|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Вебмастеру » [решено] Подозрительная активность на сайте |
|
||||
|
|
[решено] Подозрительная активность на сайте
|
|
Пользователь Сообщения: 125 |
Всем доброго дня.
Создал простой сайт на Wordpress, сайт имеет внешний IP и привязанный домен. Начал заниматься его безопасностью - разграничение доступа, редактирование htaccess и т.д.. Поставил плагин Better WP Security - по логам увидел, что каждую минуту кто-то ломится в админку сайта с неправильным логин/паролем. Т.к. все работало в тестовом режиме и немного криво, решил просто откатиться (сайт работает на Debian, к которому в свою очередь есть доступ на VMWare). Отредактировал htaccess, поставил доступ только из моей сети на то время, пока занимаюсь сайтом. Ради интереса решил залезть в логи апача и посмотреть, что происходит. Вот что выдал apache_access.log: Код:
 62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "\x80w\x01\x03\x01" 200 7460 "-" "-" 62.149.116.97 - - [22/Mar/2014:16:21:19 +0400] "GET /HNAP1/ HTTP/1.1" 404 500 "http://195.211.101.13/" "Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux 2.4.14-xfs; X11; i686)" 84.52.126.151 - - [26/Mar/2014:09:42:47 +0400] "POST /wp-login.php HTTP/1.0" 200 4267 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10" 83.220.237.110 - - [26/Mar/2014:10:20:40 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36" 83.220.237.110 - - [26/Mar/2014:10:20:44 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36" 84.52.126.151 - - [26/Mar/2014:10:20:49 +0400] "POST /wp-login.php HTTP/1.0" 403 438 "http://oldipolza.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10" 83.220.237.110 - - [26/Mar/2014:10:20:56 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36" 83.220.237.110 - - [26/Mar/2014:10:20:58 +0400] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36" 83.220.237.110 - - [26/Mar/2014:10:21:08 +0400] "GET /favicon.ico HTTP/1.1" 403 433 "-" "Mozilla/5.0 (Linux; Android 4.3; C6603 Build/10.4.1.B.0.101) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.166 Mobile Safari/537.36" 83.220.239.248 - - [26/Mar/2014:10:21:10 +0400] "GET /wp-admin HTTP/1.1" 403 429 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36" 83.220.239.248 - - [26/Mar/2014:10:21:15 +0400] "GET /favicon.ico HTTP/1.1" 403 432 "-" "Mozilla/5.0 (Linux; Android 4.4.2; GT-I9500 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36" 5.164.55.105 - - [26/Mar/2014:10:23:26 +0400] "GET / HTTP/1.0" 403 389 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1)" При всем при этом, несмотря на то, что в htaccess доступ перекрыт к сайту - в логах по-прежнему высвечивается IP 84.52.126.151, который ломится в wp-login.php Стало интересно по логам, что за сайт oldipolza.ru. Полез на сайт - и офигел. Т.к. он точная копия моего. nslookup выдает ip адрес моего сервера. И все изменения, которые отображаются на моем сайте - отображаются и там. Что это значит и кто что может сказать по этому поводу? |
|
|
Отправлено: 12:28, 26-03-2014 |
|
Deadooshka Сообщения: 2517
|
Профиль | Отправить PM | Цитировать имхо в движке мб какой-то бэкдор, который отсылает параметры куда-то на сервер (мб ботнета). Фантазии кончились.
Скрипты качайте только с официальных сайтов. Не ставьте сомнительные плагины и тд. |
|
Отправлено: 13:30, 26-03-2014 | #2 |
|
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Да черт его знает. В том и дело, что плагинов-то больше не ставили. Сейчас вообще ни один плагин не работает.
