去判断
删除数据!(提前备份,免的出错!!!)
delete from wp_users where id in (SELECT id from a)
delete from wp_usermeta where user_id in (SELECT id from a)
Forwarded from malaohu | 我是小马甲~
使用 Go 将 Python 版的代码翻译了一遍
https://github.com/MoeClub/OneList/tree/master/WriteByGolang
单 HTML文件,支持排序(点击 文件,时间,大小 即可排序)。
纯 JS 渲染条目,可以防爬。(昨天学的前端)
支持多盘位。
支持文件夹内超过 200 条项目
无需数据库支持
后台自动刷新缓存
演示站:
https://moeclub.org/onedrive
https://github.com/MoeClub/OneList/tree/master/WriteByGolang
单 HTML文件,支持排序(点击 文件,时间,大小 即可排序)。
纯 JS 渲染条目,可以防爬。(昨天学的前端)
支持多盘位。
支持文件夹内超过 200 条项目
无需数据库支持
后台自动刷新缓存
演示站:
https://moeclub.org/onedrive