[решено] Подозрительная активность на сайте

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Вебмастеру (http://forum.oszone.net/forumdisplay.php?f=22)

- - [решено] Подозрительная активность на сайте (http://forum.oszone.net/showthread.php?t=279830)

Подозрительная активность на сайте

Всем доброго дня.
Создал простой сайт на Wordpress, сайт имеет внешний IP и привязанный домен. Начал заниматься его безопасностью - разграничение доступа, редактирование htaccess и т.д..
Поставил плагин Better WP Security - по логам увидел, что каждую минуту кто-то ломится в админку сайта с неправильным логин/паролем.
Т.к. все работало в тестовом режиме и немного криво, решил просто откатиться (сайт работает на Debian, к которому в свою очередь есть доступ на VMWare).
Отредактировал htaccess, поставил доступ только из моей сети на то время, пока занимаюсь сайтом. Ради интереса решил залезть в логи апача и посмотреть, что происходит.
Вот что выдал apache_access.log:

Код:

62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "\x80w\x01\x03\x01" 200 7460 "-" "-"

62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "GET /HNAP1/ HTTP/1.1" 404 500 "http://195.211.101.13/" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.4.14-xfs; X11; i686)"

84.52.126.151 - - [26/Mar/2014:09:42:47 +0400] "POST /wp-login.php HTTP/1.0" 200 4267 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

83.220.237.110 - - [26/Mar/2014:10:20:40 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"

83.220.237.110 - - [26/Mar/2014:10:20:44 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"

84.52.126.151 - - [26/Mar/2014:10:20:49 +0400] "POST /wp-login.php HTTP/1.0" 403 438 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

83.220.237.110 - - [26/Mar/2014:10:20:56 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"

83.220.237.110 - - [26/Mar/2014:10:20:58 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"

83.220.237.110 - - [26/Mar/2014:10:21:08 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"

83.220.239.248 - - [26/Mar/2014:10:21:10 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"

83.220.239.248 - - [26/Mar/2014:10:21:15 +0400] "GET /favicon.ico HTTP/1.1" 403 432 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"

5.164.55.105 - - [26/Mar/2014:10:23:26 +0400] "GET / HTTP/1.0" 403 389 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1)"

В логах указал только незнакомые IP адреса.
При всем при этом, несмотря на то, что в htaccess доступ перекрыт к сайту - в логах по-прежнему высвечивается IP 84.52.126.151, который ломится в wp-login.php
Стало интересно по логам, что за сайт oldipolza.ru. Полез на сайт - и офигел. Т.к. он точная копия моего. nslookup выдает ip адрес моего сервера. И все изменения, которые отображаются на моем сайте - отображаются и там.
Что это значит и кто что может сказать по этому поводу?

имхо в движке мб какой-то бэкдор, который отсылает параметры куда-то на сервер (мб ботнета). Фантазии кончились.
Скрипты качайте только с официальных сайтов. Не ставьте сомнительные плагины и тд.

Да черт его знает. В том и дело, что плагинов-то больше не ставили. Сейчас вообще ни один плагин не работает.
+ ко всему непонятно, кто и зачем регистрировал домен oldipolza.ru, чтобы сделать редирект на адрес нашего сервера? Смысл в этом какой?

да нет, в host можно любой домен прислать по желанию. Это ваш сервер должен реагировать только на правильный host. Протокол же...

В апаче прописано открывать только по запросу адреса моего сервера. Потому и предположил, что это именно редирект, т.к. в противном случае бы сайт не открылся. Вы именно об этом спрашивали?

Цитата:

Цитата rip88

В апаче прописано открывать только по запросу адреса моего сервера »

ServerName в <VirtualHost> либо проверять host в переменных (можно по разному). Не помешает <VirtualHost _default_:*> - дефолтный, где отдаётся ошибка к примеру. http://httpd.apache.org/docs/2.4/mod...ml#virtualhost

нужно все данные заголовков проверять на правильность. Через неправильный host можно уязвимости поискать, если например он необработанный суётся в страницу.

В apache2.conf у меня прописан include virtual host configuration. В нем только sites-enabled/ и conf.d/. В conf.d только настройки по phpmyadmin, которые проверил - чисто. Посмотрел sites-enabled - в нем только файл моего сайта. Проверил файл сайта - только мои домены прописаны. Т.е.:
<VirtualHost *:80>
ServerName www.имя-сайта.ru
ServerAlias имя-сайта.ru

Ну и вроде остальное чисто.

либо нужен альтернативный <VirtualHost *:80> с другим ServerName, чтобы отловить там левые запросы, либо пробуйте добавить типа этого в vhost

Код:

<If "%{HTTP_HOST} !~ /site\.ru$/">

    Require all denied

</If>

это не отменяет того, что нужно искать дыры в софте.

Прописал в htaccess следующее:
RewriteEngine On
RewriteCond ${HTTP_REFERER} oldipolza.\ru [NC]
RewriteRule .* - [F]
Теперь с oldipolza нельзя перейти на сайт.
И на oldipolza больше ни картинок не грузится, ничего.
Но все равно хотелось бы узнать мнение, что это и для чего? И как вообще можно бороться с этим? Ну писать регистратору там, например, с жалобой, или еще что-то. Так что тема пока открыта.

Sham, спасибо за рекомендацию. Куда конкретно это прописывать необходимо?
Я прописал VirtualHost немного иначе - указал IP адрес локальной сети. Проброс 80 порта идет через firewall. И каким образом другой VirtualHost поможет отловить левые запросы? Я просто не так силен в apache, как того хотелось бы.

1. mod_rewrite не для этих целей.
2. Хост (как и реферер) мб любым, не обязательно указанным.

Цитата:

Цитата rip88

другой VirtualHost поможет отловить левые запросы? »

апач выберет из *:80 сначала по ServerName, потом по порядку, который выше (этот для отлова).

Sham, вобщем, прежде чем мучаться и искать уязвимости, решил сделать одну вещь.
Сделал снимок виртуальной машины сайта в текущем состоянии. Переустановил ОС, сделал "apt-get install apache2" без пхп, плагинов и прочего. Даже дефолтную страницу не менял. Сразу залез и на свой сайт, и на oldipolza. Одно и то же. И там, и там - дефолтная страница апача. Что позволяет сделать вывод о том, что дело не в софте все-таки.
Позвонил в Ру-Центр (у них вроде как зарегистрирован домен), там подтвердили, что владелец - компания ОЛДИ, та самая. Написал в ОЛДИ по поводу проблемы, сейчас жду ответа.
+ посмотрел, что за IP адрес ломился подбирать пароль от админки. Принадлежит одному питерскому провайдеру. Позвонил, побеседовал с сотрудником. Вроде тоже сейчас что-то решают.

UPD: ТП ОЛДИ ответили. Запись поправили, домен и правда их оказался, видимо, сайт раньше на этом IP хостился. Проблема решена, очевидно.

чужие домены вас вообще не должны волновать. Сервер в принципе не должен реагировать на запросы с неверным HTTP-заголовком Host.

Ну, вообще Вы правы. Значит, требуется более детально изучать, что и как настраивать на сервере. Я заметил, что на сайт можно зайти и по IP. Может, дело в этом? Грубо говоря, что по запросу (ранее) oldipolza.ru dns сервер просто возвращал ip адрес моего хоста и перекидывал таким образом на сайт. Как запретить хождение на сайт по ip средствами апача? Что-то особо инфы в интернете не густо по этому вопросу.