Capter clefs confirmation des nouveaux comptes

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Capter clefs confirmation des nouveaux comptes

    Bonjour,
    En examinant les logs bruts de mon serveur, j'ai constaté une chose étrange au niveau des confirmations de créations de comptes par les nouveaux utilisateurs. J'utilise CB pour gérer les comptes utilisateurs.

    Je vous explique :
    - Un utilisateur DUPOND s'enregistre sur mon site. Un email lui est adressé automatiquement afin qu'il confirme son adresse email en cliquant sur le lien contenant la clef de confirmation du compte.
    - Une fois qu'il a confirmé son compte, j'active ensuite manuellement son compte utilisateur.

    En examinant les logs, j'ai constaté que mon membre DUPOND confirmait bien son compte avec son adresse IP d'enregistrement, ce qui me semble normal.

    Le souci, deux autres adresses IP différentes confirment également cette même clef d'enregistrement dans les secondes ou minutes qui suivent.

    Pouvez vous m'expliquer comment deux autres IP peuvent récupérer cette clef du compte DUPOND adressée sur son email personnel ?

    Avez vous aussi constaté cela sur vos sites ?
    Tags: Aucun
  • #2
    Hello

    Je te lis et j'essaie de comprendre ce qui pourrait être une cause de...

    Je réfléchis à voix haute : cela pourrait être un antivirus non ?

    Concrètement : au bureau j'utilise Teams. Quand quelqu'un me poste une URL dans le chat, si je clique dessus, j'ai un écran qui m'affiche quelque chose comme "vérification de l'url" càd que, avant que j'y accède, un outil se connecte avant moi pour déterminer si le site est sain, si la page n'est pas dangereuse (= mon interprétation).

    Est-ce quelque chose comme ça que tu rencontres ? Le premier log serait un antivirus au niveau du serveur mail, l'autre un antivirus sur le client mail de ton utilisateur puis le troisième, l'utilisateur qui a finalement cliqué sur le lien ?

    Juste une supposition...
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire

    • #3
      plusieurs explications techniques peuvent justifier la présence de plusieurs adresses IP dans les logs lors de la confirmation du compte :

      Exemple : Les serveurs de messagerie scannent les liens
      Certaines solutions de messagerie (notamment les services de Google, Microsoft Outlook, Yahoo, etc.) analysent automatiquement les liens contenus dans les emails afin de détecter les menaces potentielles (phishing, malware).
      • Lorsqu'un utilisateur reçoit un email avec un lien de confirmation, le serveur email ou un proxy de sécurité peut ouvrir le lien avant même que l'utilisateur ne le fasse.
      • Ces scans se font parfois depuis des adresses IP différentes appartenant au service en question.
      • C’est particulièrement vrai si l’utilisateur a activé des protections avancées sur son compte mail.
      Vérification : Regardez les reverse DNS des IP qui ont cliqué sur le lien.
      S’ils appartiennent à Google, Microsoft, etc., il s’agit probablement d’une analyse automatique du lien par un système anti-spam ou de sécurité.



      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire

      • #4
        Bonjour à tous les deux et merci pour ces quelques pistes.
        Je n'avais pas pensé à ces systèmes d'anti-virus ou ces solutions d'analyses de messagerie.
        Comme le souligne daneel, j'ai effectivement des IP appartenant à Microsoft dans mes logs suspects pour les confirmations.
        Par contre, en poussant mes analyses, j'ai aussi constaté la présence d'une IP d'un membre que j'ai banni de mon site et qui a reçu cet email de confirmation en même temps que le nouveau membre.
        Est ce possible que ce membre banni partage une boîte mail avec le nouveau membre inscrit afin de recevoir également ses emails ? Je suppose que oui, ou alors il a piraté la boite email de mon nouveau membre.
        Est il aussi possible que ce membre banni se connecte avec l'IP (non bannie) de mon nouveau membre afin de cacher sa présence sur mon site ?

        Commentaire

        Précédent template Suivant

        Annonce

        Réduire
        Aucune annonce pour le moment.

        Partenaire de l'association

        Réduire
        Hébergeur Web PlanetHoster
        Travaille ...
        X