- Сообщений: 236
- Спасибо получено: 18
Однажды в тени звезд. Фантастика. (15 март 2025)
Сотрудники загадочного Института Психологии задумали перестроить сознание обитателей планеты, устранив границы «я» и «не-я», пока процессоры Общемирового Компьютерного Радиуса шептались в своих локальных сетях. Но что-то пошло не так — и голоса зазвучали вразнобой.
Массовый взлом Joomla и WP
- Arhitektorius
-
Автор темы
- Не в сети
- Завсегдатай
-
11 года 9 мес. назад #1
от Arhitektorius
Моё хобби стало моей проффесией
Arhitektorius создал тему: Массовый взлом Joomla и WP
Вчера не смог зайти в админку большинства своих сайтов!
На хостинге ответили
Хостер взял и просто добавил в каждую папку administrator/ файл .htaccess c таким содержимым
Соответственно, всем доступ к файлам пхп запрещен (а в следствии и к админке), если нужен доступ, то соответственно убираем коммент и прописываем свой айпи
Мне кажется действенная штука по защите - сам такое давно хотел сделать, да все руки не доходили, слава богу хостер помог 
Хотелось бы услышать мнения других по поводу действенности данного метода...
PS А кто-то, недавно говорил, что у меня глюки по поводу "массового умопомешательства" взломов сайтов :whistle:
На хостинге ответили
Посмотрел логи - действительно админки атаковали и очень долго... Каждый новый запрос с нового айпишника... Пытались подобрать логин/парольВ связи с массовыми атаками на сайты, работающие на основе CMS Joomla и Wordpress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов.
Хостер взял и просто добавил в каждую папку administrator/ файл .htaccess c таким содержимым
Code:
<Files index.php>
order deny,allow
deny from all
#allow from ххх.хххх.ххх.ххх
</files>
Code:
allow from ххх.хххх.ххх.ххх
Хотелось бы услышать мнения других по поводу действенности данного метода...
PS А кто-то, недавно говорил, что у меня глюки по поводу "массового умопомешательства" взломов сайтов :whistle:
Моё хобби стало моей проффесией
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
-
- Не в сети
- Модератор
-
11 года 9 мес. назад - 11 года 9 мес. назад #2
от Aleksej
Мнение отрицательное...
Возможно, некая примитивная злонамеренная деятельность и имеет место... мне вот тоже письмо пришло с вежливой просьбой засветить доступ к одному из своих доменов, взгляни по ссылке.
Для чайников примечание; вводить в формочке никаких паролей к sweb не вздумайте, это фишинг. Несколько нелицеприятных выражений в контексте фривольных эротических похождений матушки тупого индюка, автора данного декора, вместо паролей ввести можно; будут прочитаны, и явно не роботом.
Мне не вполне понятно, зачем использовть брутфорсинг, да еще со сменой ip, если уж все равно что взламывать, абы побольше. Не проще ли уязвимостей поискать? В вебе полно старых необновленных джумл и wp, как грязи просто. Ко мне никто таким образом не ломился, даже не пробовал... на сайте запрещены посетители, использующие прокси, даже через Tor зайти не получится. Может, поэтому. Да и любую попытку НСД к админке я бы заметил.
Московский мой коллега, прочитав этот пост, передает для публикации вот такой код, призванный служить все той же цели - банить горе-взломщиков после энного числа попыток... данный код не адаптирован напрямую к joomla, но суть, при желании, уловить можно... Вообще же, для Joomla существует fail2ban (ну и RSFirewall , разумеется).
Ну а код вот такой:
Aleksej ответил в теме Массовый взлом Joomla и WP
Arhitektorius пишет: Хотелось бы услышать мнения других по поводу действенности данного метода...
Мнение отрицательное...
Возможно, некая примитивная злонамеренная деятельность и имеет место... мне вот тоже письмо пришло с вежливой просьбой засветить доступ к одному из своих доменов, взгляни по ссылке.
Code:
http://sarahpolkdar.org/images/wpThumbnails/data/index.php?domain=it-peace.ru
Для чайников примечание; вводить в формочке никаких паролей к sweb не вздумайте, это фишинг. Несколько нелицеприятных выражений в контексте фривольных эротических похождений матушки тупого индюка, автора данного декора, вместо паролей ввести можно; будут прочитаны, и явно не роботом.
Мне не вполне понятно, зачем использовть брутфорсинг, да еще со сменой ip, если уж все равно что взламывать, абы побольше. Не проще ли уязвимостей поискать? В вебе полно старых необновленных джумл и wp, как грязи просто. Ко мне никто таким образом не ломился, даже не пробовал... на сайте запрещены посетители, использующие прокси, даже через Tor зайти не получится. Может, поэтому. Да и любую попытку НСД к админке я бы заметил.
Московский мой коллега, прочитав этот пост, передает для публикации вот такой код, призванный служить все той же цели - банить горе-взломщиков после энного числа попыток... данный код не адаптирован напрямую к joomla, но суть, при желании, уловить можно... Вообще же, для Joomla существует fail2ban (ну и RSFirewall , разумеется).
