Безопасность и Joomla. RSFirewall

ОК, сечас попоробую,спасибо!

Все сработало!! Огромное спасибо!!!

Есть возможность в RSFirewall добавить то что вводят при попытках взлома , к примеру index.php?f=engine/data/dbconfig.php%00.js и чтоб он блокировал всякого кто вводит такое,? чтото типа фильтра по маске или точному совпадению

Нет, этот функционал, насколько помню, в RSFirewall не предусмотрен, блокировка возможна только по геотаргетингу либо ip. Но в нем и нет надобности; в RSFirewall -> Основные настройки -> Активный сканер -> Защита php, Защита MySQL, Защита js активируйте Данные URL (Get) , "запрет доступа для следующих браузеров" и максимальную защиту, этого вполне достаточно. Заодно Данные URL (POst) тоже можно включить, если это не помешает нормальному функционалу вашего web-сайта (излишний уровень защиты порой выходит боком).

седне целый день който бот долбит index.php?f=engine/data/dbconfig.php%00.js такой фигней , не впервые канешн раньше по йапи банил и исчезали ,а етот умный попался каждый запрос с нового айпи . Вобще есть решение чтоб собрать подобные запросы банить всех кто их вводит? ето вобще возможно ? со временем подобных запросов насобирается много разных защита повисится. Или необращать внимания пусть долбится пока не надоест?

Sergos пишет: Или необращать внимания пусть долбится пока не надоест?

У меня эта долбежка началась прошлой осенью. В основном, это были безадресные атаки, во все, так сказать стороны, но иногда случались и предназначенные именно мне. Вижу это в логах, по некоторым признакам. Забейте; считайте это фоновой активностью инета. Вы же смотрели топик Как взламывали Masterpro.ws ? - ну и вот, со временем у чела промеж пальцев протечет море удовольствия, а на самих на пальцах появятся мозоли от счастья... к тому времени чел найдет массу аргументов тому, что он - гениальный хакер всех времен и народов, и тогда он от вас отстанет. Ко мне, к слову, интерес у него уже давно пропал, долбежка прекратилась. Ну есть немало *удаков на свете, что ж тут поделать. Видали, наверное, где-нить на диком пляже; сидит в сторонке очередной гондурас и знай себе д*очит. Ну и вот, здесь примерно то же самое.

P.S. В основном, опасность для вашего сайта представляет именно инклюд; соответственно - отключите в настройках php те флажки, о которых речь в первом сообщении топика. Для этого вам абсолютно не нужен RSFirewall, это элементарные настройки безопасности.

запрос с базой данных прекратился (кстати почитал таким запросом дле ломают) теперь пошли такого вида /z/wso.php
/bin/wso.php /examples/wso.php /passwd/wso.php /databases/wso.php ну и куча разных вариантов с окончанием /wso.php видимо тут не бот залетный ,а целенаправленный чел хочет хакнуть

Sergos пишет: ну и куча разных вариантов с окончанием /wso.php видимо тут не бот залетный ,а целенаправленный чел хочет хакнуть

Привет, если видите эту инфу в логах RSFirewall - это значит, что опасности нет и атака отражена.

Sergos пишет: теперь пошли такого вида /z/wso.php
/bin/wso.php /examples/wso.php /passwd/wso.php /databases/wso.php ну и куча разных вариантов с окончанием /wso.php видимо тут не бот залетный ,а целенаправленный чел хочет хакнуть

но куда то эти урлы ведут, я так понимаю? на какой то левый сайт? откуда именно шелл пытаются инклюдить?

Привет, если видите эту инфу в логах RSFirewall - это значит, что опасности нет и атака отражена.

да фаервол шлет на почту, логи сервера не смотрел пока нету времени ,ну раз долбит до сих пор значит пока не взломал иначеб успокоился))

но куда то эти урлы ведут, я так понимаю? на какой то левый сайт? откуда именно шелл пытаются инклюдить?

домен.ру/z/wso.php подобным и долбятся ,ну я так понимаю просто ищут дырку, а уж как найдут тогда за заливку возьмутся