Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Вебмастеру » [решено] Подозрительная активность на сайте

< Предыдущая 1 2
Ответить
Настройки темы
[решено] Подозрительная активность на сайте

Пользователь


Сообщения: 125
Благодарности: 4

Профиль | Отправить PM | Цитировать

Всем доброго дня.
Создал простой сайт на Wordpress, сайт имеет внешний IP и привязанный домен. Начал заниматься его безопасностью - разграничение доступа, редактирование htaccess и т.д..
Поставил плагин Better WP Security - по логам увидел, что каждую минуту кто-то ломится в админку сайта с неправильным логин/паролем.
Т.к. все работало в тестовом режиме и немного криво, решил просто откатиться (сайт работает на Debian, к которому в свою очередь есть доступ на VMWare).
Отредактировал htaccess, поставил доступ только из моей сети на то время, пока занимаюсь сайтом. Ради интереса решил залезть в логи апача и посмотреть, что происходит.
Вот что выдал apache_access.log:

Код: Выделить весь код
62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "\x80w\x01\x03\x01" 200 7460 "-" "-"
62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "GET /HNAP1/ HTTP/1.1" 404 500 "http://195.211.101.13/" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.4.14-xfs; X11; i686)"
84.52.126.151 - - [26/Mar/2014:09:42:47 +0400] "POST /wp-login.php HTTP/1.0" 200 4267 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
83.220.237.110 - - [26/Mar/2014:10:20:40 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"
83.220.237.110 - - [26/Mar/2014:10:20:44 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"
84.52.126.151 - - [26/Mar/2014:10:20:49 +0400] "POST /wp-login.php HTTP/1.0" 403 438 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
83.220.237.110 - - [26/Mar/2014:10:20:56 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"
83.220.237.110 - - [26/Mar/2014:10:20:58 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"
83.220.237.110 - - [26/Mar/2014:10:21:08 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36"
83.220.239.248 - - [26/Mar/2014:10:21:10 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"
83.220.239.248 - - [26/Mar/2014:10:21:15 +0400] "GET /favicon.ico HTTP/1.1" 403 432 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36"
5.164.55.105 - - [26/Mar/2014:10:23:26 +0400] "GET / HTTP/1.0" 403 389 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1)"
В логах указал только незнакомые IP адреса.
При всем при этом, несмотря на то, что в htaccess доступ перекрыт к сайту - в логах по-прежнему высвечивается IP 84.52.126.151, который ломится в wp-login.php
Стало интересно по логам, что за сайт oldipolza.ru. Полез на сайт - и офигел. Т.к. он точная копия моего. nslookup выдает ip адрес моего сервера. И все изменения, которые отображаются на моем сайте - отображаются и там.
Что это значит и кто что может сказать по этому поводу?

Отправлено: 12:28, 26-03-2014

 

Пользователь


Сообщения: 125
Благодарности: 4

Профиль | Отправить PM | Цитировать

Sham, вобщем, прежде чем мучаться и искать уязвимости, решил сделать одну вещь.
Сделал снимок виртуальной машины сайта в текущем состоянии. Переустановил ОС, сделал "apt-get install apache2" без пхп, плагинов и прочего. Даже дефолтную страницу не менял. Сразу залез и на свой сайт, и на oldipolza. Одно и то же. И там, и там - дефолтная страница апача. Что позволяет сделать вывод о том, что дело не в софте все-таки.
Позвонил в Ру-Центр (у них вроде как зарегистрирован домен), там подтвердили, что владелец - компания ОЛДИ, та самая. Написал в ОЛДИ по поводу проблемы, сейчас жду ответа.
+ посмотрел, что за IP адрес ломился подбирать пароль от админки. Принадлежит одному питерскому провайдеру. Позвонил, побеседовал с сотрудником. Вроде тоже сейчас что-то решают.

Отправлено: 14:16, 27-03-2014 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 125
Благодарности: 4

Профиль | Отправить PM | Цитировать

UPD: ТП ОЛДИ ответили. Запись поправили, домен и правда их оказался, видимо, сайт раньше на этом IP хостился. Проблема решена, очевидно.

Отправлено: 20:59, 27-03-2014 | #12


Deadooshka


Сообщения: 2519
Благодарности: 692

Профиль | Отправить PM | Цитировать

чужие домены вас вообще не должны волновать. Сервер в принципе не должен реагировать на запросы с неверным HTTP-заголовком Host.
Это сообщение посчитали полезным следующие участники:

Отправлено: 11:03, 28-03-2014 | #13


Пользователь


Сообщения: 125
Благодарности: 4

Профиль | Отправить PM | Цитировать

Ну, вообще Вы правы. Значит, требуется более детально изучать, что и как настраивать на сервере. Я заметил, что на сайт можно зайти и по IP. Может, дело в этом? Грубо говоря, что по запросу (ранее) oldipolza.ru dns сервер просто возвращал ip адрес моего хоста и перекидывал таким образом на сайт. Как запретить хождение на сайт по ip средствами апача? Что-то особо инфы в интернете не густо по этому вопросу.

Отправлено: 07:12, 31-03-2014 | #14

< Предыдущая 1 2


Компьютерный форум OSzone.net » Компьютеры + Интернет » Вебмастеру » [решено] Подозрительная активность на сайте

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вопрос - [решено] Подозрительная цена на McAfee Internet Security polonin Защита компьютерных систем 6 20-06-2012 16:57
подозрительная сетевая активность new_win_user Лечение систем от вредоносных программ 6 05-09-2011 21:19
CMD/BAT - [решено] проверка на активность и закрытие процесса 43Stealers Скриптовые языки администрирования Windows 3 10-10-2010 13:13
Интерфейс - [решено] пропадает активность открытого окна при наведении курсора на панель управления Vertumn Microsoft Windows 2000/XP 2 30-09-2010 16:29
Уязвимости - Подозрительная активность подключения Twister83 Защита компьютерных систем 0 15-06-2010 12:31


« Предыдущая тема | Следующая тема »


 
Переход