Ну а код вот такой:
Code:
<?php
$cur_time = $_SERVER['REQUEST_TIME'];
$login_tryouts = 10; //кол-во попыток до бана
function die_message($wtime=1,$page,$message){
die ("<html><head><meta HTTP-EQUIV='Refresh' content='".$wtime."; URL=".$page."'></head><body>".$message."</body></html>");
}
//Данный кусок кода нужно вставить "вначало" страницы авторизации
if ( $login_tryouts <> '0' )
{
$time_l=$cur_time - $lock_time;
$query_select_user_sec = "SELECT id, last_try, count FROM ".$db.".security WHERE `ipaddress`='".$_SERVER['REMOTE_ADDR']."' and `last_try` > '".$time_l."' and `count` = ".$login_tryouts." and `unban` <> '1'";
$result_select_user_sec=mysql_query($query_select_user_sec);
if ( mysql_num_rows($result_select_user_sec) > 0 )
{
die_message('','',$lang['Sorry, somebody from your ip address try to bruteforce password<br> Now your ip address is temporary blocked, please try to logon later']);
}
}
///
/// Данный кусок кода нужно вставить в место где обрабатывается неправилльный логин Грубо говоря после IF сверки полученного от пользователя пароля и хэша пароля в бд.
///
if ( $login_tryouts <> '0' )
{
//FAIL2BAN MODULE
$time_l=$cur_time - $lock_time;
$query_select_user_sec = "SELECT id, last_try, count FROM ".$db.".security WHERE `ipaddress`='".$_SERVER['REMOTE_ADDR']."' and `last_try` > '".$time_l."' and `count` < ".$login_tryouts." and `unban` = '0'";
//echo $query_select_user_sec;
$result_select_user_sec=mysql_query($query_select_user_sec);
$select_user_sec=mysql_fetch_assoc($result_select_user_sec,MYSQL_BOTH);
if ( mysql_num_rows($result_select_user_sec) > 0 )
{
$logon_tryies=$select_user_sec['count']+1;
$query_add_logon_try = "UPDATE `".$db."`.`security` SET last_try ='".$cur_time."', count='".$logon_tryies."' WHERE id = '".$select_user_sec['id']."'";
mysql_query($query_add_logon_try);
}
else
{
$query_add_logon_try = "INSERT INTO `".$db."`.`security` (`last_try`, `count`, `ipaddress`, `unban`) VALUES ('".$cur_time."', '1', '".$_SERVER['REMOTE_ADDR']."', '0')";
mysql_query($query_add_logon_try);
}
}
?>
CREATE TABLE `security` (
`id` int(32) NOT NULL AUTO_INCREMENT,
`ipaddress` text,
`count` varchar(45) DEFAULT NULL,
`last_try` varchar(45) DEFAULT NULL,
`unban` varchar(45) DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8;
Последнее редактирование: 11 года 9 мес. назад пользователем Aleksej.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- prostolinux
-
- Не в сети
- Новый участник
-
- Aleksej
-
- Не в сети
- Модератор
-
- prostolinux
-
- Не в сети
- Новый участник
-
- superlamer
-
- Не в сети
- Давно я тут
-
- prostolinux
-
- Не в сети
- Новый участник
-
- prostolinux
-
- Не в сети
- Новый участник
-
- Arhitektorius
-
Автор темы
- Не в сети
- Завсегдатай
-
11 года 9 мес. назад #9
от Arhitektorius
Теперь конкретный вопрос Алексею - почему отрицательное отношение? Это как-то обосновано, или просто на уровне ощущений?
Superlamer
Моё хобби стало моей проффесией
Arhitektorius ответил в теме Массовый взлом Joomla и WP
Вообщето нет... Такие письма мне тоже не раз приходили - пока вроде бы внимательность не подводила и опознаю их вовремя. На этот раз мне хостер официально все подтвердил по телефону и сообщил все в том же телефонном разговоре о массовой атаке. Просто пробежавшись по 5-6 логам разных сайтов и аккаунтов, и соответственно все они на разных серверах, я правда увидел, что пару дней идут постоянные запросы к /administrator/ приблизительно по 2-3 запроса в секунду по 3-5 часов подряд. Не говорит ли это о простом подборе логина-пароля (имхо да!)Возможно, некая примитивная злонамеренная деятельность и имеет место... мне вот тоже письмо пришло с вежливой просьбой засветить доступ к одному из своих доменов, взгляни по ссылке
Теперь конкретный вопрос Алексею - почему отрицательное отношение? Это как-то обосновано, или просто на уровне ощущений?
Не вижу вообще никакой связи! У меня, например на всех сайтах стоит запрет на индексацию /administrator/ !!! И вообще, какой смысл ее индексировать! :blink:Но самое плохое, что в Яндексе у меня рухнули все позиции. Жуть!
Superlamer
Запретили то не все, а доступ только к админке (но не к сайту) а там индексировать нечего... Причина должна быть в другом...Может быть, яндекс не может индексировать странички, если вы в них все всем запретили?
Моё хобби стало моей проффесией
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Aleksej
-
- Не в сети
- Модератор
-