Компоненты и скрипты для защиты сайта. Логи атак на сайты - страница 11 - Безопасность сайтов на Joomla

Несколько тысяч таких запросов за день, хотсер перевел на временный сервер из-за повышенной нагрузки на сервер. Сайт отключил, поможет или вирт грохнуть?

Терпеть разве что. У меня было хз даже знаю сколько запросов к админке. Пришлось впс менять.

И еще основной сайт забросали запросами с одного айпишника. Ддосят?

Терпеть разве что. У меня было хз даже знаю сколько запросов к админке. Пришлось впс менять.

Дали три дня на решение проблемы, так-что посмотрим что выйдет, глядишь отстанут.

Айпишник можно забанить, если он один. Что за айпишник то?

Ддосят с 87.103.198.24, ломают с 188.143.235.81

Arkadiy
сделай редирект с этих урлов на 403, должна нагрузка уменьшится

они уже кончили долбить, но на будущее запомню, спасибо.

выкладываю лог

на сайте теперь глюки - не могу сохранить материал

  Мой сайт взломали давно. Руки дошли только сяс. Вот в корне послание в виде файла indonesia.htm Его текстовое наполнение:
Прилагаю архив оригинала 

Страничка дефейса. А вы удалили уязвимости?

удалено..так как толку выкладывать логи нету....все молчат

C сайта шёл спам.
Начал проверять код, нашёл в хидерах тем вроде бы подключенную библиотеку jquery.min.js, только с сайта stummann.net или www.reduceweightfrutaplantastore.com
И кстати, вот ещё один интересный файлик... Что бы это могло значить? Админка шелла?
uu.php

в логах нашел вот такую ссылку......это для шелл иньекций? проффи, обьясните пожалуйста, что это за сайтик такой)

http://osvdb.org/show/osvdb/41125

и еще одна попытка атаки на сайт

День добрый, у меня тоже атака началось с четверга 17.10 числа,
хостинг сайта  в ру центре,
я первый день отключил сайт, сразу после этого все запросы начали поступать на другой наш сайт, который так же находится на этом IP, опять все наши сайты на этом IP стали не доступны, потом решил создать практически пустую страничку на техническом домене и сделал его сайтом по умолчанию и отключил атакуемый сайт.
нагрузка тут же упала и все остальные сайты начали работать.
 
ребятам из НИК.ру спасибо, быстро реагировали, сервер перенесли куда то на фильтрацию, более того тарифный план поменял на самую высокую 1с-битрикс. сейчас сайт открывается с небольшой трудности времени, практически каждый день выписываю все IP запросы в лог файле, которые появляется с запросом 200 и тут же их ставлю в блок в хтаксесе с помощью
Order Allow,Deny
Allow from all
Deny from 101.226.166.216

этих IP адресов набралось у меня больше 1400штук.
запросы в лог файле от блокированных IP показывает  403 ошибку, каждый день появляются новые IP с большим количеством, я их вычисляю и блокирую так же.
кстати мой внешний IP адрес так же входит в этот список, я его так же поставил в блок лист .
возникает вопрос, сервер когда отвечает на запрос 403 израсходует какие то ресурсы?
  
еще хотел напомнить, что в тот день когда началось атака, я входил в админку сайта с чужого компа, потом благополучно выходил из админки, но время начало запросов и время работы мною в админке примерно совпадает.
хочу вписать небольшой фрагмент из лог файла

На сайте из плагинов установлено RSFirewall,   jHackGuard  и еще  при открытие админки нужно узнать ключи.
 еще вопрос возникает, можно как то заморозить все эти атаки на уровне PHP?
 получается, что если создать статистическую страницу на любом сайте при таком атаке, то сервер работает как прежде без нагрузки.

еще, можно ли понять, мои атаки запустил человек (например конкурент)  или какой то вирус-робот ?


спасибо.    

Конечно боты в юзер-агент, котрые получают 403.А на фронте nginx стоит?
Взят в этом разделе.В index.php в корне сайта

Конечно боты в юзер-агент, котрые получают 403.А на фронте nginx стоит?
Взят в этом разделе.В index.php в корне сайта

Спойлер

[свернуть]

я про этот файл знаю, но только не мог понять в начало, какая IP здесь должно быть ? 'myIP', //мой айпи 

еще этот вопрос не понял, А на фронте nginx стоит? 
спасибо.

jeyhunm, быстренько поправляем верхний пост как надо.исправлено

И короче, ребята, без обид. Все, что не соотвествует первым 2м пунктам старт-поста - будет удаляться. Надоело. Если кто-то слепой и не видит красные буквы, то почему все должны листать эту простыню

Конечно боты в юзер-агент, котрые получают 403.А на фронте nginx стоит?
Взят в этом разделе.В index.php в корне сайта

Спойлер

[свернуть]

Еще не понял, "Конечно боты в юзер-агент" ?
мне представители ник.ру указали, что  На Ваш сайт производится брутфорс атака с целью получения
  доступа  в раздел администратора.

все таки хотел понять, это человеческое рук дело или машины ?
спасибо.

я про этот файл знаю, но только не мог понять в начало, какая IP здесь должно быть ? 'myIP', //мой айпи  

еще этот вопрос не понял, А на фронте nginx стоит?  

Свой айпи, а можно и ничего не указывать. ПРосто в скрипте наверно был айпи автора.
nginx  это сервер.
Брутфорс это сеть компов=ботнет. Не знаю как доступнее написать.Дело рук, вернее мозга человека, но выполняет программа на компьютере.
Переходите на VPS , будет легче отбиваться от всяких брутфорс. Думаю по цене будет не больше чем тариф для Битркис.

Переходите на VPS , будет легче отбиваться от всяких брутфорс. Думаю по цене будет не больше чем тариф для Битркис.

понял, у нас обычный виртуальный хостинг в руцентре, если у них есть VPS, то перейдем.


 
 

Брутфорс это сеть компов=ботнет. Не знаю как доступнее написать.Дело рук, вернее мозга человека, но выполняет программа на компьютере.

эту атаку можно генерировать случайно самим, меня просто смущает, почему мой внешний IP компа находится в числе атакующих?
еще хотел спросить, можно как то  сделать, чтобы в лог файле записывались только запросы с ответом 200, все остальные нет .?
за два дня файл access_log становится более  1 г.Б

Взят в этом разделе.В index.php в корне сайта

Спойлер

[свернуть]

подскажите, а что даёт данная запись?

подскажите, а что даёт данная запись?

Ограничивает количество запросов для одного IP.

Ограничивает количество запросов для одного IP.

что то он не работает. выдает ошибку. его допиливать нужно?

что то он не работает. выдает ошибку. его допиливать нужно?

Кусок кода, что я вставил, нужно вставить в самом начале index.php
Ссылка на тему, где лежит скрипт http://joomlaforum.ru/index.php/topic,210027.0.html
Ошибка где?

Кусок кода, что я вставил, нужно вставить в самом начале index.php

так или иначе код не работает, все сделано по правилам.