+ ко всему непонятно, кто и зачем регистрировал домен oldipolza.ru, чтобы сделать редирект на адрес нашего сервера? Смысл в этом какой? |
|
Последний раз редактировалось rip88, 26-03-2014 в 13:51. Отправлено: 13:42, 26-03-2014 | #3 |
|
Deadooshka Сообщения: 2517
|
Профиль | Отправить PM | Цитировать да нет, в host можно любой домен прислать по желанию. Это ваш сервер должен реагировать только на правильный host. Протокол же...
|
|
Отправлено: 14:02, 26-03-2014 | #4 |
|
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать В апаче прописано открывать только по запросу адреса моего сервера. Потому и предположил, что это именно редирект, т.к. в противном случае бы сайт не открылся. Вы именно об этом спрашивали?
|
|
|
Отправлено: 14:05, 26-03-2014 | #5 |
|
Deadooshka Сообщения: 2517
|
Профиль | Отправить PM | Цитировать Цитата rip88:
нужно все данные заголовков проверять на правильность. Через неправильный host можно уязвимости поискать, если например он необработанный суётся в страницу. |
|
|
Отправлено: 14:49, 26-03-2014 | #6 |
|
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать В apache2.conf у меня прописан include virtual host configuration. В нем только sites-enabled/ и conf.d/. В conf.d только настройки по phpmyadmin, которые проверил - чисто. Посмотрел sites-enabled - в нем только файл моего сайта. Проверил файл сайта - только мои домены прописаны. Т.е.:
<VirtualHost *:80> ServerName www.имя-сайта.ru ServerAlias имя-сайта.ru Ну и вроде остальное чисто. |
|
Отправлено: 15:35, 26-03-2014 | #7 |
|
Deadooshka Сообщения: 2517
|
Профиль | Отправить PM | Цитировать либо нужен альтернативный <VirtualHost *:80> с другим ServerName, чтобы отловить там левые запросы, либо пробуйте добавить типа этого в vhost
Код:
<If "%{HTTP_HOST} !~ /site\.ru$/">
Require all denied
</If>
|
|
Отправлено: 16:28, 26-03-2014 | #8 |
|
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Прописал в htaccess следующее:
RewriteEngine On RewriteCond ${HTTP_REFERER} oldipolza.\ru [NC] RewriteRule .* - [F] Теперь с oldipolza нельзя перейти на сайт. И на oldipolza больше ни картинок не грузится, ничего. Но все равно хотелось бы узнать мнение, что это и для чего? И как вообще можно бороться с этим? Ну писать регистратору там, например, с жалобой, или еще что-то. Так что тема пока открыта. Sham, спасибо за рекомендацию. Куда конкретно это прописывать необходимо? Я прописал VirtualHost немного иначе - указал IP адрес локальной сети. Проброс 80 порта идет через firewall. И каким образом другой VirtualHost поможет отловить левые запросы? Я просто не так силен в apache, как того хотелось бы. |
|
Отправлено: 16:38, 26-03-2014 | #9 |
|
Deadooshka Сообщения: 2517
|
Профиль | Отправить PM | Цитировать 1. mod_rewrite не для этих целей.
2. Хост (как и реферер) мб любым, не обязательно указанным. Цитата rip88:
|
|
|
Отправлено: 17:00, 26-03-2014 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Вопрос - [решено] Подозрительная цена на McAfee Internet Security | polonin | Защита компьютерных систем | 6 | 20-06-2012 16:57 | |
| подозрительная сетевая активность | new_win_user | Лечение систем от вредоносных программ | 6 | 05-09-2011 21:19 | |
| CMD/BAT - [решено] проверка на активность и закрытие процесса | 43Stealers | Скриптовые языки администрирования Windows | 3 | 10-10-2010 13:13 | |
| Интерфейс - [решено] пропадает активность открытого окна при наведении курсора на панель управления | Vertumn | Microsoft Windows 2000/XP | 2 | 30-09-2010 16:29 | |
| Уязвимости - Подозрительная активность подключения | Twister83 | Защита компьютерных систем | 0 | 15-06-2010 12:31 | |
|
|
Время: 05:32. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
