1С-Битрикс Разработчикам - Посоветуйте, как быть при попытке подбора пароля?

Посоветуйте, как быть при попытке подбора пароля?

Постоянный посетитель

Сообщений: 193 Баллов: 30 Регистрация: 01.06.2011

27.01.2014 00:53:42

Посоветуйте, как быть.

Обнаружили, что идет куча попыток подбора пароля http://awesomescreenshot.com/03c29bzz04 И такая долбежка в течение суток. Отрубать в htaccess по IP?

Также куча сообщений типа Попытка внедрения PHP - http://awesomescreenshot.com/0b229c0b14 Насколько это критично? Надо ли такие тоже блокировать по IP?

Также в журнале событий обнаружили заходы с событием Успешный вход для админского логина, но в эти часы под этим логином никто не заходил. События были на страницу вида /bitrix/tools/public_session.php?&interval=0&k=12аа5c55fcadgtaf51a86c4022238d11. Как такое может быть?

Пользователь 37620

Эксперт

Сообщений: 2549 Баллов: 226 Регистрация: 13.02.2009

для СПАСИБО на форуме есть КНОПКА!

27.01.2014 10:56:17

Цитата
Евгений Ширяев пишет: Обнаружили, что идет куча попыток подбора пароля http://awesomescreenshot.com/03c29bzz04 И такая долбежка в течение суток. Отрубать в htaccess по IP?

Да, если есть возможность.
Или с помощью битрикса.
Но вообще лучше сменить ЛОГИН, чтобы у злоумышленника не было возможности подбирать пароль. + поставить ограничение Х попыток авторизации после чего показывать капчу.

Цитата
Также куча сообщений типа Попытка внедрения PHP - http://awesomescreenshot.com/0b229c0b14 Насколько это критично? Надо ли такие тоже блокировать по IP?

Я предпочитаю банить такие Ип на время. Чтобы одумались. Обычно перебор они ведут "не там", так что опасности не представляют. Но если есть возможность следить не начались ли попытки инъекций где-то, где они возможны хотя бы теоретически (не в несуществующих директориях\файлах хотя бы), то стоит задуматься о возможных мерах.

Цитата

Также в журнале событий обнаружили заходы с событием Успешный вход для админского логина, но в эти часы под этим логином никто не заходил. События были на страницу вида /bitrix/tools/public_session.php?&interval=0&k=12аа5c55fcadgtaf51a86c4022238d11. Как такое может быть?

Могли перехватить сессию или украсть куки. Рекомендую проверить машины всех пользователей на вирусы и сменить пароли.
Ну и раз злоумышленник уже мог попасть в админку, то стоит и сайт на вредоносный код проверить. Могут быть закладки.

Вообще обращайтесь в личку - занимаюсь такими вопросами в том числе на коммерческих началах (есть услуга "администрирование безпасности", условно называемая) - разбираюсь с инцидентами и даю рекомендации что где подкрутить.

Сайт Startup'а - адаптивная Bootstrap вёрстка, композит, микроразметка. бесплатно

Посоветуйте, как быть при попытке подбора пароля?

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером