Capter clefs confirmation des nouveaux comptes

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Capter clefs confirmation des nouveaux comptes

    Bonjour,
    En examinant les logs bruts de mon serveur, j'ai constaté une chose étrange au niveau des confirmations de créations de comptes par les nouveaux utilisateurs. J'utilise CB pour gérer les comptes utilisateurs.

    Je vous explique :
    - Un utilisateur DUPOND s'enregistre sur mon site. Un email lui est adressé automatiquement afin qu'il confirme son adresse email en cliquant sur le lien contenant la clef de confirmation du compte.
    - Une fois qu'il a confirmé son compte, j'active ensuite manuellement son compte utilisateur.

    En examinant les logs, j'ai constaté que mon membre DUPOND confirmait bien son compte avec son adresse IP d'enregistrement, ce qui me semble normal.

    Le souci, deux autres adresses IP différentes confirment également cette même clef d'enregistrement dans les secondes ou minutes qui suivent.

    Pouvez vous m'expliquer comment deux autres IP peuvent récupérer cette clef du compte DUPOND adressée sur son email personnel ?

    Avez vous aussi constaté cela sur vos sites ?
    Tags: Aucun
  • #2
    Hello

    Je te lis et j'essaie de comprendre ce qui pourrait être une cause de...

    Je réfléchis à voix haute : cela pourrait être un antivirus non ?

    Concrètement : au bureau j'utilise Teams. Quand quelqu'un me poste une URL dans le chat, si je clique dessus, j'ai un écran qui m'affiche quelque chose comme "vérification de l'url" càd que, avant que j'y accède, un outil se connecte avant moi pour déterminer si le site est sain, si la page n'est pas dangereuse (= mon interprétation).

    Est-ce quelque chose comme ça que tu rencontres ? Le premier log serait un antivirus au niveau du serveur mail, l'autre un antivirus sur le client mail de ton utilisateur puis le troisième, l'utilisateur qui a finalement cliqué sur le lien ?

    Juste une supposition...
    Scottux aime ceci.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/AFUJ/quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​
    • "J'aime" 1

    Commentaire

    • #3
      plusieurs explications techniques peuvent justifier la présence de plusieurs adresses IP dans les logs lors de la confirmation du compte :

      Exemple : Les serveurs de messagerie scannent les liens
      Certaines solutions de messagerie (notamment les services de Google, Microsoft Outlook, Yahoo, etc.) analysent automatiquement les liens contenus dans les emails afin de détecter les menaces potentielles (phishing, malware).
      • Lorsqu'un utilisateur reçoit un email avec un lien de confirmation, le serveur email ou un proxy de sécurité peut ouvrir le lien avant même que l'utilisateur ne le fasse.
      • Ces scans se font parfois depuis des adresses IP différentes appartenant au service en question.
      • C’est particulièrement vrai si l’utilisateur a activé des protections avancées sur son compte mail.
      Vérification : Regardez les reverse DNS des IP qui ont cliqué sur le lien.
      S’ils appartiennent à Google, Microsoft, etc., il s’agit probablement d’une analyse automatique du lien par un système anti-spam ou de sécurité.



      Scottux aime ceci.
      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
      • "J'aime" 1

      Commentaire

      • #4
        Bonjour à tous les deux et merci pour ces quelques pistes.
        Je n'avais pas pensé à ces systèmes d'anti-virus ou ces solutions d'analyses de messagerie.
        Comme le souligne daneel, j'ai effectivement des IP appartenant à Microsoft dans mes logs suspects pour les confirmations.
        Par contre, en poussant mes analyses, j'ai aussi constaté la présence d'une IP d'un membre que j'ai banni de mon site et qui a reçu cet email de confirmation en même temps que le nouveau membre.
        Est ce possible que ce membre banni partage une boîte mail avec le nouveau membre inscrit afin de recevoir également ses emails ? Je suppose que oui, ou alors il a piraté la boite email de mon nouveau membre.
        Est il aussi possible que ce membre banni se connecte avec l'IP (non bannie) de mon nouveau membre afin de cacher sa présence sur mon site ?

        Commentaire

        • #5
          Scottux
          Oui, c'est tout à fait possible que le membre banni ait créé un nouveau compte en utilisant un VPN ou une autre méthode pour masquer son identité. Plutôt que de penser immédiatement à un piratage de boîte mail, il est plus probable qu'il ait simplement utilisé une autre IP pour contourner le bannissement.

          Si l'IP utilisée par le nouveau membre n'est pas suspecte en soi mais que vous constatez des liens troublants (comme la réception simultanée d'un email de confirmation sur une IP précédemment bannie), il peut être utile de procéder à une vérification du compte. Vous pouvez, par exemple, demander une confirmation supplémentaire de l’identité du nouvel inscrit ou surveiller son activité pour voir s’il présente des comportements similaires à l’utilisateur banni.

