Форум русской поддержки Joomla!® CMS
05.12.2016, 06:32:16 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

htaccess смена входа в админку не помогает, узнают ключ

 (Прочитано 295 раз)
0 Пользователей и 1 Гость смотрят эту тему.
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« : 06.09.2016, 08:10:30 »

В .htaccess прописана
RewriteCond %{HTTP_REFERER} !site.ru/administrator/
RewriteCond %{QUERY_STRING} !^qwztvnfgw2n9shygfkn845fr9piqw87
RewriteRule ^.*administrator/? /not_found [R,L]

для входа в адмику с ключом administrator/?......
Но проблема в том, что есть 4 сайта, от которых узнают любые ключи /?....... и 20 символьные тоже.
Я не могу понять каким образом? Они видят мой ключ или у них такие мощности перебора вариантов ключей?
Cheesy
Они залезают в админ и перебирают пароли (при чём тупые... admin - 123), узнаю об этом за счёт rsфаервола, он их блокирует и всё ок. Но потом опять лезут с других IP.
htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.

Ребят, кто знает ответ на мои вопросы?
« Последнее редактирование: 06.09.2016, 08:14:59 от glebka » Записан
Stasweb
Живу я здесь
******

Репутация: +15/-0
Offline Offline

Пол: Мужской
Сообщений: 949



« Ответ #1 : 06.09.2016, 08:23:34 »

Поставьте Admin Exile - http://extensions.joomla.org/extension/adminexile
Там есть блокировка по ип. Допустим с одного ипа идет 3 запроса неправильные то он его блокирует на то время что вы выставили а также отправляет на почту письмо что кто то пытался попасть в админку плюс есть блек лист ип адресов
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #2 : 06.09.2016, 08:40:38 »

htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.
Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?
Записан
Stasweb
Живу я здесь
******

Репутация: +15/-0
Offline Offline

Пол: Мужской
Сообщений: 949



« Ответ #3 : 06.09.2016, 08:57:21 »

Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2651


step by step


« Ответ #4 : 06.09.2016, 09:17:12 »

Ключ для входа хранится в параметрах плагина в phpMyAdmin. А значит и пароль админа могут менять без доступа к админке, а через базу данных.
Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #5 : 06.09.2016, 10:07:08 »

Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......

На сайтах у моих клиентов стоит rsfirewall он блокирует IP тех кто подбирает пароль, и мне на почту приходят уведомления об этом.
А в htaccess в корне прописан путь ключа входа в админку. Я не использую плагины, а htaccess.
Joomla стоит на одних сайтах 2.28, на других 3.6.2 (так для справки), сайты на разных хостингах

И мне не понятен момент, если я меняю ключ administrator/?sdd792sdhfr294 на administrator/?qwz4973fgt372 (длина до 20 символов), то в течении 2х суток опять снова подбор паролей. А перебор паролей тупой.. типа admin - 123 и тп. Как они узнают новый ключ? Это фишка какая-то новая?

У меня с 2008 года стоял ключ к админке в htaccess и до этого лета проблем не было, а с лета на многих сайтах появился такой прикол.
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...
« Последнее редактирование: 06.09.2016, 10:17:39 от glebka » Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #6 : 06.09.2016, 10:15:09 »

Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?

может.. но сайты клиентов.. у них несколько человек заходят в админку
« Последнее редактирование: 06.09.2016, 10:33:34 от glebka » Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #7 : 06.09.2016, 10:28:10 »

Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ


По средствам хостинга, в смысле, изменить название папки administrator? Так компоненты будут с ошибками работать. Или Вы про другое?
Admin Exile, а зачем он нужен? Те же функции htaccess выполняет, и плагинов не надо) просто и удобно))
На счёт ботов не знаю.. скорее user агенты пустые закрыть надо, они и закрыты.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2651


step by step


« Ответ #8 : 06.09.2016, 10:33:43 »

Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...
Ну прочитал невнимательно. Обычно используют плагины. Че кричать.
Тогда вариант - вирус в компе или сниффер слушает IP
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #9 : 06.09.2016, 11:35:22 »

htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.
придется использовать, другое не панацея, и как выше написали можно доступ по диапазонам IP сделать
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #10 : 06.09.2016, 11:46:30 »

может.. но сайты клиентов.. у них несколько человек заходят в админку
Под несколько человек и сделать доступ, самое оптимальное решение, там хоть знают, хоть не знают ключ, уже будет пофиг!
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 682


« Ответ #11 : 06.09.2016, 12:05:12 »

Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #12 : 06.09.2016, 14:09:14 »

 laugh
Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.
laugh laugh laugh laugh laugh
зачем брутить когда залит шел, голову включаем, а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать  Wink
и зачем что то класть в папку или выше, сейчас любой менеджер файлов автоматом за вас все сделает, есть такой секрет  Wink называется -ограничение доступа- к файлу или папке логин и пас ввел и все файлы запишутся куда надо  Smiley
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 682


« Ответ #13 : 06.09.2016, 14:38:19 »

Цитировать
зачем брутить когда залит шел, голову включаем
Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.
Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #14 : 06.09.2016, 19:53:33 »

а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать  Wink

а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?
Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #15 : 06.09.2016, 19:57:28 »

Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.

flyingspook, имел ввиду, что если юзер залил шел, то ему смысла нет брутить, так как с залитым шелом он и так получил доступ к сайту.
Записан
dmitry_stas
Профи
********

Репутация: +795/-4
Offline Offline

Сообщений: 7743



« Ответ #16 : 06.09.2016, 20:06:39 »

glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?
Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #17 : 06.09.2016, 22:54:31 »

glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?

нет, не содержит.
Записан
dmitry_stas
Профи
********

Репутация: +795/-4
Offline Offline

Сообщений: 7743



« Ответ #18 : 06.09.2016, 23:18:13 »

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #19 : 06.09.2016, 23:35:52 »

а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?
htaccess должен помогать, но может и не на все 100%, а различные плагины обычно имеют бреши

или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?
как вариант это полностью может быть, тут надо анализировать логи, может троян сидит на какой либо машине менегера
Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #20 : 07.09.2016, 15:51:40 »

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

в логах ключа нигде не вино Shocked Shocked

site.ru  91.210.147.83 - - [07/Sep/2016:02:48:23 +0300] "GET / HTTP/1.1" 200 5040 "http://site.ru" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.147.83 - - [07/Sep/2016:02:48:39 +0300] "GET /administrator/ HTTP/1.1" 200 2875 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:21 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:28 +0300] "GET /administrator/ HTTP/1.1" 200 3026 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:11:45 +0300] "GET /administrator/ HTTP/1.1" 200 2876 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:11:58 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:12:01 +0300] "GET /administrator/ HTTP/1.1" 200 3030 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:18:15 +0300] "GET /administrator/ HTTP/1.1" 200 2877 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"
« Последнее редактирование: 07.09.2016, 16:12:14 от glebka » Записан
glebka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 31


« Ответ #21 : 07.09.2016, 15:56:51 »

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

Хорошие вопросы))
Попыток подбора нету, как раз посмотрел логи и увидел. Интервал разный всегда, к событию не привязан, не думаю.
Вчера днём пытались зайти, сегодня ночью, до этого на выходных и тд..всегда в разное время.
А логи, которые я отправил говорят о чём-то?
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet