Признаюсь честно, не особо разбираюсь в управлении сайтом, по этому с логированием пока разбираюсь. Пример автоматически создающихся пользователей. Основной поток идет с IP 80.70.109.182 и 80.70.111.182 . Аккаунты создаются с правами администратора магазина, но войти боты в него не могут.
|
Разработчикам |
Взломаны сайты в честь дня конституции украины
Взломаны сайты в честь дня конституции украины
|
|
|
|
|
|
|
я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную
логи надо смотреть на уровне веб-сервера (nginx, httpd) |
|
|
|
|
|
Muz Vitrina, примеры пользователей, картинки с именами файлов, и т.д. никак здесь не помогут. Экстрасенсорными способностями здесь вряд ли кто-то обладает, и не видя содержимое ваших файлов, помочь вряд ли сможет.
Как минимум, как и посоветовал вам выше Алексей, настройте логирование POST запросов. Выше в теме вроде были примеры, как это сделать, или . Дальше наблюдайте. Как только увидите, что снова появились новые пользователи, смотрите в лог. В нём найдёте по времени файл к которому обращались, а также увидите содержимое запроса. |
|
|
|
|
|
для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов это уже даст пищу для анализа |
|
|
|
|
|
новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты
|
|
|
|
|
|
|||
|
|
|
|
это врядли) но откуда нам знать что там за проект и что прописано в событиях юзера
|
|
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
С регистрацией как администраторов вроде разобрался, один из администраторов мог случайно изменить в главном модуле группу при регистрации. Буду следить, не изменится ли параметр снова. В логах на сервере ничего странного не нашел, только попытки ботов регистрироваться. Логирование POST запросов по методу из сообщения Виталия Силина поставил, логов пока нет. Сайт вроде работает стабильно, осталить только ошибки по БД и с sale.ajax.locations, но это к теме не относится. Всем спасибо за помощь. Если в логах увижу что-то странное - сообщу.
|
|
|
|
|
|
похоже никаких взломов и не было
 сделайте бэкап и "снимок" файлов сайта - не помешает |
|
|
|
|
|
|||||||
|
|
|
Ну а остальные ошибки скорее всего были из-за неопытности меня и моего коллеги. |
|||
|
|
|
|
извиняюсь, упустил эту информацию из виду
тогда нужно держать ухо в остро! большая вероятность, что бэкдор куда нить подселили |
|
|
|
|
|
|||||
|
|
|
Каждый .htaccess от корня запроса до корня сайта где он присутствует обрабатывается каждым запросом клиента |
|||
|
|
|
|
G_117158064567874128672, Как создать правило iptables на данный список черных адресов, что бы тянул их сам от туда автоматически?
|
|
|
|
|
wget --no-check-certificate "" -O - > /tmp/AS210644_AS16276.txt > /dev/null 2>&1 && wget --no-check-certificate "" -O - >> /tmp/AS210644_AS16276.txt > /dev/null 2>&1; while read -r line; do echo "Removing if exists - $line"; iptables -D INPUT -s $line -j DROP || ip6tables -D INPUT -s $line -j DROP; echo "Processing line - $line "; iptables -I INPUT -s $line -j DROP || ip6tables -I INPUT -s $line -j DROP; done < /tmp/AS210644_AS16276.txt > /dev/null 2>&1 |
|||
|
|
|
 ) Когда нет рутовых прав, увы, .htaccess скорее единственный вариант. Ну и потом, ясное дело, что это неэффективно, когда у вас нагруженный веб-сайт с большим rps Но я думаю, в таких случаях сайт не работал бы на 1С Битрикс А в целом, ваше решение гораздо лучше, конечно. Ещё, как вариант, с помощью route можно их в blackhole запихнуть, раз есть root-е права, если логирование отброшенных пакетов не нужно файрволом Ну, а если у вас есть автономная система, и ваш сайт в её приделах, так на бордерах ещё проще заблочить по номеру AS |
|||||
|
|
|
|
|||
|
|
|
|
смотрю уже до фаервола добрались - молодцы
тогда уж рекомендую и fail2ban воткнуть ... брутфорсы пр ssh и ftp тоже до добра не доведут |
|
|
|
|
|
|||
|
|
|
В данном случае, это штатные файлы, которые создает система для своих нужд. Создается специальный файл .access.php для предоставления доступа для системы во временной папке. Файл будет удален автоматически. |
|||
|
|
|
|
подскажите, имеется файл ( .index.php) внутри главной директории, в поиске C.A.S@shell выдает запрос, по сути открывает вот такое терминальное окно на базе команд linux, для чего этот файл может предназначаться?
|
||||
|
|
|
|||