          En résumé, sans preuve tangible d’un piratage, il est préférable de rester vigilant et de prendre des précautions pour s'assurer que le nouveau compte est légitime.
          Scottux aime ceci.
          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
          • "J'aime" 1

          Commentaire

          • #6
            Bonjour et merci daneel,
            D'après ce que je pense avoir compris en examinant les logs et comportements, je pense que je ne vais pas trop me prendre la tête avec ces comptes suspects. Je vais simplement les supprimer. C'est dommage d'en arriver là car il y a toujours le risque de supprimer un membre étranger à ces façons de faire.
            Pour la vérification de compte, je n'ai pas très bien compris ta méthode. Si j'adresse un email de vérification, il va forcément me répondre qu'il a bien demandé son inscription sur mon site et qu'il n'a rien à voir avec mon membre banni, non ?
            Y a t'il un moyen fiable de déterminer qu'une adresse IP correspond à un VPN ?
            Si oui, est il possible d'interdire toutes les adresses IP correspondant à des VPN ?

            Commentaire

            • #7
              Envoyé par Scottux Voir le message
              Pour la vérification de compte, je n'ai pas très bien compris ta méthode. Si j'adresse un email de vérification, il va forcément me répondre qu'il a bien demandé son inscription sur mon site et qu'il n'a rien à voir avec mon membre banni, non ?
              Y a t'il un moyen fiable de déterminer qu'une adresse IP correspond à un VPN ?
              Si oui, est il possible d'interdire toutes les adresses IP correspondant à des VPN ?
              Dans la majorité des cas de spam ou de tentatives de piratage, il s'agit de scripts automatisés (bots) qui ne prendront même pas la peine de répondre à un email de vérification.
              Si tu veux renforcer la sécurité, tu peux aussi imposer la double authentification, ce qui lève pas mal de doutes.

              Concernant les VPN, il est impossible d'empêcher quelqu'un d'en utiliser un, et je déconseille fortement de les bloquer. L'usage d'un VPN n'a rien d'illégal, et beaucoup de personnes les utilisent pour des raisons de confidentialité. De plus, certaines entreprises passent par des proxys pour filtrer leur trafic, ce qui peut aussi être confondu avec un VPN.

              À mon sens, il ne faut pas trop se compliquer la vie : si ton site est bien protégé contre les spams et les faux comptes, le bannissement ne concernera qu'une minorité de personnes. Et en général, ceux qui sont bloqués ne vont pas s'acharner à contourner les restrictions pour se réinscrire ou essayer de pirater ton site.
              Scottux aime ceci.
              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
              • "J'aime" 1

              Commentaire

              • #8
                Je te remercie pour toutes ces explications. Je ne compte pas toucher au droit à la confidentialité de mes membres.
                Bonne journée.

                Commentaire

                • #9
                  Comme mes connaissances en code son très limitées, j'ai passé mon après-midi à décortiquer mes logs bruts. C'est très intéressant en fait.
                  Je n'ai pas perdu mon temps car j'ai trouvé une méthode très efficace pour détecter ces faux comptes avec des IP suspectes.
                  Je ne donnerai pas cette méthode dans ce sujet car il est fort possible que ce membre que j'ai banni fréquente joomla.fr.
                  Merci encore de m'avoir conseillé. Ca m'a permis de découvrir les logs de mon serveur que je ne consultais jamais.
                  Dernière édition par Scottux à 05/03/2025, 19h05

                  Commentaire

                  • #10
                    Je confirme, c'est instructif de regarder les logs car c'est un peu l'arrière cuisine, on y voit des drôles de choses comme, quand je m'y intéressait, des tentatives de hack.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/AFUJ/quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire

                    • #11
                      Effectivement, plein de choses en arrière plan.
                      Une action qui revient assez régulièrement sur mon site, c'est essayer d'accéder aux backups. Il y a intérêt à les planquer ses backups.
                      cavo789 aime ceci.
                      • "J'aime" 1

                      Commentaire

                      • #12
                        Cela me fait penser : j'avais développé un outil pour analyser les logs d'apache. Il est ici, en open source : https://github.com/cavo789/apache_logreader
                        woluweb et Scottux aiment ceci.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/AFUJ/quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​
                        • "J'aime" 2

                        Commentaire

                        • #13
                          Bonjour,
                          Merci cavo789 pour ce partage. Je vais essayer ton outil dès que j'ai un moment.

                          Commentaire

                          • #14
                            Bonjour cavo789.
                            Je viens de tester ton outil apache_logreader durant l'après-midi.
                            Il est probablement très performant pour les pros de l'informatique mais bien trop compliqué pour moi et pour ce que je souhaite vérifier à mon niveau. Je vais continuer à étudier mes logs à la main. Ca ne me prend plus beaucoup de temps.
                            Je te remercie quand même de m'avoir montré cette solution.
                            cavo789 aime ceci.
                            • "J'aime" 1

                            Commentaire

                            • #15
                              Salut

                              Merci pour le retour. Je l'avais cité juste parce qu'il m'est revenu en tête et que cet outil permet de filtrer, rechercher,...

                              Il n'est très probablement pas très intuitif, c'est une certitude ;-)

                              ​​​​​
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/AFUJ/quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Précédent template Suivant

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire
                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X