Всем привет! Нужна помощь. Во взломах не силен. Обратился человек, мол взломали его. Посмотрел я логи сервера, там ошибка и в referer стоит домен другой и файл вызывается (или переход с/на него). Что бы это могло значить и как запретить вызов или отправку POST/GET запросов на сайт.
Если запретить отправку всех post/get - сайт умрет ... ибо ни посмотреть его, ни отправить ему Нужно реально смотреть логи, куда чего..... 100 тыщ способов взлома, понять какой из них итд
Дело в том, что нет. Файлов левых нет. Вроде как их не загружали. Стоит проверка (CRON) всех файлов на изменение или добавление.
Что за человек ? Что значит взломали ? У кого-то пароль стырили ? А нефиг было пароль "123456" ставить, безопасность сайта тут совсем не при чём.
Какой файл? Что? Откуда? Где? Слов много, инфы ноль. У меня тоже в логах миллиард ошибок со странными реферами и обращениями к странным адресам. Значит ли, что меня взломали? Нет, это боты долбятся. Конкретно в моем случае в 99% пытаются найти админку вордпресса, которой там отродясь нет. Удачи им. Суть в чем - логи надо уметь читать, а не просто смотреть в них и панику разводить.
Закрыть сайт. Что за вопрос вообще? POST/GET запросы это единственный способ пользоваться сайтом! Это не взлом, а сканирование на предмет наличия определенных скриптов. Они так долбят миллионы сайтов и на некоторых находят то, что им надо.
О хорошая тема, мне интересно вот что @Fell-x27 ты сказал боты пытаются найти админку, а что ее лучше не хранить там где твой сайт, а хранить в другом месте что ли?
это нормально --- Добавлено --- попытки войти в админку водпресса и в phpmyadmin, нащупать sql injection — это обычный фон. как и попытки залогиниться по ssh. пользуйтесь противозачаточными соблюдайте меры предосторожности и всё будет окей
SSH только по ключам В Iptables drop policy на все порты на которые подключений быть не должно и не может Fail2ban Двухфакторная аутентификация в админке и/или вайтлист адресов администраторов Анализ своего кода на предмет уязвимостей. Вот пока что мне пришло в голову) Возможно кто-то что-то еще добавит.
@alexpride1993 Спасибо но пока это мне не о чем не говорит, термины для меня не понятны кроме двух факторной аутентификации)))
Человек - знакомый, пусть будет Вася. Взломали значит вывели денюжку (сайт подключен к ЭПС). Пароль как то стырили. Т.к. авторизация была под разными пользователями у которых дата регистрации пол года назад, 3 месяца назад. Пароли зашифрованные все в базе. --- Добавлено --- Движок самописный. Выше описал. Если бы я разбирался во взломах, XSS, иньекциях и т.д. то не создавал бы тему. Кстати, админку ВП искали. Пытались перейти по wp-login.php
Всё просто, взломали бы сайт, стырили бы пароли у всех (точнее хотя бы у 10%) а так скорее всего просто стырили только у тех у кого пароль был слишком простой (типа 123456 которые даже брутфорсить почти не надо) Опять же если этот Вася вообще единственный пострадавший, то всё ещё проще, взломали именно его целенаправленно, например залили на его комп троян и вытянули пароль. Причин предполагать взлом сайта нет от слова совсем.
Вообще по хорошему логи в студию, хотябы ту часть которая вызывает у тебя подозрения, потому что без них разговор ниочем по сути. Если они были в md5 то могли прогнать хеши через какой нибудь сервис с базой хешей популярных паролей и так подобрать На этой фразе количество вариантов взлома резко увеличилось)
Спойлер: логи [Sat Oct 28 18:22:40.549446 2017] [:error] [pid 23037] [client 37***2] PHP Notice: Undefined index: number in /home/admin/web/***/cashout.php on line 34, referer: http://u6837pf1.ha001.t.justns.ru/f.php [Sun Oct 29 01:02:59.920676 2017] [:error] [pid 19479] [client 37***] PHP Notice: Undefined index: bonus5 in /home/admin/web/***/index.php on line 142, referer: http://u6837pf1.ha001.t.justns.ru/f.php другой лог [Sun Oct 29 07:10:46.964440 2017] [:error] [pid 27725] [client 86***] script '/home/admin/web/***/public_html/wp-login.php' not found or unable to stat *** - затер IP и сайт
не думаю, что эта мышиная возня и увод денег у Васи связаны. ищи в логах действия от имени Васи, а не "где тут у нас вордпресс…"
само по себе подключение сайта к ПС не дает возможным вывод денег третьей стороне Скорее всего ситуация такая - что у сайта есть возможность вывода какой то внутренней валюты (игровой, или там заработанной) через какого то агрегатора. Раз знают что это пользователь такой то ... скорее всего - была найдена уязвимость - которая позволила незаконно пополнить внутренний баланс, а потом вывести его, или уязвимость - которая позволила вывести с внутреннего баланса денег больше чем есть.... Но все это предположения на кофейной гуще выявление дыр и взломов - ну очень непростая работа, трудозатратная и высокооплачиваемая, так что думаю бесплатно гадать и решать вашу проблему вряд ли кто будет.... так - общие советы. Меня лично задело ваше предложение закрыть GET/POST закрыть - верный шаг к смерти сайта. Так что выставляйте задачу в раздел фриланса и готовьте денег побольше... либо иб***сь сами обнаруживая утечку финансов )
Ой, если такие ошибки, то сайт не должен принимать деньги людей... Этого не должно быть в продакшене, никаких undefined index. Если есть, показатель, что автор неквалифицирован Может подобрали. Нужна защита от брутфорса паролей (обычно в форме логина ставится). Вообще, на вывод денег хорошо бы поставить код подтверждения по телефону (отправку SMS). Это копейки стоит подключить к сайту, а надёжность повысится. --- Добавлено --- Кстати, а есть подозрительные запросы на страницу авторизации? А есть привязка сессии к IP или данным браузера, или к региону? Если сайт имеет дело с чужими деньгами, тут надо все возможные методы защиты использовать
это может быть что угодно. вплодь до команды на вывод в GET запросе и эксплуатации этой дырищи через подсунутую жертве ссылку. ну или кто-то видя "уровень" системы в целом, не поленился подставить в свой легальный запрос другие айдишники. вдруг проканает ))) и проканало. если хочешь поискать концы — смотри время транзакции и исследуй логи в указанное время. наверное есть специфичные адреса для указанной операции.
Есть пример? Или где "подчерпнуть" знаний!? Блок по IP после ввода неправильного пароля? )) Дайте линк. Гугель сумасшедшие цены выдает на смс шлюз.