Атаки на админцентр

[Crazy Diamond]

Периодически пять не связанных друг с другом пользователей пытаются получить доступ в админцентр. Все попытки осуществляются одновременно, с одного IP - 188.233.21.160. Для всех аккаунтов вводился пароль из семи символов, последняя цифра 9 (больше админка не показывает)

Пользователи тут ни при чем. Из них трое уже несколько лет неактивны, двое других живут в разных областях, один IP иметь не могут, пароли у них не подходят под вводимые в админку.

 

На сайте следов вируса не наблюдается.

 

Что это может быть?

 

Мне не сложно забанить этот IP или сменить ссылку на админцентр, но эти попытки доступа временами идут настолько часто, что сервер подтормаживает. Хочется узнать причину и устранить ее.

[muser]

Хочется узнать причину и устранить ее.

причина одна - получить доступ в ац

[Crazy Diamond]

Но это делает явно не человек =) вот и вопрос - что это делает и как это устранить.

[muser]

как это устранить.

забанить ip (если статический) или подсеть 188.233.0.0/18 если динамический

и

переименовать ац

[Crazy Diamond]

Нагрузку на сервер от постоянных запросов это не снимет.

[carloscastaneda]

Тоже самое было!

 

Ломились с:

 

IP: 176.212.96.46

IP: 188.233.10.236

IP: 176.212.99.206

 

Сделал следующее, переименовал файл http://adres_foruma/admin/index.php в (например) ind74645464ex.php, и кинул пустой файл index.php.

 

Через пару недель бот-взломщик ушел - долбиться в пустой файл ему видимо в лом)

[Crazy Diamond]

carloscastaneda, так и у нас это не постоянно - иногда атаки несколько дней подряд каждые две минуты, иногда месяц тишина. Изменено 30 Июля 2012 пользователем Crazy Diamond

[Arhar]

http://forums.ibresource.ru/index.php?app=downloads&showfile=673

и пусть хоть укакаются

[Crazy Diamond]

Меня не поняли... они не получают доступ в админцентр, и меня это не волнует. Волнует то, что сервер подтормаживает из-за того, что эти попытки доступа идут слишком часто.

[Arhar]

а это уже на уровне php не решается

[FatCat]

а это уже на уровне php не решается

Решается. Только фантазии немного надо.

[Arhar]

любые запросы, доходящие до php, отъедают ресурсы компьютера, физические, на вычисление этого php

плевать как ты будешь бороться на php с этими запросами, они будут жрать ресурсы

 

это вопрос про борьбу с дос атакой фактически

 

P.S. если ты про свой динамический htaccess, то так тут не только и не столько с помощью php

[FatCat]

если ты про свой динамический htaccess, то так тут не только и не столько с помощью php

Мне не важно как это классифицировать, мне важно, что это работает. Хорошую распределенную атаку такая защита конечно не удержит, когда штаксель за мегабайт весом, апач тоже ощутимо тормозит. Но тут уже нужны железные решения.

[Crazy Diamond]

На другом форуме посоветовали забанить айпи атакующего такими способами - по убыванию предпочтительности:

• iptables / ipfw / TCP Wrappers / другой файрволл
  
• настройки web-сервера
  
• .htaccess

Заблокировали через iptables, пока атак не наблюдается.

[Вованчик]

Здравствуйте!

У меня проблема взлома почти подобного рода была в мае этого года, но думал что всё хакер ушёл, но через какое то время меня хостеры стали блокировать за рассылку спама.

Как оказалось хакер влез в админку моего аккаунта на сервере и где то разместил код, теперь он свободно через свой браузер может разместить у меня в админке любой файл или папку(или то и другое) с спамерским кодом.

Приходится часто проверять аккаунт сервера и удалять вручную размещёные хакером файлы и папки.

 

Как мне вычислить, где находится этот код, access_log мне ничего вразумительного не дал.

Помогите..........

[siv1987]

Пользуйтесь скриптом для поиска шеллов, например есть один такой известный http://revisium.com/ai/

[Вованчик]

Пользуйтесь скриптом для поиска шеллов, например есть один такой известный http://revisium.com/ai/

Спасибо, как раз сегодня такой ставил, но к сожалению пока ничего не нашёл, нет опыта в таких делах.

[siv1987]

Обращайтесь к специалистам. Но если там оставили именно бэкдор, вам его практически будет невозможно отыскать. Тогда нужно перелазить чистый дистрибутив (удалив все левые файлы на всякий случай) и принять все меру по устранению причины через которую злоумышленник попал в первый раз к вам на сервер. Обязательно нужно сменить пароль к бд, админской учетной записью.

[Вованчик]

Обязательно нужно сменить пароль к бд, админской учетной записью.

Не помогло, сменил все пароли(не хранил в браузере и на компе, всё равно через некоторое время файлы или папки появлялись именно на одном домене.

Сейчас чищу комп прогой Malwarebytes Anti-Malware, обнаружил несколько троянов и другой грязи.

 

Скоро буду чистить все файлы форума, вернее буду переустанавливать чистый дистрибутив, придётся кое что потерять, но другой дороги видно нет.

[siv1987]

Не помогло, сменил все пароли

Менять надо после того как вы удалили все шеллы и залатали дыры. А так конечно не может, если хацкер попадает на хостинг в обход них. Ему что с новыми паролями что с старыми все равно. А может он себе там бэкдор оставил, чтобы делать скул инъекции.